Biyometrik Yöntemler İle Kimlik Doğrulama

0
322
views
Kimlik doğrulama yöntemlerinden Tip 3 kimlik doğrulama – olduğunuz bir şey (something you are) – eşsiz fiziksel özellikleri tanımlama veya doğrulama aracı olarak kullanan biyometridir. “Biyometrik” terimi, Yunanca “bios” (yaşam) ve “metrik” (ölçüm) sözcüklerinden türemiştir. Bu yazıda bilgi güvenliğinin temel unsurlarından kimlik doğrulamanın üçüncü yöntemi olan biyometri konusu incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Çeşitleri

Biyometrik metodlar fizyolojik ve davranışsal olmak üzere ikiye ayrılır.

  • Fizyolojik Metodlar (Physiological): Bir bireyin yüz detayları, parmak izi (sabıka sorgulama veya hasta kayıt/tanıma işlemlerinde), el geometrisi, avuç izi, iris desenleri, retina taraması (kan damarı seviyesi taranır), kan örneği veya ses tanıma (ses ses teli/boşluğu ve ağız hareketleri kişiye özeldir) olabilir. Kısacası, kişinin fiziksel özellikleri analiz edilir.
  • Davranışsal Metodlar (Behavioral): El yazısı (imzası) tanıma (kalem tutuş tarzı, yazı stili, yazış baskısı, yazma hızı kişiye özeldir), klavye hareketlerini algılama (klavyeye basma hızı/tarzı/baskısı kişiye özeldir) olabilir. Kısacası, kişinin neyi ve nasıl yaptığı analiz edilir.

 

Seçilen bireysel özellikler, bir cihazın hafızasında veya bir kartta saklanır, buradan depolanan referans verileri (Reference Profile / Reference Template) analiz edilebilir ve sunulan şablonla karşılaştırılabilir. Sunulan şablonun saklanan şablonla bire-çok veya bire-bir karşılaştırması yapılabilir ve bir eşleşme bulunursa erişim verilebilir.

 

Biyometrik kontrol türleri sonraki başlıklarda detaylandırılacaktır.

 

B) Avantajları

  • Biyometrik teknoloji, kişiye özel ve taklit edilmesi zor olan verileri içerir.
  • Biyometri bir bireyin fiziksel özellikleriyle ilişkili olduğundan, o kişinin bu erişim yeteneğini unutması, yanlış yerleştirmesi veya başka bir şekilde kontrolünü kaybetmesi daha zordur.
  • Biyometrik okuyucular en güvenilir yöntemlerdendir. Kimlik bilgisi cihazlarına ek olarak veya bir PIN kodu ile de kullanılabilir. Bu tür bir güvenlik teknolojisi, devlet birimlerinde (Hassas Bölmeli Bilgi Tesisi – Sensitive Compartmented Information Facility – SCIF), askeriyede veya bir veri merkezi gibi yüksek güvenlikli alanlarda bulunur.
  • Bazı biyometrik okuyucu türlerinin büyük ölçekli üretimindeki mevcut kazanımlar, biyometriyi geleneksel kart okuyuculara maliyet olarak yaklaştırmıştır.

 

C) Dezavantajları

  • Biyometrik tarayıcılar tipik olarak diğer okuyucular kadar hızlı olmasa da, bu teknolojiler hala gelişmektedir.
  • Veriye hızlı erişmek adına verinin şifrelenmeden/hashing işlemi sağlanmadan saklanması ve kullanılan sistem içeriklerinin kalite/yeterliliği sağlayamaması (yüksek yanlış kabul oranına (FAR) sahip olması) gibi nedenler ile biyometrik veri depoları ve okuyucular kasıtlı manipülasyona maruz kalabilir. Örneğin, akıllı telefon veya laptoplar üzerinden parmak izi okuyucularının atlatılabilir, vesikalık fotoğraf üzerinde oynanarak veta aile benzerlikleri (yüz hatları vs gibi) ile yüz okuma sistemleri atlatılabilir, kaba kuvvet saldırıları (Hill climbing) gerçekleştirilebilir.
  • Verinin kalitesinin düşük olması (kayıt ve okumada alınan verinin net olmaması/parazitli vb olması) durumunda, sistem okuyucuları (sensör) kimlik doğrulamayı doğru yapamayabilir.
  • Bazı biyometrik sistemler, kullanıcı tarafından bir güvenlik veya sağlık riski olarak algılanabilir. Örneğin, parmak izi, retina okuma gibi pasif kontrol olmayan durumlarda, kişilerin fiziki olarak dokunduğu yüzeyler hastalık bulaştırabilir.
  • Biyometrik kimlik doğrulama yapan sistemlerin bazıları, düzgün çalışması için kullanıcı tarafında beceri gerektirebilir.
  • Bazı biyometrik sistemler, çeşitli nedenlerden dolayı yönetim tarafından kabul edilemez olarak algılanabilir. Büyük ölçekli kuruluşlarda biyometrik verilerin toplanması, güvenli olarak saklanması, toplanan verinin boyutu ve kimlik doğrulama süresi/toleransı, tüm personel için adil kontrolün sağlanamaması (organ eksikliği, parmak izlerinin kesik / yanma olayı nedeni ile değişmesi), kişinin fiziki değişimi (kilo alma/ kaza-yaralanma) biyometrik sistemlerin tercih edilmemesine sabep olabilir.
  • Biyometrik yöntemler, en pahalı kimlik doğrulama yöntemlerindendir. Bu sebeple havalimanları, askeri bölgeler gibi kritik alanlarda kullanılır. Bazı biyometrik okuyucu türlerinin büyük ölçekli üretimindeki mevcut kazanımlar, biyometriyi geleneksel kart okuyuculara maliyet olarak yaklaştırdı.
  • Parmak izi gibi bir takım kimlik doğrulama yöntemlerinde kesin sonuç almak zor olabilir.
  • Ses tanımlama gibi bir takım kimlik doğrulama yöntemlerinde kimlik doğrulayan sistemler kullanıcının sesi kaydedilerek kolayca atlatılabilir, taklit edilebilir.
  • Biyometrik kimlik verileri, kişisel veri olarak nitelenmekte ve daha farklı kişisel bilgileri ortaya çıkarabilmektedir. Örneğin, bazı parmak izi kalıpları kromozomal hastalıklarla ilgilidir. İris desenleri, genetik cinsiyeti ortaya çıkarabilir. Retina taramaları bir kişinin hamile veya şeker hastası olup olmadığını gösterebilir. El damar desenleri, vasküler hastalıkları ortaya çıkarabilir. Bazı davranışsal biyometrik veriler, nörolojik hastalıkları ortaya çıkarabilir.
  • Kayıt süresi (enroll) uzunsa (birkaç dakikadan fazla), biyometrik sistemin kullanıcıyı tarayabildiği / kabul edebildiği veya reddedebildiği hız çok yavaşsa, biyometrik sistemler büyük kullanılabilirlik zorluklarıyla karşılaşabilir.

Buna benzer bir çok sebepten dolayı biyometrik kimlik doğrulama yöntemleri kesin sonuç vermeyen ve tam olarak güvenilir olmayan sistemler olarak da görülebilir ve FRR / FAR / CER değerlerinin ne olduğuna bakılmaksınız tercih edilmeyebilir.

 

D) Hata Türleri

Biyometrik tanımlamada iki tür hata vardır:

  • False Rejection (Hatalı Reddetme): Meşru bir kullanıcının tanınmaması. Bunun, korunan alanı ekstra güvenli tutma etkisine sahip olduğu tartışılabilirken, tarayıcı onları tanımadığı için erişimi reddedilen meşru kullanıcılar için kabul edilemeyen bir durum olabilmektedir.
  • False Acceptance (Hatalı Kabul): Bir kullanıcıyı diğeriyle karıştırarak veya bir sahtekarlığı yasal bir kullanıcı olarak kabul ederek hatalı tanıma.

 

Yukarıdaki resimde de belirtildiği gibi 4 durum için Tip-1 ve Tip-2 olarak iki tipte şekilde hata oluşmaktadır.

(Kolonlar okuyucunun kararını, satırlar ise gerçekteki durumu belirtir.)

 

E) Ölçüm Yöntemleri

Başarısızlık oranları, bir eşleşme bildirmek için eşik (“ne kadar yakınsa”) değiştirilerek ayarlanabilir, ancak bir başarısızlık oranını düşürmek diğerini artıracaktır.

Biyometrik sistemlerin doğruluğu, bir biyometrik kontrol programı uygulamadan önce dikkate alınmalıdır. Biyometrik doğruluğu yargılamak için üç ölçüm kullanılır.

  • False Reject Rate (FRR – Type 1): Yetkilendirilmiş bir özne, biyometrik sistem tarafından yetkisiz olarak reddedildiğinde yanlış bir ret oluşur. Yanlış retler ayrıca Tip I hatası olarak da adlandırılır. Yanlış retler, yetkili kullanıcıların hayal kırıklığına uğramasına, zayıf erişim koşulları nedeniyle işin azalmasına ve yetkili kullanıcıları yeniden onaylamak için kaynakların harcanmasına neden olur.
  • False Accept Rate (FAR – Type 2): Yetkisiz bir özne geçerli olarak kabul edildiğinde yanlış bir kabul meydana gelir. Bir kuruluşun biyometrik kontrolü çok sayıda yanlış ret üretiyorsa, genel kontrol, denekleri doğrularken topladığı veri miktarını azaltarak sistemin doğruluğunu düşürmek zorunda kalabilir. Veri noktaları düşürüldüğünde, kuruluş yanlış kabul oranında bir artış riskiyle karşı karşıya kalır. Kuruluş, yetkisiz bir kullanıcının erişim elde etme riskini alır. Bu tür bir hata, Tip II hatası olarak adlandırılır. Mevcuttaki geçerli bir kullanıcının, yine mevcuttaki başka bir kullanıcıymış gibi görülmesi de Tip 2 hatasına örnek olarak verilebilir.

Güvenlik (Security), Kullanılabilirlik (Usability) açısından daha önemli ise yüksek FRR, yüksek FAR’a göre daha fazla tercih edilir.

 

  • The Crossover Error Rate (CER): False Reject Rate (FRR) ve False Accept Rate (FAR)’in eşit olduğu noktayı tanımlar. CER, Equal Error Rate (EER) olarak da bilinir. Crossover Error Rate, bir biyometrik sistemin genel doğruluğunu tanımlar. CER ne kadar düşükse o kadar güvenilirdir, tercih edilesidir.

 

Bir biyometrik sistemin hassasiyeti arttıkça, FRR’ler artacak ve FAR’lar düşecektir. Tersine, duyarlılık düştükçe, FRR’ler düşecek ve FAR’lar yükselecektir.

 

F) Biyometrik Okuyucular / Biyometrik Kontrol Türleri

Biyometrik yöntem seçimindeki en önemli kriterler aşağıdaki gibi sıralanabilir.

  • Doğruluk, güvenilirlik
  • İşleme hızı (Throughput)
  • Kayıt (enrollment) hızı, süresi
  • Kullanıcıların kabullenmesi

Biyometrik okuyucular, bir bireyin kişisel biyolojik ölçümlerini doğrular. En çok kullanılan biyometrik okuyucular aşağıdaki gibi sıralanabilir

 

F.1) Parmak izi

Parmak izi okuyucu teknolojisi, parmak izinin döngülerini, kıvrımlarını, parmak izinin sırt uçlarını ve diğer özelliklerini tarar ve bunları depolanan şablonlarla karşılaştırır. Bir eşleşme bulunduğunda erişim verilir. Parmak izi teknolojisinin avantajı kolay anlaşılabilmesidir. Dezavantajlar, parmaklarda kesikler veya yaralar ortaya çıkarsa veya gres veya diğer ortam parmakları ve tarama plakalarını kirletirse sistemlerin bozulabilmesidir. Bazı sistemler, bir parmağın yaralanma veya başka yollarla değiştirilmesi durumunda iki farklı parmak için iki şablon oluşturur. Önceleri bu sistemlere okuyuculardaki geçerli parmak izi bilgilerinin türetilen bir başka parmak izi bilgisi ile değişimi gibi riskler taşıdığı gözlemlenmiştir. Sensörler, teknolojinin bu eksikliğiyle mücadele etmek için bir nabız ve sıcaklık algılama yeteneği ile donatılmıştır.

 

Parmak izi tanıma sistemleri parmak izinin tamamını kaydeder, ancak parmak tarama sistemleri belirli (detaylı) özellikleri analiz eder. Bu sebeple, parmak izi tanıma sistemleri, parmak tarama sistemlerine göre daha yavaş doğrulama sağlar ve referans değerleri diskte daha fazla yer kaplar, daha çok sistem kaynağı harcar.

 

F.2) El Geometrisi

Bu teknoloji, elin geometrisini değerlendirir:

  • Parmak uzunluğu
  • Parmak genişliği
  • El genişliği
  • Eklemler arasındaki mesafe
  • Parmak uzunluğu

Parmaklardaki sırt uçları (ridge ending) ve çatallanmalar (bifurcations), el geometri taraması biyometrik ile değil, parmak izi tarama biyometrik sistemi ile değerlendirilir.

El geometrisinin avantajları, sistemlerin dayanıklı ve kolay anlaşılır olmasıdır. El tanımanın hızı, parmak izi tanımadan daha hızlı olma eğilimindedir. El tanıma, tüm ellerin şekli benzersiz olduğu için oldukça doğrudur. Bir dezavantaj, parmak izi tanımadan daha yüksek yanlış kabul oranları verme eğiliminde olmalarıdır. Bu teknoloji, tırnakların değişime uygulandığını belirleyemez ve yalnızca elin geometrik ölçümlerini okur.

 

F.3) Yüz Tanıma

Bu teknoloji, arşivlenmiş bir görüntüye göre öznenin yüzünün geometrik özelliklerini analiz eder, bu işleme de Feature Analysis adı verilir. Spesifik olarak, deneğin gözlerinin merkezi konumlandırılmalı ve kesin konumlara yerleştirilmelidir.

Yazılım, yaşın belirlenmesine yardımcı olmak için cildin genel dokusunu değerlendirebilir. Benleri ve diğer özellikleri tespit edebilir. Kaş şekli kişinin ruh halini belirlemede anahtardır, gölge ve kırışıklıkların araştırılması, yaşın belirlenmesine yardımcı olabilir. Cinsiyeti belirlemek için kullanılan saçların oluşturduğu gölgeleri, ruh halini ve cinsiyeti belirlemek için dudakların şeklini okur.

 

F.4) Ses Tanıma

Ses tanıma, belirli bir cümlenin ses özelliklerini, bir şablonda tutulanla tanımlar. Ses tanıma genellikle tek bir işlev olarak gerçekleştirilmez ve tipik olarak, ses analizörü etkinleştirilmeden önce geçerli bir PIN’in girilmesi gereken bir sistemin parçasıdır. Ses tanımanın bir avantajı, teknolojinin diğer biyometrik teknolojilerden daha ucuz olmasına ek olarak, ellerden bağımsız olarak çalıştırılabilirdir (fiziki kolaylık; elleri kullanmadan çalıştırılmak üzere tasarlanmış olması). Bir dezavantaj, ses sentezleyicinin, sesin arka plan seslerinden rahatsız olmadığı (gürültü oluşmadığı) bir alana yerleştirilmesinin gerekmesidir. Sisteme kabul edilebilir sessiz bir arka plan sağlamak için, sensörü barındırmak için genellikle bir kabin veya güvenlik portalı kurulmalıdır.

 

Ses ile tanıma yöntemi diğer bir çok ymnteme göre mahremiyet açısından kullanıcıların daha az tepkisine sebep olur. 

 

F.5) İris Desenleri

İris tanıma teknolojisi, gözün yüzeyini tarar ve iris desenini depolanan iris şablonlarıyla karşılaştırır. İris taraması, en doğru biyometrik teknolojidir. İris tanımanın bir yararı, hırsızlığa, kaybolmaya veya tehlikeye açık olmaması ve irislerin, vücudun diğer birçok yerine göre aşınma ve yaralanmaya daha az duyarlı olmasıdır. Daha yeni iris tarayıcıları, taramanın on inç uzaklığa kadar yapılmasına izin verir. İris taramasının bir dezavantajı, bazı kişilerin gözlerinin taranması konusunda çekingen olmalarıdır. Bu teknoloji için üretim süresi de dikkate alınmalıdır. Tipik üretim süresi iki saniyedir. Kısa bir süre içinde bir girişten birkaç kişinin işlem görmesi gerekiyorsa, bu sorunlu olabilir.

 

Bir iris taraması, biyometrik okuyucuya gelen parlalıktan, güneşten etkilenebilir. Bu yüzden Güneş veya herhangi bir ışığın herhangi bir açıklıktan iris tarayıcıya gelmesini / yansımasını engellemek için iris tarayıcısının konumu oldukça önemlidir.

 

F.6) Retina Tarama

Retina taraması, her kişiye özgü olan gözün arkasındaki kan damarı katmanını analiz eder. Tarama, düşük yoğunluklu bir LED ışık kaynağı ve desenleri büyük bir doğrulukla okuyabilen bir optik bağlayıcı kullanmayı içerir. Kullanıcının gözlüklerini çıkarması, gözünü cihaza yaklaştırması ve belirli bir noktaya odaklanması gerekir. Kullanıcı, cihazdaki küçük bir açıklıktan bakar ve birkaç saniye boyunca kafasını sabit tutmalı ve gözünü odaklamalı, bu süre zarfında cihaz kimliğini doğrulayacaktır. Bu işlem yaklaşık 10 saniye sürer.

Retina tarama cihazları muhtemelen bugün mevcut olan en doğru biyometriktir. Retina düzeninin yaşam boyunca sürekliliği ve böyle bir cihazı kandırmanın zorluğu, aynı zamanda onu uzun vadeli, yüksek güvenlikli harika bir seçenek haline getirir. Ne yazık ki, tescilli donanımın maliyeti ve göze potansiyel olarak zararlı olduğunu düşünen kullanıcıların olması, retina taramasını çoğu durumda kötü bir uyum haline getiriyor. Tipik olarak bu uygulama, askeri üsler ve nükleer santraller gibi üst düzey güvenlik uygulamalarında kullanılır.

 

Retina ile kimlik doğrulama kullanıcı gizliliğine en çok ihlal eden yöntem olarak görülür. Çünkü, retina taramaları, yüksek tansiyon ve gebelik durumu gibi kişisel tıbbi bilgileri elde etmek için kullanılabilir.

 

İris taramasının, retina taramasına göre avantajları aşağıdaki gibi sıralanabilir:

  • Daha az maliyet
  • Çalışanlar için daha az kayıt süresi
  • Daha az karmaşıklık
  • Daha az kullanıcı kimlik doğrulama süresi

 

F.7) İmza Tarama/Tanımlama

İlk olarak, imzalayan, Interlink by ePad veya Palm Pilot gibi özel bir elektronik altlığa el yazısı bir imza yazar. İmzanın şekli daha sonra, imzalayanın benzersiz yazısını tanımlamak için kalem üzerindeki baskı ve imzanın yazılma hızı gibi benzersiz özelliklerle birlikte elektronik olarak okunur ve kaydedilir; örneğin, “t” sağdan sola geçti mi ve “i” en sonunda noktalı mı oldu?

İmza dinamiklerinin avantajı, geleneksel bir imza gibi çalışmasıdır. İmzalayanların imza oluşturmak için özel bilgisayar bilgisine veya alışılmadık herhangi bir araca ihtiyacı yoktur. Aynı zamanda sistem, noterin sahte imzaları önlemeye ve tespit etmeye yardımcı olmak için benzersiz tanımlama özelliklerini kaydetmesine olanak tanır. Örneğin, bir sahtekar başka bir kişinin imzasını kopyalamaya çalıştıysa ve görsel olarak aynı yazma stilini denemek ve yaratmak için yavaşça yazdıysa, bir analist daha yavaş yazma hızını tespit etmek ve onu farklı bir imzalayan olarak tanımak için mevcut verileri sahip olduğu verilerle karşılaştırabilir.

 

F.8) Vasküler Desenler

Bu, nihai avuç (palm) içi okuyucusudur. Vasküler modeller , bir kişinin elindeki veya parmağındaki damarların bir resmi olarak tanımlayan en iyi yöntemdir. Bu damarların kalınlığının ve konumunun, bir kişinin kimliğini doğrulamak için kullanılacak bir kişi için yeterince benzersiz olduğuna inanılmaktadır. NTSC Biyometri Alt Komitesi, araştırmacıların, insan vücudunun vasküler modelinin belirli bireye özgü olduğunu ve insanlar yaşlandıkça değişmediğini belirlediklerini bildirmiştir. Bu sebeple kendisi tek başına bir kimlik doğrulama yöntemi olarak kullanılabilir.

 

Teknolojiyle ilgili iddialar şunları içerir:

  • Oluşturulması Zor: Vasküler modellerin yeniden oluşturulması zordur çünkü bunlar elin içindedir ve bazı yaklaşımlarda bir görüntüyü kaydetmek için kanın akması gerekir.
  • Temassız: Kullanıcılar algılama yüzeyine dokunmaz, bu da hijyenle ilgili endişeleri giderir ve kullanıcının kabulünü artırır.
  • Çok ve Çeşitli Kullanımlar: Japonya’daki ATM’lerde, hastanelerde ve üniversitelerde kullanılmaktadır. Uygulamalar arasında kimlik doğrulama, yüksek güvenlikli fiziksel erişim kontrolü, yüksek güvenlikli ağ veri erişimi ve POS erişim kontrolü bulunur.
  • Bire-Bir ve Bire-Çok Eşleşme: Kullanıcıların vasküler desenleri, kişiselleştirilmiş kimlik kartları / akıllı kartlarla veya birçok taranmış damar deseninden oluşan bir veritabanıyla eşleştirilir.

 

F.9) Tuş Vuruşu Tanımlama

Klavye dinamikleri olarak da bilinen tuş vuruşu dinamikleri, bir kişinin klavyede yazı yazma şekline bakar. Spesifik olarak, bir kullanıcının tuş vuruşu ritimleri, gelecekteki kimlik doğrulaması için kullanıcıların desen yazarak benzersiz bir şablon geliştirmesi için ölçülür. Çoğu klavyeden elde edilebilen ham ölçümler, bekleme süresini (belirli bir tuşa basılı tuttuğunuz süre) ve uçuş süresini (bir sonraki tuşa basma ile bir sonraki tuş yukarı arasındaki süre) belirlemek için kaydedilebilir.

 

G) Sonuç

Biyometri, sağlam kimlik doğrulama sağlamak için kullanılabilir, ancak uygun doğruluğu sağlamak ve sonuç olarak ortaya çıkabilecek gizlilik sorunlarını ele almak için özen gösterilmelidir.

Biyometri güvenilir ve sahteciliğe karşı dirençli olmalıdır. Biyometrik bilgileri temsil etmek için gereken veri depolama alanı (şablon veya dosya boyutu olarak adlandırılır) nispeten küçük olmalıdır (her kimlik doğrulamasında erişilecektir): 1000 bayt veya daha az tipiktir (el geometrisi gibi bazı sistemler için çok daha az).

 

Kaynaklar:

https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372

https://theconversation.com/fingerprint-and-face-scanners-arent-as-secure-as-we-think-they-are-112414
https://www.forbes.com/sites/zakdoffman/2019/08/14/new-data-breach-has-exposed-millions-of-fingerprint-and-facial-recognition-records-report/?sh=39aa536846c6
https://us.norton.com/internetsecurity-iot-biometrics-how-do-they-work-are-they-safe.html
https://www.bilgiguvenligi.org.tr/kitap-serisi-4-siber-guvenlik-ve-savunma-biyometrik-ve-kriptografik-uygulamalar/

 

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.