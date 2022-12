Biometrie má představovat jeden z pilířů moderních autentizačních systémů. Mnoho implementací je však až děsivě nepřesných, což lze ohodnotit jen tak, že lepší je něco než nic. Ostatně, už jen to, že biometrie je obecně považována za spolehlivou, může být dostatečný důvod k tomu, aby podvodníky odradil od pokusů ji zneužít.





Postřehy bezpečnostních specialistů ze společnosti KnowBe4 však poukazují na praktické důvody, proč biometrie v reálném světě příliš nefunguje.

Jeden ze zástupců firmy, Roger Grimes, cituje studii, která hodnotila na 733 algoritmů zpracovávajících otisky prstů a 450 těch na rozpoznávání tváře. Testy mají řadu proměnných, ale jistou hranicí byla jedna chyba na 100 tisíc testů. „Ani jeden z testovaných algoritmů se této hranici ani nepřiblížil,“ uvádí Grimes. „Ty nejlepší mají chybovost 1,9 % čili skoro dvě chyby na každých sto testů. Z praxe však vím, že je zpravidla daleko vyšší.“

Trošku se nad tím zamysleme. Jednoduše se ukázalo, že mnoho biometrických implementací jednoduše nesplňuje očekávání. Přitom firmy včetně Applu či Googlu musí volit, jak přísné nebo mírné ověřování v jejich systémech bude. A protože nechtějí, aby majitelé telefonů byli ve větším množství neoprávněně blokováni, volí méně přísné ověření, čímž v podstatě dávají zelenou přístupu k zařízení většímu počtu neoprávněných osob.

Vybavíte si videa dětí či sourozenců odemykajících telefony svých blízkých skrz rekognici tváře? Má to své opodstatnění.

Dalším klíčovým faktorem je teoretická přesnost, versus ta skutečná. Rozpoznávání tváře je teoreticky mnohem přesnější, jelikož zohledňuje větší počet datových bodů. V praxi tomu ale tak často není. Viděli jste už dítě či sourozence otevřít cizí telefon otiskem prstu? U toho nehraje roli tolik proměnných jako osvětlení, make-up či změna účesu.

Anebo vzdálenost. Při rozpoznání tváře musí být telefon v optimální vzdálenosti a z vlastní zkušenosti můžu potvrdit, že Face ID na mém iPhonu mě nepozná zhruba v 60 % případů. Přitom ho stačí natočit jen trošku jinak. S otiskem prstů takový problém často není.

A nezapomínejme na to, že z pohledu autentizace, spousta biometrických implementací je k ničemu už jen proto, že když autentizace selže, telefon si po vás vyžádá PIN. Jinými slovy, když vám ho někdo ukradne a bude chtít obejít biometriku, postačí, když dvakrát selže a pak telefon otevře přes PIN, což je pro něj jednodušší. Co z toho plyne? To, že většina výrobců telefonů používá biometrii ani ne tak pro autentizaci a zabezpečení, ale kvůli pohodlnosti. Je přece fajn moct otevřít telefon bez zapisování PINu, ne?

„Zabezpečení skrz biometriku je prakticky všemi výrobci nadhodnocováno,“ hodnotí Grimes. A poukazuje také na jeho neměnnou povahu. Když vám někdo zcizí PIN či heslo, jednoduše si vygenerujete nové. Dokonce i fyzický token můžete nahradit. Co když vám někdo zcizí biometriku? Na plastiku nejspíš nepoběžíte.

Hlavní problém je tedy v tom, jak biometriku vnímáme. Její současná implementace není ničím víc než prostředkem k pohodlnosti, nabízena však je jako něco vyvinutého pro zabezpečení, a uživatelé ji tak také berou. Samozřejmě, je řada způsobů, jak s ní pracovat skutečně bezpečně. Fungují zpravidla skeny rohovky i otisků prstů. Rozpoznávání dle hlasu jde však oklamat až příliš snadno.

To nás přivádí zpět k nastavení. Pokud je dostatečně striktní, dokonce i rekognice tváře se může stát adekvátním zabezpečovacím mechanismem. Ve všednodenní praxi však na biometrii v souvislosti s bezpečností kdovíjak nespoléhejte.