Mitä on biometriikka? Miten sitä käytetään tietoturvassa?

Biometriikka on nousemassa kehittyneeksi kerrokseksi moniin henkilökohtaisiin ja yritysten turvajärjestelmiin. Biologian ja käyttäytymisen yksilöllisten tunnisteiden ansiosta tämä saattaa vaikuttaa idioottivarmalta. Biometrinen henkilöllisyys on kuitenkin saanut monet suhtautumaan varovaisesti sen käyttöön yksittäisenä tunnistautumismenetelmänä.

Nykyaikainen kyberturvallisuus keskittyy tämän tehokkaan turvaratkaisun riskien vähentämiseen: perinteiset salasanat ovat jo pitkään olleet turvajärjestelmien heikko kohta. Biometriikalla pyritään vastaamaan tähän ongelmaan linkittämällä henkilöllisyystodistus kehoomme ja käyttäytymismalleihimme.

Tässä artikkelissa tarkastelemme perusasioita siitä, miten biometriikkaa käytetään kyberturvallisuudessa. Vastaamme eräisiin yleisimpiin biometriikkaa koskeviin kysymyksiin, jotta asia olisi helpommin ymmärrettävissä:

• Mitä biometrinen tarkoittaa?
• Mitä ovat biometriset tiedot?
• Mikä on biometrinen skanneri?
• Mitkä ovat biometrisen tietoturvan riskit?
• Miten voimme tehdä biometriikasta turvallisempaa?

Aloitetaan ensin perusasioista.

Mitä on biometriikka?

Nopea biometriikan määritelmä: Biometriikka on biologisia mittauksia — tai fyysisiä ominaisuuksia — joita voidaan käyttää yksilöiden tunnistamiseen. Esimerkiksi sormenjälkikartoitus, kasvojentunnistus ja verkkokalvon skannaus ovat kaikki biometrisen teknologian muotoja, mutta nämä ovat vain tunnetuimpia vaihtoehtoja.

Tutkijat väittävät, että korvan muoto, tapa, jolla henkilö istuu ja kävelee, ainutlaatuiset kehon hajut, käsien suonet ja jopa kasvojen vääntymät ovat muita ainutlaatuisia tunnisteita. Nämä piirteet määrittelevät biometriikkaa edelleen.

Kolme erilaista biometristä tietoturvaa

Vaikka biometriikkaa voidaan käyttää muihinkin tarkoituksiin, sitä on usein käytetty tietoturvassa, ja biometriikka voidaan jakaa kolmeen ryhmään:

1. Biologinen biometria
2. Morfologinen biometria
3. Toimintaan perustuva biometriikka

Biologisessa biometriikassa käytetään geneettisiä ja molekyylitason piirteitä. Näitä voivat olla esimerkiksi DNA:n kaltaiset ominaisuudet tai veri, jota voidaan arvioida kehon nesteistä otetun näytteen avulla.

Morfologinen biometriikka liittyy kehosi rakenteeseen. Lisää fyysisiä piirteitä, kuten silmäsi, sormenjälkesi tai kasvojen muoto, voidaan kartoittaa turvaskannereiden käyttöä varten.

Käyttäytymiseen liittyvä biometriikka perustuu kullekin henkilölle ominaiseen käyttäytymismalliin. Se, miten kävelet, puhut tai jopa kirjoitat näppäimistöllä, voi olla osoitus henkilöllisyydestäsi, jos näitä malleja seurataan.

Biometrinen tietoturva toimii

Biometrisellä tunnistamisella on kasvava merkitys jokapäiväisessä tietoturvassamme. Fyysiset ominaisuudet ovat suhteellisen kiinteitä ja yksilöllisiä — jopa kaksosilla. Jokaisen henkilön yksilöllistä biometristä henkilöllisyyttä voidaan käyttää korvaamaan tai ainakin täydentämään salasanajärjestelmiä tietokoneissa, puhelimissa sekä tiloissa ja rakennuksissa, joihin on rajoitettu pääsy.

Kun biometriset tiedot on saatu ja kartoitettu, ne tallennetaan, jotta niitä voidaan verrata tuleviin pääsy-yrityksiin. Useimmiten nämä tiedot salataan ja tallennetaan laitteeseen tai etäpalvelimelle.

Biometriset skannerit ovat laitteistoja, joita käytetään biometristen tunnisteiden tallentamiseen henkilöllisyyden todentamiseksi. Nämä skannaukset vertautuvat tallennettuun tietokantaan, jotta pääsy järjestelmään voidaan hyväksyä tai evätä.

Toisin sanoen biometrinen turvallisuus tarkoittaa, että kehostasi tulee "avain", jolla pääsysi avataan.

Biometriikkaa käytetään laajalti kahden tärkeän hyödyn vuoksi:

• Käyttömukavuus: Biometriset tiedot ovat aina mukanasi, etkä voi kadottaa tai unohtaa niitä.
• Vaikea varastaa tai väärentää: Biometriikkaa ei voida varastaa samalla tavalla kuin salasana tai avain.

Vaikka nämä järjestelmät eivät olekaan täydellisiä, ne tarjoavat paljon mahdollisuuksia kyberturvallisuuden tulevaisuudelle.

Esimerkkejä biometrisestä tietoturvasta

Seuraavassa on joitakin yleisiä esimerkkejä biometrisestä tietoturvasta:

• Äänentunnistus
• Sormenjälkien skannaus
• Kasvontunnistus
• Iiristunnistus
• Sydämen sykeanturit

Käytännössä biometristä tietoturvaa on jo käytetty tehokkaasti monilla toimialoilla.

Kehittynyttä biometriaa käytetään arkaluonteisten asiakirjojen ja arvo-omaisuuden suojaamiseen. Citibank käyttää jo äänentunnistusta, ja brittiläinen Halifax-pankki testaa laitteita, jotka tarkkailevat sydämen sykettä asiakkaiden henkilöllisyyden todentamiseksi. Ford harkitsee jopa biometristen tunnistimien asentamista autoihin.

Biometriikka on sisällytetty sähköisiin passeihin kaikkialla maailmassa. Yhdysvalloissa sähköisissä passeissa on siru, joka sisältää digitaalisen valokuvan henkilön kasvoista, sormenjäljestä tai iiriksestä sekä tekniikan, joka estää luvattomia tiedonlukijoita — lukemasta sirua — ja kopioimasta tietoja.

Kun näitä tietoturvajärjestelmiä otetaan käyttöön, näemme reaaliaikaisesti niiden hyvät ja huonot puolet.

Ovatko biometriset skannerit turvallisia? - Parannuksia ja huolenaiheita

Biometriset skannerit ovat yhä kehittyneempiä. Biometriikkaa löytyy jopa puhelimen tietoturva-järjestelmistä. Esimerkiksi Applen iPhone X:n kasvojentunnistusteknologia projisoi 30 000 infrapunapistettä käyttäjän kasvoihin tunnistaakseen käyttäjän kuvion perusteella. Applen mukaan mahdollisuus erehtyä henkilöllisyydestä iPhone X:n biometriikan avulla on yksi miljoonasta.

LG V30 -älypuhelimessa yhdistyvät kasvo- ja puheentunnistus sekä sormenjälkiskannaus, ja tiedot säilyvät puhelimessa paremman tietoturvan varmistamiseksi. Anturivalmistaja CrucialTec yhdistää sydämen syketunnistimen sormenjälkiskannereihinsa kaksivaiheista tunnistusta varten. Näin varmistetaan, ettei kloonattuja sormenjälkiä voida käyttää sen järjestelmiin.

Haasteena on, että biometrisiä skannereita, myös kasvojentunnistusjärjestelmiä, voidaan hämätä. Pohjois-Carolinan Chapel Hillin yliopiston tutkijat latasivat 20 vapaaehtoisen valokuvat sosiaalisesta mediasta ja rakensivat niiden avulla 3-D-mallit heidän kasvoistaan. Tutkijat onnistuivat murtautumaan neljään viidestä testaamastaan tietoturvajärjestelmästä.

Esimerkkejä sormenjälkien kloonauksesta on kaikkialla. Eräs Black Hat -tietoturvakonferenssissa esitetty esimerkki osoitti, että sormenjälki voidaan kloonata luotettavasti noin 40 minuutissa 10 dollarin arvoisella materiaalilla yksinkertaisesti tekemällä sormenjälki muoviin tai kynttilävahaan.

Saksalainen Chaos Computer Club väärensi iPhonen TouchID-sormenjälkilukijan kahden päivän kuluessa sen julkaisusta. Ryhmä yksinkertaisesti kuvasi sormenjäljen lasipinnalla ja käytti sitä iPhone 5s:n lukituksen avaamiseen.

Biometriikka - henkilöllisyys ja yksityisyyden suojaan liittyvät huolenaiheet

Biometrinen tunnistautuminen on kätevää, mutta yksityisyydensuojan kannattajat pelkäävät, että biometrinen turvallisuus heikentää yksityisyyttä. Huolena on, että henkilötietoja voidaan kerätä helposti ja ilman suostumusta.

Kasvontunnistus on osa jokapäiväistä elämää kiinalaisissa kaupungeissa, joissa sitä käytetään rutiiniostoksissa, ja Lontoo on tunnetusti täynnä valvontakameroita. Nyt New York, Chicago ja Moskova yhdistävät kaupunkiensa valvontakamerat kasvojentunnistustietokantoihin auttaakseen paikallista poliisia rikollisuuden torjunnassa. Carnegie Mellonin yliopistossa kehitetään kameraa, jolla voidaan skannata väkijoukossa olevien ihmisten iirikset 10 metrin etäisyydeltä.

Vuonna 2018 kasvojentunnistus otettiin käyttöön Dubain lentoasemalla, jossa 80 kameraa kuvaa matkustajia heidän kulkiessaan tunnelin läpi virtuaalisessa akvaariossa.

Kasvontunnistuskameroita on käytössä myös muilla lentoasemilla eri puolilla maailmaa, kuten Helsingissä, Amsterdamissa, Minneapolis-St. Paulissa ja Tampassa. Kaikki nämä tiedot on tallennettava jonnekin, mikä ruokkii pelkoja jatkuvasta valvonnasta ja tietojen väärinkäytöstä...

Biometristen tietojen turvallisuuteen liittyvät huolenaiheet

Välittömämpi ongelma on se, että henkilötietoja sisältävät tietokannat ovat hakkerien kohteita. Esimerkiksi kun Yhdysvaltain henkilöstöhallintovirastoon murtauduttiin vuonna 2015, verkkorikolliset saivat haltuunsa 5,6 miljoonan valtionhallinnon työntekijän sormenjäljet, minkä vuoksi he olivat alttiita identiteettivarkauksille.

Biometristen tietojen tallentamista laitteeseen – kuten iPhonen TouchID- tai Face ID – pidetään turvallisempana kuin niiden tallentamista palveluntarjoajalle, vaikka tiedot olisivat salattuja.

Tämä riski on samanlainen kuin salasanatietokannassa, jossa hakkerit voivat murtautua järjestelmään ja varastaa tietoja, joita ei ole suojattu tehokkaasti. Seuraukset ovat kuitenkin huomattavasti erilaiset. Jos salasana on vaarantunut, se voidaan vaihtaa. Biometriset tiedot sen sijaan pysyvät ikuisesti samoina.

Tapoja suojata biometrinen henkilöllisyys

Koska yksityisyyteen ja turvallisuuteen kohdistuu riskejä, biometrisissä järjestelmissä on käytettävä lisäsuojauksia.

Luvattomasta pääsystä tulee vaikeampaa, kun järjestelmät vaativat useita todentamiskeinoja, kuten elämän havaitsemista (kuten vilkkumista) ja koodattujen näytteiden yhdistämistä käyttäjiin salattujen toimialueiden sisällä.

Jotkin turvajärjestelmät sisältävät biometrisiin tietoihin myös lisäominaisuuksia, kuten iän, sukupuolen ja pituuden, hakkerien toiminnan vaikettamiseksi.

Intian Aadhaar-ohjelma (Unique ID Authority of India) on hyvä esimerkki. Vuonna 2009 käynnistetty monivaiheinen tunnistusohjelma sisältää iiriksen skannauksen, kaikkien 10 sormen sormenjäljet ja kasvojentunnistuksen.

Nämä tiedot on yhdistetty yksilölliseen henkilökorttiin, joka myönnetään jokaiselle Intian 1,2 miljardille asukkaalle. Kortti on pian pakollinen kaikille, jotka käyttävät sosiaalipalveluja Intiassa.

Biometriikka korvaa hyvin käyttäjätunnukset osana kahden tekijän todennusstrategiaa. Siihen sisältyy:

• Jotain mitä olet (biometriikka)
• Jotain, mitä sinulla on (kuten laitteistokoodi) tai mitä tiedät (kuten salasana)

Kahden tekijän todennus on tehokas yhdistelmä, erityisesti IoT-laitteiden lisääntyessä. Kun suojaus toteutetaan kerroksittain, suojatut internet-laitteet ovat vähemmän alttiita tietomurroille.

Lisäksi perinteisten salasanojen tallentaminen salasanahallintaohjelmalla voi olla lisäturva.

Biometriikkaan liittyviä huomioita

Yhteenvetona voidaan todeta, että biometriikka on edelleen kasvava tapa todentaa henkilöllisyys kyberturvallisuusjärjestelmissä.

Fyysisten tai käyttäytymiseen liittyvien allekirjoitusten ja muiden todennusten yhdistetty suojaus antaa yhden vahvimmista tunnetuista suojauksista. Tällä hetkellä se on vähintäänkin parempi kuin merkkipohjaisen salasanan käyttäminen erillisenä varmistuksena.

Biometrinen teknologia tarjoaa erittäin vakuuttavia ratkaisuja turvallisuuteen. Riskeistä huolimatta järjestelmät ovat helppokäyttöisiä ja vaikeita kopioida. Lisäksi nämä järjestelmät kehittyvät vielä pitkään tulevaisuudessakin.

Aiheeseen liittyviä artikkeleita:

• Mitä on Adware?
• Mikä on troijalainen?
• Mitä tehdä, jos henkilöllisyytesi varastetaan: Opas vaihe vaiheelta