Einführung
Eines der größten Probleme im Bereich der Informationssicherheit ist die Überprüfung, ob eine Person, die auf vertrauliche, sensible oder geheime Informationen zugreift, dazu berechtigt ist. Ein solcher Zugriff wird normalerweise dadurch erreicht, dass eine Person ihre Identität durch ein Authentifizierungsverfahren angibt.
Vereinfacht ausgedrückt, muss die Person, die Zugang zu einer Verschlusssache hat, ihre Identität bestätigen, bevor sie Zugang zu den Informationen erhält (Daugman 1148-1153). Wenn die Personen ihre Identität nicht angeben können, wird ihnen der Zugang zu den Informationen verweigert.
Es gibt drei Authentifizierungsmethoden, nämlich die Verwendung von Passwörtern, die Verwendung von Token oder Smartcards und die biometrische Authentifizierung. Bei der biometrischen Authentifizierung werden Benutzer anhand ihres Verhaltens oder ihrer physiologischen Merkmale identifiziert.
In diesem Beitrag werden die verschiedenen Arten der biometrischen Authentifizierung, ihre Funktionsweise, ihre Vor- und Nachteile sowie die Probleme des Datenschutzes bei der biometrischen Authentifizierung untersucht.
Arten der Authentifizierung
Es gibt zahlreiche Arten von biometrischen Authentifizierungen. Dazu gehören die Fingerabdruckerkennung, die Stimmerkennung, die Gesichtserkennung und die Iriserkennung.
Die Erkennung von Fingerabdrücken erfordert die Aufnahme eines Bildes der Fingerspitzen einer Person und die Speicherung ihrer Merkmale wie Bögen, Spiralen und Schleifen zusammen mit den Umrissen von Rillen, Minutien und Kämmen. Es gibt drei Möglichkeiten, einen Fingerabdruckvergleich durchzuführen.
Dabei handelt es sich um “Minutienabgleich, Korrelationsabgleich und Ridge-Merkmal-Abgleich” (Khan und Jiashu 82). Nach Khan und Jiashu “speichert der minutienbasierte Abgleich die Minutien als eine Reihe von Punkten in einer Ebene. Die Punkte werden mit der Vorlage abgeglichen und die eingegebenen Minutien bestätigt” (83).
Auf der anderen Seite “überlagert der korrelationsbasierte Abgleich zwei Fingerabdruckbilder und berechnet die Verbindung zwischen übereinstimmenden Pixeln” (Khan und Jiashu 83).
Die auf Rippenmerkmalen basierende Technik ist “eine fortschrittliche Methode, die Rippen erfasst, da die Erfassung von Minutien bei Fingerabdruckbildern von geringer Qualität schwierig ist” (Khan und Jiashu 83). Das Scannen von Fingerabdrücken ist konsistent und sicher. Es schützt Zugangsgeräte für Haustürschlösser.
Die andere Art der Authentifizierung nutzt die Spracherkennung. Bei dieser Form “werden verhaltensbezogene und physiologische Elemente kombiniert, um Sprachmuster zu erzeugen, die durch Sprachverarbeitungstechnologie erfasst werden können” (Zhang 46).
Die Authentifizierungsmethode nutzt eingebaute Merkmale des Sprechers, wie z. B. die nasale Tonlage, den Akzent und den Rhythmus. Spracherkennungsmethoden können je nach Art des Authentifizierungsbereichs in verschiedene Gruppen eingeteilt werden. Eine dieser Kategorien ist die Festtexttechnik, bei der ein vorgegebenes Wort zur Authentifizierung verwendet wird.
Die andere Gruppe ist die textabhängige Methode, bei der eine Person einen bestimmten Satz oder eine Aussage aussprechen muss. Das Wort oder die Phrase wird dann auf der Grundlage des grundlegenden Stimmmusters der Person analysiert.
Die textunabhängige Technik ist eine weitere Kategorie der Spracherkennungstechnik, bei der eine Person einen Satz oder ein Wort artikulieren muss (Shaw 18). Das System “berechnet dann den Abgleich auf der Grundlage der grundlegenden Sprachmuster unabhängig vom Text und der verwendeten Sprache” (Shaw 18).
Bei dieser Methode der biometrischen Authentifizierung werden mit einer Digitalkamera Gesichtsbilder aufgenommen. Anschließend werden Gesichtsmerkmale wie der Abstand zwischen Kieferkanten, Mund, Nase und Ja analysiert.
Die Dimensionen werden in Gesichtsebenen aufgeteilt und in einer Datenbank gespeichert. Die Gesichtserkennung funktioniert auf zwei Arten: Aussehen und Geometrie des Gesichts.
Nach Daugman “erfolgt die Gesichtserkennung durch Fourier-Transformation des Gesichtsbildes in seine Grundfrequenzen und Bildung von Eigenflächen, die aus Eigenvektoren der Kovarianzmatrix eines Satzes von Trainingsbildern bestehen. …die Benutzeridentifikation verwendet einzigartige Merkmale des Gesichts” (1153).
Die Gesichtsgeometrie konfiguriert ein menschliches Gesicht auf der Grundlage bestimmter Gesichtsmerkmale wie Mund und Augen. Anschließend wird die geometrische Anordnung dieser Merkmale berechnet, was den Abgleich bei der Gesichtserkennung erleichtert.
Kosten und Wartungskosten
Die Installations- und Wartungskosten eines biometrischen Authentifizierungssystems hängen von den verwendeten Authentifizierungsarten ab. Die Technik der Stimmerkennung ist die billigste. Die Kosten für diese Technik umfassen den Kauf der Hardware und der Software, die zur Authentifizierung der Stimme des Benutzers verwendet wird.
Die Hardware könnte aus Mikrofonen bestehen, die billig (4 $ pro Stück) und leicht zu finden sind (Zhang 76). Die Technik erfordert keine spezielle Hardware, und die Wartungskosten umfassen den Kauf neuer Mikrofone oder die Reparatur defekter Mikrofone.
Die Kosten für die Installation eines Fingerabdruck-Authentifizierungssystems sind im Vergleich zu einem Spracherkennungssystem höher. Der Installationsprozess umfasst den Kauf eines Fingerabdrucklesegeräts und einer Software zur Speicherung der verschiedenen Fingerabdrücke und zur Erleichterung des Abgleichs bei der Authentifizierung.
Die Methode erfordert spezielle Hardware, was sie teuer macht. Außerdem sind die Wartungskosten hoch, da es teuer ist, das System aufzurüsten (Zhang 77). Um das System aufzurüsten, müsste man bessere Software und Hardware kaufen, die teuer sind.
Die Kosten eines biometrischen Authentifizierungssystems mit Gesichtserkennung hängen von der Sicherheitsstufe des Systems ab. Die besseren Systeme sind sehr teuer. Die Kosten umfassen die Kosten für das Gesichtsscangerät und die Datenbanksoftware zur Speicherung und Berechnung der Gesichtsanalyse.
Für den Betrieb des Systems ist spezielle Hardware erforderlich, weshalb die Kosten für die Installation und den Betrieb des Systems hoch sind (Daugman 11159). Außerdem sind die Wartungskosten hoch, da sowohl die Software als auch die Hardware mit den steigenden Sicherheitsanforderungen aktualisiert werden müssen.
Vorteile und Nachteile
Obwohl die verschiedenen Arten biometrischer Authentifizierungssysteme zahlreiche Vorteile haben, weisen sie auch einige Nachteile auf. Das Gesichtserkennungssystem ist sicher, da das Bild des Benutzers vor der Authentifizierung mit einem bekannten Bild verglichen wird.
Daher kann niemand Zugang zu Informationen oder Gebäuden erhalten, wenn seine Gesichter nicht mit den gespeicherten Daten übereinstimmen. Die Bilddarstellung ist kompakt, was bedeutet, dass das System die Bilder kaum verwechseln kann (Fierrez-Aguilar et al. 777).
Einer der Nachteile bei der Verwendung von Gesichtserkennungssystemen ist, dass das System bei der Erkennung automatischer Merkmale auf Probleme stößt. In einem solchen Fall trifft das System willkürliche Entscheidungen, die die Sicherheit gefährden könnten.
Das Fingerabdruckerkennungssystem ist eines der fortschrittlichsten Systeme. Das System ist einfach zu bedienen. Jeder Mensch hat einzigartige Fingerabdruckmerkmale. Folglich ist das biometrische System für Fingerabdrücke bemerkenswert genau, was es sicher macht.
In gewisser Weise verletzt das System die Privatsphäre der Nutzer, da es mit der Identifizierung von Straftätern verbunden ist. Außerdem könnte das System fehleranfällig sein, wenn der Finger des Benutzers schmutzig oder nass ist (Fierrez-Aguilar et al. 778).
Ein Spracherkennungssystem ist nicht aufdringlich und daher sehr akzeptabel. Außerdem ist die Verifizierungszeit des Systems kurz und daher äußerst effizient. Trotz dieser Vorteile ist es möglich, die Stimme einer anderen Person aufzuzeichnen und sie für den unbefugten Zugang zu einem Gebäude oder Netzwerk zu verwenden.
Krankheiten wie Erkältungen können die Stimme einer Person verändern, was dazu führt, dass das System der Person den Zugang zum Netz verweigert (Fierrez-Aguilar et al. 778).
Die Rolle der biometrischen Authentifizierung
Alle biometrischen Authentifizierungssysteme haben die Aufgabe, einen kontrollierten Zugang zu Netzen, PCs oder Anwendungen zu gewährleisten. Das Authentifizierungssystem hilft dabei, die Identität einer Person festzustellen, bevor ihr der Zugang zu gesicherten Informationen, Gebäuden, Computern oder Netzen gewährt wird.
Derzeit verwenden Gesundheitseinrichtungen biometrische Authentifizierungssysteme, um vertrauliche Informationen über Patienten zu schützen. Kurz gesagt, die eigentliche Aufgabe aller biometrischen Authentifizierungssysteme besteht darin, Netze, Anwendungen, Gebäude und Personalcomputer zu schützen (Wayman 93-99).
Die biometrische Authentifizierung ist nicht nur bequem und sicher, sondern auch effizient. Authentifizierungssysteme wie Fingerabdruckerkennung, Stimmerkennung und Gesichtserkennung verwenden eine Reihe von Kontrollmethoden und sind daher effizient.
Außerdem reagieren die Systeme schnell auf das sich verändernde Umfeld und sind leicht zu aktualisieren. Außerdem erleichtern biometrische Authentifizierungssysteme nicht nur die Sicherung von Netzwerksystemen und Informationen innerhalb einer Organisation, sondern sie helfen auch bei der Überwachung der Anwesenheit von Mitarbeitern (Ratha 618-620).
Die Vielseitigkeit des Systems macht die Methode im Vergleich zu den herkömmlichen Authentifizierungsmethoden effizienter.
Einige der biometrischen Authentifizierungsmethoden sind sehr aufdringlich und können die Privatsphäre des Nutzers verletzen. So werden beispielsweise Fingerabdruck- und Gesichtserkennung mit der Identifizierung von Kriminellen in Verbindung gebracht. Daher lehnen die meisten Menschen diese Authentifizierungsmethoden ab, es sei denn, sie haben keine Alternative.
Außerdem befürchten einige Benutzer, dass die Verantwortlichen der Organisation die gegebenen Authentifizierungsinformationen verwenden könnten, um die Benutzer in einer Weise zu überwachen, die ihre Privatsphäre verletzen könnte (Wayman 100-102).
Biometrische Authentifizierungsmethoden sind in hohem Maße mit verschiedenen Sicherheitsanforderungen vereinbar. Personen können auf einige der gesicherten Systeme von einem entfernten Standort aus zugreifen.
Folglich ist die biometrische Authentifizierung mit solchen Systemen kompatibel, da es für eine Organisation schwierig ist, alle Personen zu überwachen, die von entfernten Standorten aus auf ihr System zugreifen.
Außerdem sind die Systeme mit zahlreichen Software- und Hardware-Plattformen kompatibel. Daher lassen sie sich je nach Sicherheitsbedarf leicht aufrüsten oder ändern (Wayman 104-105).
Viele Maßnahmen gegen Spoofing können dazu beitragen, die Sicherheit der biometrischen Authentifizierung zu erhöhen. Eine der Maßnahmen zum Schutz vor Fälschungen ist die Anwendung multimodaler biometrischer Systeme.
Dabei werden zwei oder mehr biometrische Typen in einem einzigen biometrischen System kombiniert. Um beispielsweise die Sicherheit der Fingerabdruckerkennung zu erhöhen, kann man die Gesichtserkennung in das System integrieren (Schuckers 56-59).
Eine weitere Maßnahme zum Schutz vor Spoofing, die die Sicherheit eines biometrischen Systems erhöhen kann, ist die Erkennung von Lebendigkeit. Obwohl die biometrischen Geräte physiologische Informationen verwenden, zeigen diese Informationen nicht an, dass die Person lebendig ist.
Das Ziel der Integration von Liveness in ein biometrisches System ist es, sicherzustellen, dass die präsentierten biometrischen Merkmale die tatsächlichen Merkmale der Person sind, die eine Genehmigung beantragt.
Bei der Gesichtserkennung kann die Lebendigkeit zum Beispiel ein Blinzeln der Augen beinhalten. Dies würde es erleichtern, sicherzustellen, dass eine Person nicht mit falschen Informationen eine Genehmigung beantragt (Schuckers 60-62).
Die Sicherheitsfragen im Zusammenhang mit der biometrischen Authentifizierung “lassen sich in zwei Gruppen einteilen: Bedenken hinsichtlich der theoretischen Grundlage der Biometrie und der Anfälligkeit des biometrischen Authentifizierungssystems” (Ratha 614). Die Nutzer biometrischer Systeme sind anfällig für Sicherheitsbedrohungen im Zusammenhang mit der Kompromittierung des Systems oder dem Identitätsdiebstahl.
Biometrische Merkmale sind dauerhaft mit einem bestimmten Benutzer verbunden. Wenn also ein biometrisches Muster kompromittiert wird, hat dies Auswirkungen auf alle Anwendungen, die es verwenden.
Letztendlich würde es das System oder die Identität des betroffenen Benutzers beeinträchtigen. Darüber hinaus werden biometrische Authentifizierungssysteme auf einem Server-Computer ausgeführt. Daher sind sie anfällig für Viren und kryptografische Angriffe, die die Sicherheit eines Systems oder eines Benutzers gefährden könnten.
Schlussfolgerung
Die biometrische Authentifizierung ist eine der sichersten Methoden zur Gewährung von Zugangsrechten zu verschiedenen Systemen oder Netzen. Sie kann in Form von Fingerabdruckerkennung, Stimmerkennung oder Gesichtserkennung erfolgen. Obwohl ein biometrisches System sicher ist, ist es anfällig für zahlreiche Sicherheitsbedenken.
So ist das System beispielsweise anfällig für Viren und kryptografische Angriffe. Um die Sicherheit zu erhöhen, sollte man zwei oder mehr Formen der Authentifizierung in einem einzigen System kombinieren.
Zitierte Werke
Daugman, John G. “High confidence visual recognition of persons by a test of statistical impedance”. IEEE Transactions on Pattern Analysis and Machine Intelligence 15.11 (2004): 1148-1161. Drucken.
Fierrez-Aguilar, Julian, Javier Ortega-Garcia, Joaquin Gonzalez-Rodriguez, und Josef Bigun. “Discriminative multimodale biometrische Authentifizierung auf der Grundlage von Qualitätsmaßen. Pattern Recognition 38.5 (2006): 777-779. Drucken.
Khan, Muhammad Khurram und Jiashu Zhang. Verbesserung der Sicherheit eines “flexiblen biometrischen Fernauthentifizierungsverfahrens”. Computer Standards & Interfaces 29.1 (2007): 82-85. Print.
Ratha, Nalini K. “Enhancing Security and Privacy in Biometrics-Based Authentication Systems”. IBM Systems Journal 40.3 (2001): 614-634. Drucken.
Schuckers, Stephanie. “Spoofing und Anti-Spoofing-Maßnahmen”. Technischer Bericht zur Informationssicherheit 7.4 (2002): 56 – 62. Drucken.
Shaw, Andrew. “Voice Verification – Authentifizierung von Remote-Benutzern über das Telefon”. Netzwerksicherheit 8.1 (1997): 16-20. Drucken.
Wayman, James L. “Grundlagen der biometrischen Authentifizierungstechnologien”. Internationale Zeitschrift für Bild und Grafik 1.1 (2001): 93-105. Drucken.
Zhang, David D. Biometrische Lösungen: Für die Authentifizierung in einer elektronischen Welt. Norwell: Kluwer Academic Publishers, 2002. Gedruckt.