Fingeravtrykk til autentisering. hvor gode er dagens løsninger?

Transkript

1 Fingeravtrykk til autentisering - hvor gode er dagens løsninger? Kåre Presttun kaare@mnemonic.no

2 Agenda Autentisering og identifisering Sterk autentisering Biometriske metoder Autentisering med fingeravtrykk Lover og regler

3 Autentisering og identifisering Autentisering: Å verifisere eller bekrefte en påstått identitet Identifisering: Å gjenkjenne identiteten til en person i mengden av mulige identiteter Generelt mye vanskeligere enn autentisering Her skal vi konsentrere oss om autentisering.

4 Metoder for autentisering Det finnes tre hovedklasser med metoder for autentisering av personer 1. Ved hjelp av noe personen vet Eksempelvis passord eller PIN-kode 2. Ved hjelp av noe personen har Eksempelvis kort eller passordkalkulator 3. Ved hjelp av en egenskap ved personen (Biometri) Eksempelvis fingeravtrykk, utseende eller signatur

5 Sterk autentisering Sterk autentisering (to-faktor) benytter to metoder fra to forskjellige klasser Vanlige eksempler er: Kort + PIN-kode Passordkalkulator + PIN-kode Kort med bilde + utseende Kort + fingeravtrykk

6 Biometriske metoder Biometriske metoder brukes som betegnelse på teknologi som måler og analyserer menneskelige fysiske og dynamiske (oppførselsmessige) egenskaper: Fysiske egenskaper: Fingeravtrykk Retinamønster (inne i øyet) Irismønster (rundt pupillen) Ansikt (utseende) DNA Dynamiske egenskaper: Signatur (håndskrevet) Stemmeavtrykk

7 Biometriske metoder Fysiske egenskaper: Benyttes både til autentisering og identifisering Dynamiske egenskaper: Benyttes stort sett bare til autentisering

8 Biometriske metoder En sammenligning fra:

9 Fingeravtrykksensorer Selve fingeravtrykket må avbildes på en eller annen måte. Det finnes fire forskjellige avbildningsteknologier: Optisk Kapasitiv Ultrasonisk Termisk Optisk og kapasitiv er de mest vanlige I tillegg må en referanse-mal lages ut fra bildet. Når avtrykket skal verifiseres må ny mal sammenlignes med referansen Prisene ligger på fra $25 til over $100 for USB-enheter

10 Fingeravtrykksensorer Bilde fra Fujitsu Kapasitiv sensor: Pro: Ikke følsom for skitten finger Ikke lett å lure med falsk finger Kon: Kan ødelegges av elektrostatisk utladning $69

11 Fingeravtrykksensorer Optisk sensor Pro: Ikke følsom ødelegges av elektrostatisk utladning Kon: Lett å lure med falsk finger Følsom for skitten finger Følsom for skittent vindu Microsoft: Fingerprint Reader should not be used for protecting sensitive data such as financial information or for accessing corporate networks. $25 - $50

12 Fingeravtrykksensorer Optiske sensorer Følsomme for skitten finger og skittent vindu. Trykkesverte fra avislesning kan være nok Må kombineres med levende finger deteksjon

13 Fingeravtrykk Hvor gode er de? False Reject Rate (FRR) False Accept Rate (FAR) Equal Error Rate (EER), FRR=FAR FRR og FAR kan balanseres mot hverandre (avhengig av hva som er viktig) så ofte benyttes EER som et mål på godheten til systemet.

14 FpVTE 2003 Fingerprint Vendor Technology Evaluation: Undersøkelsen ble utført i 2003 og rapporten publisert juli 2004 Test utført med innskannede fingeravtrykk fra visumsøknader og kriminelle tatt med blekksvertet finger The most accurate fingerprint system tested (NEC MST) using operational quality single fingerprints: 99.4% true accept rate (tilsvarer 0.6% 0.01% false accept rate (FAR) 99.9% true accept rate (tilsvarer 0.1% 1.0% false accept rate (FAR)

15 Test av algoritmer (FVC) International Fingerprint Verification Competition Test av algoritmer - FVC FVC2006 Utføres I fellesskap av: The Biometric System Laboratory (University of Bologna), the Pattern Recognition and Image Processing Laboratory (Michigan State University), the Biometric Test Center (San Jose State University) and the Biometrics Research Lab - ATVS (Universidad Autonoma de Madrid)

16 Test av algoritmer (FVC2004) Enroll time limit Match time limit Model size limit Allocated memory limit Open category 10 seconds 5 seconds No limit No limit Light category 0.5 seconds 0.3 seconds 2 kbytes 4 MBytes Testet på totalt 800 fingeravtrykk i fire databaser (100 fingrer x 8 avtrykk per finger). Optisk, optisk, termisk og SFinGe Beste algoritme: Åpen kategori: 2.07% EER, sammenligningstid 1,48 s Lett kategori: 3.51% EER, sammenligningstid 0,22 s

17 Test av algoritmer (FVC2006) Enroll time limit Match time limit Model size limit Allocated memory limit Open category 5 seconds 3 seconds No limit No limit Light category 0.3 seconds 0.1 seconds 2 kbytes 4 MBytes Testet på totalt 1800 fingeravtrykk i fire databaser (150 fingrer x 12 avtrykk per finger). Kapasitiv, optisk, termisk og SFinGe Beste algoritme: Åpen kategori: 2.48% EER, sammenligningstid 0.08 s Lett kategori: 3.78% EER, sammenligningstid s

18 Lover og regler Personopplysningsloven 12. Bruk av fødselsnummer m.v. Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Datatilsynet kan pålegge en behandlingsansvarlig å bruke identifikasjonsmidler som nevnt i første ledd for å sikre at personopplysningene har tilstrekkelig kvalitet. Kongen kan gi forskrift med nærmere regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler. Det kritiske ordet er identifikasjonsmidler til forskjell fra autentisering.

19 Lover og regler Tysvær kommune ønsker å bruke bærbare PCer med innebygget fingeravtrykk gjenkjenning for autentisering og aksesskontroll. De fikk først avslag fra datatilsynet. Personvernnemndas avgjørelse PVN Etter en konkret vurdering er Personvernnemnda kommet til at det i denne situasjonen foreligger et saklig behov for bruk av fingeravtrykk som entydig identifikasjonsmiddel, og at dette er nødvendig for å oppnå en slik sikker identifisering og autentisering. Den planlagte bruken er derfor tillatt i samsvar med personopplysningsloven 12. Poenget er at det benyttes til autentisering og at fingeravtrykket ikke kan gjenskapes fra malen (template).

20 Hvor gode er de? Biometriske metoder er ikke godt nok som autentiseringsmetode i seg selv Fingeravtrykkverifisering har mange gode kvaliteter Regelen for sterk autentisering (to-faktor) gjelder Fingeravtrykkverifisering kombinert med kort for lagring av referansen er lovende

21 Informasjon - ISO/IEC JTC 1/SC Standarder innen biometri - The Biometric Consortium - The Biometrics Institute - The Biometrics Resource Center - Computer Security Resource Center - Biometrics at Michigan State University - Biometric at San Jose State University - The Biometric System Laboratory at University of Bologna

22 Takk for oppmerksomheten