Számos tévhit van a biometriai azonosítás körül. A tévhitek elsősorban a filmekből származnak. Képek arról, hogy hogyan próbálják becsapni a biztonsági rendszert pl. hamisított ujjal, levágott ujjal, kivágott szemmel, magnetofon hanggal, szintetikus hanggal, maszkkal, ... És még sorolhatnánk a forgatókönyvírók fantáziadús ötleteit, melyekről tudják ők, hogy nem igazak, de látványosak. A néző pedig elhiszi.Hogy miért ...?
Más tévhiteknek sajnos a biometria gyártói az okai. A prospektusaikban, reklám anyagaikban bombasztikus módon dícsérik portékáikat, sokszor az érthetőség érdekében túlzásokba esnek, mint pl. "abszolút biztonság", "100%", "szinte azonnal ..." stb.
A harmadik fő csoportba az "ösztönös idegenkedés az ellenőrzéstől" az ok. Ilyenkor születnek az alaptalan, és a tudatlanságból származó tévhitek, mint pl. a "bőr alá ültetett megfigyelő chip", "a hatalom teljes kontrollja az egyén felett", "mindent be lehet csapni és hamisítani". Sokszor ezek még számokkal is alá vannak támasztva. És a filmek ráerősítenek minderre, és így körbe is értünk. A legendák megszülettek, keringenek, olyanok, mint a viccek: senki sem találkozott még olyan emberrel, aki ne mástól hallotta volna a viccet.
És vannak a legendák, melyek majdnem igazak, és vannak olyan legendák is, melyek teljesen igazak.
Az alábbiakban felsorolunk néhány tévhitet, és a magyarázatát. (Az olvasóra bízzuk, hogy melyiknek mi lehet a forrása. Amennyiben az olvasó tud ilyen tévhitet, küldje el, és bővíteni fogjuk a Tévhitek lapot.)
"A biometria abszolút biztonságot ad"
A biztonsági rendszereknek csak egy részeleme a biometrián alapuló személyazonosítás. Először is: minden rendszer annyira biztonságos, amennyire a leggyengébb láncszeme. Nem véletlenül vannak egészen bonyolult szabványok/ajánlások egy biztonságtechnikai RENDSZER kialakításához és védetté tételéhez. Másodszor: A biometriai azonosító is hamisítható, hogy ez sikerül, az attól függ, hogy a gyártó milyen szintű védelmet tervezett be az eszközébe. Harmadszor: a pontossága nem 100%-os, legfeljebb 100% körüli, azaz kisebb! Fontos megjegyezni, hogy igen nagy különbség van egy biometriai azonosító elméleti pontossága és a biometriai jellemző alapján történő adott összehasonlítás pontossága között.
Egyik biometriai azonosítási módszer sem használja ki az elméleti lehetőségeit. Pl. egy ujjon kb. 50-80 minúciapont van (level#2) és további level#3 szintű sajátosság. A bírósági gyakorlatban azonban 12 pont is elegendő az azonosság megállapításához, mert annak "szelekciós ereje" többszörösen meghaladja a világ 6 milliárdos népességét..Az automatikus ujjnyomatazonosító rendszerek ugyan minúciákkal dolgoznak, de az 50-80 minúciával végzett azonosítási algoritmusuk köszönőviszonyban sincs a 12 pontos daktiloszkópiai azonosítással.
"A biometria mindenkinél használható"
Nem. Kivéve a DNS-t, de az az ikreknél problémás. Vannak olyan személyek, akik képtelenek adott biometriai mintát adni (az egyik lapunkon található fénykép egy olyan családról, melynek minden tagja ujjnyomat nélküli egy genetikai rendellenesség miatt). És akkor ne is beszéljünk arról, hogy egy bányában nem célszerű ujjnyomatos be/kiléptető rendszert alkalmazni, és nem is soroljuk, hogy hol nem kéne irisz/retina vizsgálatot tartani.
A biometriai azonosítást alkalmazóknak célszerű vegyes rendszert alkalmazni (multimodal biometrics), vagy tartalék biometriai azonosítót is alkalmazni. De ilyenkor nem szabad elfelejteni, hogy a gyengébb biometriai határozza meg a rendszer biztonságát.
"A biometriai adat tulajdonképpen egy személyi BAR kód"
Nem, egyedül csak a DNS ilyen. A többi biometriai jel-
lemzőt akárhányszor mintavételezzük, mindig más
és más. Csak nagyon hasonlítanak egymásra.
A többire pedig nem annyira ....
"FAR=0,0001%, FRR=0.0001%"
Nos, ezek az adatok többször bosszantottak már fel. Először is minden mérési eredményhez hozzátartozik, hogy hogyan, milyen körülmények között mérték. (Ahogy pl. egy fizikai mérés adatát és annak pontosságát a mérőeszköz pontossága kiesebb, vagy nagyobb mértékben befolyásolja. Sőt, van olyan is, amikor a mérési adat hibája megközelíti magát az adatét.)
A
0,0001 1% azt jelenti, hogy egymillió azonosításból csak egyetlen egyet tévesztett el a rendszer.
Ez az állítás, - mint mérési eredmény, - lehetetlen, de a vevők elhiszik, mert nem gondolják végig. Gondoljuk végig, hogyan kellett volna lemérni?
Először is: legalább 1 millió próbálkozás kell 1 millió genuine-nel. Ha 5 másodpercenként van egy mérés, akkor 58 napon keresztül éjjel-nappal mértek? Nem valószínű. Tehát ezzel az adattal nem tudunk mit kezdeni, legfeljebb elmegy a bizalmunk attól, aki ezt megadta. Biometrikus rendszereknél IS! a számokat nagy fenntartással kell fogadnunk, és a számok értelmezéséhez tisztában kell lenni a mérési körülményekkel.
- a mérés hány tranzakciót jelentett (100 ember 1M-szer próbált átjutni?), és hányszor próbálkozott
- mekkora volt a háttér?
- egyidőben kapták a számokat, vagy …
És még számos kérdés tisztázása kell, hogy a számokat értelmezni lehessen.
"Ha a FAR=10 a mínusz negyediken, az olyan biztonságú, mint egy 4 digites PIN kód"
Ez a FAR azt jelenti, hogy 10 ezrenként lehet egy téves elfogadás, hasonlóan a 4 digites PIN kódhoz (persze mintha végigpróbálnám az összes PIN kódot). Először is a próbák száma a PIN kódnál is korlátozott (pl. 3). Másrészt az ujj változatossága igen nagy. Összehasonlítani a következő módon lehetne: van PIN-ből 3 mintám a 10000-ből, ujjból is van 3 a lehetséges 18 milliárdból. Mikor van nagyobb esélyem?
"A biometriai minta tartalmazhat betegségre utaló jeleket, melyek sértik a személyiségi jogokat"
Ez igaz. Az irisz/retina képből lehet következtetni szembetegségre, drogfogyasztásra, hályogra, az arc fényképből bőrbetegségre, DNA-ból genetikai rendellenességekre, pulzusból szív és érrendszeri betegségekre. A kérdés az, hogy felhasználja-e valaki ezeket az adatokat, illetve vannak-e garanciák.
"Az érintéses biometriai mintavételezés betegséget közvetíthet"
Ez igaz. Mint az ajtókilincs, vagy a pénz, vagy a nyilvános telefon ….
"A DNS azonosítás nem tudja megkülönböztetni az ikreket"
Igaz. A többi biometriai jellemző fenotípusos vagy viselkedési jellemző, tehát ikreknél is különbözik (az ujj is, az irisz/retina is). A DNS valóban nem különbözteti meg, de az összes többi igen.
"Ellopott testrész felhasználható"
Sokat néznek filmet. Mára a legtöbb biometriai mintavételnél van "élő felvétel" detektálás, de a jövőben valóban nagy kihívás lesz. Mára kezd hódítani a véredény alapján történő azonosítás, melyről azt hisszük, hogy abszolút hamisíthatatlan. Majd megnézzük filmen.
"A biometrikus template-ből rekonstruálható a biometrikus azonosító"
Ez azt jelenti, hogy az ellopott igazolványunkban ujjnyomat kód alapján készíthetnek hamis ujjat, vagy mást. Elég körülményes módszer, elkészítik a hamis ujjat, próbálkoznak vele, és ha nem jó akkor igazítanak rajta? Mi alapján?
Ez nem olyan, mint a Barkochba játék, ahol lépésről lépésre közelebb lehet jutni a megoldáshoz. Egyébként a template titkosítása nagyrészt megoldja a kérdést.
"Könnyű hamis ujjat készíteni"
Ez igaz. Az Interneten számos módszert lehet találni erre. Ez egyrészt azért veszély, mert az ujj a legelterjedtebb azonosítási módszer. Ha a többi azonosítás is terjedni fog, akkor azokról is lesz majd hamisítási recept. De a mai ujjnyomolvasók már detektálják az élő ujjat. Maga a hamisítás lehetősége alkalmazásfüggő, például egy felügyelet nélküli rendszernél van veszélye, míg portaszolgálat mellett nehezebb. Való igaz, a biometriai azonosító megszerzése ujj esetében is könnyű: porozó felszerelés, szitanyomás, szilikongumi, ... És hát kell egy adag szakértelem, ami nem mondható általánosnak. (Érdekességként: lehet olvasni olyan ujjnyomolvasóról, amelyet kiegészítettek egy olyan szagdetektorral, mely a hamis ujj készítéséhez használt szilikongumi által tartalmazott vegyszer szagát jelzi.)
"A kisméretű ujjnyomokat nem tudják azonosítani"
Van egy szóbeszéd, mely szerint a gyerekujjak és a női ujjak, melyeknél a fodorszálak vékonyak nem alkalmas az ujjuk automatikus azonosításra.
Kétségtelenül van alapja: a normál ujjon a fodorszálak vastagsága 500 dpi mellett 10-12 pixel (500-600 mikron) de a vékony fodorszálnál ez lemegy 5 pixelre (250 mikron). Ha az olvasó 250 dpi-s, akkor valóban, a fodorszálra már csak 2 pixel jut, ami nehézzé teszi az azonosítást (a minuciakeresőnek nehezebb dolga lesz).
Ma már minden olvasó 500 dpi-s.
"Az irisz azonosítás pontosabb az ujjnyomat azonosításnál"
Azt mondják, hogy az irisz azonosítás elméletileg pontosabb, emiatt jobb, mint az ujj. Vajon igaz ez? Van bizonyíték arra, hogy pontosabb? Honnan származhat ez a szóbeszéd?
Az egyik, hogy azt gondolják: mivel az Irisz kód 256 byte, akkor ennek a számossága 10 a 256-ikon van. Ez hülyeség. A kód méretéből még nem következik a pontosság.
Az iriszazonosítás pontosságát csökkentik a felvétel nehézségei, illetve az írisz "hibái":
Az "irisz-ujj" versenyben egyéb továbbiérvek is vannak mindegyik mellett: ujjunk 10 is van, meg a tenyerünk is ott van, de iriszből is van másik, de az ujjon ott vannak a pórusok, stb…
"Az irisz, retina vizsgálat lézert használ, és ez ártalmas"
Nem igaz, infra fényt (near infrared) használnak.
"Az irisz azonosítást be lehet csapni színes lencsével"
Infra kamerát használnak, és a kép feketefehér.
Egyéb irisz tévhitek
A terhesség befolyásolja: nem igaz.
A glaukóma (zöldhályog) és a cukorbetegség befolyásolja: az iriszt nem, de a retinát igen.
Szürkehályog befolyásolja: nem igaz.
"Az ujjnyomatból megállapítható a személy neme"
Nem.
"Nagy adatbázison történt a mérés, amikor a pontosságot meghatározták..."
Minél nagyobb adatbázison történik a mérés, annál pontosabb az eredmény: ez igaz. De milyen is ez a nagy adatbázis?
Többen használnak szintetikus adatbázisokat a mérésekhez, hiszen nagyon nehéz összegyűjteni pl. 200 ezer személy irisz kódját, vagy ujjnyomatképét. Ilyenkor jön a szintetikus adatbázis. Akik használnak ilyet, azok tudják, hogy majdnem olyan nehéz egy jó szintetikus adatbázist összeállítani, mint összegyűjteni az ujjnyomatképeket. Ujjnyomatoknál nem elegendő egy ujjnyomat területen (1*1 inch) véletlenszerűen elhelyezni 60 pontot, és azokhoz véletlenszerűen irányt rendelni.
Mert a minúciaipont sűrűség, a minucia vektor iránya és az ujjnyomat rajzolatok között korreláció van. A sajátosságok eloszlásáról komoly statisztikák vannak: ennek alapján becsülték egyáltalán az azonosítás pontosságát.. Tehát marad a kérdés: nem elég, hogy nagy, de milyen statisztikájú a szintetikus adatbázis, és az hogy viszonyul a valóshoz?