יומן אבטחה

מסתבר כי למי שחוקרת את תחום הביומטרי ב-Deloitte & Touche יש חשש שפשע העתיד הוא זיוף זיהוי ביומטרי. האמת היא שאם הייתי במקומה הייתי גם כן דואג. בערך. זיוף זיהוי ביומטרי הוא לא דבר חדש במיוחד, אף כי זה מפליא אותי איך עד היום כמעט כל מי שנוגע בביומטרי חושב שזה לא ניתן לביצוע. אני לא יודע אם Tsutomu Matsumoto היה הראשון לבצע זיוף של טביעת אצבע לצורך בדיקת אמצעי זיהוי ביומטריים, אך הוא כנראה הידוע מכולם. הוא עשה את זה באמצעות שימוש בחומרים שאפשר לקנות בכל חנות בעלות כוללת של בערך 100 שקל (את הטביעה עצמה הוא יצר מדובי ג'לי) במצגת הזו תוכלו לראות כיצד הוא עשה זאת (הוא הצליח להונות 11 מערכות מתוך 11 שנבדקו). אם עוד לא השתכנעתם, הנה ניסוי מוצלח אחר. ואגב, למיטב ידיעתי כבר הוכח כי ניתן לזייף גם קריאת רשתית.

בסופו של דבר, צריך להבין דבר מאוד בסיסי בזיהוי ביומטרי. זיהוי ביומטרי הוא זיהוי מבוסס סיסמא. סיסמא מורכבת אולי, אבל סיסמא סטטית שנשארת איתנו לכל החיים ושאנו משאירים בכל מקום (לכל הפחות במקרה של טביעת אצבע). יש הרבה יתרונות וחסרונות לזיהוי ביומטרי ואני לא מתכוון לסקור את כולם כאן. מה שכן אעשה זה להפנות אותכם לקטע ממאמר של ברוס שנייר:

Biometrics are powerful and useful, but they are not keys. They are useful in situations where there is a trusted path from the reader to the verifier; in those cases all you need is a unique identifier. They are not useful when you need the characteristics of a key: secrecy, randomness, the ability to update or destory. Biometrics are unique identifiers, but they are not secrets.