כל מה שרציתם לדעת על מערכות זיהוי ביומטרי ולא היה לכם את מי לשאול

חשיבות המידע עליו אנו שומרים הופך את עולם אבטחת המידע ליותר ויותר מורכב ומצריך מאיתנו פיתוח של אמצעי אבטחה טובים יותר. אחד מאותם אמצעי אבטחה היא מערכת הזיהוי הביומטרי שהופכת לנפוצה יותר ויותר בשנים האחרונות. אך האם מערכת אבטחה ביומטרית תפתור לנו את כל הבעיות? ליאור יותם, מומחה אבטחת מידע, סבור שלא ומסביר לנו מדוע.

לאלו מכם שעדיין לא בקיאים בנבכי תורת אבטחת המידע, חשוב לדעת כי נושא בקרת גישה, המהווה את אחד האלמנטים המרכזיים בתחום אבטחת המידע, מבוסס על שלושה נדבכים עיקריים: Something you Know, Something you have ו-Something you are.

בקרת גישה חזקה (strong authentication) מוגדרת בדרך כלל כ- two factor authentication, כלומר כמתבססת על שני נדבכים (למשל שילוב של קוד סודי וכרטיס חכם – Something you know+Something you have). יחד עם זאת, גם לבקרת גישה באמצעות זיהוי ביומטרי (Something you are) נהוג להתייחס כבקרת גישה חזקה. זיהוי ביומטרי הוא זיהוי אדם/משתמש על פי נתונים מתוך איבר הקשור בגוף המשתמש עצמו. אך האם אכן ניתן להתייחס לזיהוי ביומטרי באשר הוא כזיהוי חזק?

התשובה היא: בהחלט לא. זיהוי ביומטרי יכול להיות לא מדויק כלל ולכן עליו להיחשב במקרים רבים כחלש מאוד. משום כך, מתקיימים דיונים ומבחנים רבים בנוגע לשאלת רמת הדיוק של מערכות לזיהוי ביומטרי.

בחינת רמת הדיוק של מערכת ביומטרית מסוימת מול מערכת אחרת אינה פשוטה כלל וכלל, לא כשמדובר על מערכות שונות לזיהוי על פי אותו איבר, ובטח לא כשמדובר על מערכות שונות שכל אחת מבצעת זיהוי של איבר אחר.

כיצד עובדת מערכת זיהוי ביומטרי?

  1. משתמש נדרש לבצע רישום למערכת. בתהליך זה מתקבל בפעם הראשונה מידע על נתונים ספציפיים לגבי איבר בגוף המשתמש.
  2. הנתונים שהתקבלו מהאיבר מנותחים על ידי המערכת, ומיוצר מידע ביומטרי ספציפי למשתמש. מידע זה נשמר בבסיס נתונים, יחד עם פרטים אחרים המקשרים מידע זה למשתמש (כגון שם משתמש).
  3. בכל פעם שמשתמש מבצע זיהוי מול המערכת, מתקבלים נתונים לגבי האיבר הספציפי של המשתמש. נתונים אלו מנותחים ומופק קוד ביומטרי ספציפי לאותו הליך זיהוי (בשלב זה מבוצעות בדיקות נוספות, למשל ‘בדיקת חיות עליהן יוסבר בהמשך’).
  4. המנוע הביומטרי מבצע השוואה בין הקוד שהופק לזיהוי מול הקוד שהופק לרישום ומתקבל ‘ציון’ לרמת התאימות. בדרך כלל בכל הליך זיהוי מתקבל ציון שונה, וזאת משום שהמידע שהתקבל מהאיבר במהלך הזיהוי שונה (ברמה זו או אחרת) מהמידע שהתקבל בזמן הרישום. הדבר נכון גם לגבי ניסיונות זיהוי של מתחזים. כלומר, כל אדם שאינו המשתמש וינסה להזדהות בשם המשתמש, יקבל ציון שונה, בהתאם לדמיון שיש בין הזיהוי הספציפי של המתחזה לבין הרישום של המשתמש המקורי.
  5. על פי רמות סף שנקבעות במערכת, מוחלט האם ה’ציון’ ייחשב כעובר (ואז לדוגמא תיפתח האפליקציה/הדלת – “מנורה ירוקה”) או לא (המשתמש יקבל הודעת פסילה – “מנורה אדומה”).

כאשר בוחנים את אמינותה של מערכת לזיהוי ביומטרי, נהוג להתייחס לשני מדדים עיקריים: False Accept – זיהוי שגוי (או FAA – False Accept Rate), ו- False Reject – פסילת זיהוי שגויה (או FRR – False Reject Rate).

False Accept מתאר מצב בו משתמש שאינו רשום במערכת, מצליח לבצע גישה על ידי ‘התחזות’ לאחד מהמשתמשים הרשומים (“מנורה ירוקה” שלא הייתה אמורה לקרות). False Reject מתאר מצב בו משתמש הרשום למערכת לא מצליח לבצע גישה (“מנורה אדומה” שלא הייתה אמורה לקרות).

ככל שמעלים את רמת הסף, מורידים את הסיכוי ל- False Accept (דורשים דיוק גבוה יותר מהמערכת) ובמקביל מגדילים את הסיכוי ל- False Reject. (המערכת דורשת רמת דיוק גבוהה יותר על מנת לאפשר כניסה, ובכך מונעת כניסה ממשתמשים רשומים, למשל במקרים בהם לא ניתן לזהות את כל הפרטים מהאיבר אותו מזהים). ככל שמורידים את רמת הסף, מעלים את הסיכוי ל- False Accept ובמקביל מורידים את הסיכוי ל- False Reject.

כפי שמוסבר לעיל, מדדים אלו תלויים בקביעת רמות סף למערכת הזיהוי, והם מסתמכים על התהליך המופיע כשלב מספר 5. לכן, יהיה קשה להתבסס עליהם בתהליך השוואה בין רמות דיוק של מערכות שונות. על מנת לבצע השוואה בין מערכות או לדון לגבי מידת הדיוק של מערכת ספציפית, אנו נדרשים להסתמך על הציון עצמו, כלומר, על מה שקורה בשלב 4 ועל-מנת לבצע דבר זה, עלינו לבצע חישוב של ה- EER- Equal Error Rate למערכת.

מהו ה- EER וכיצד אנו נמצא אותו?

על מנת לחשב את EER, כאמור, אנו צריכים גישה למנוע הזיהוי הביומטרי ללא כל התייחסות לרמות סף. הניסוי שנערוך יכלול רישום (enroll) קבוצה של n משתמשים [U1, U2, U3…Un], כך שבסופו לכל משתמש תהיה רשומה במערכת במכילה את קוד הזיהוי הביומטרי האישי שלו ששימש לרישום [U1e, U2e, U3e… Une]. הקבוצה חייבת להיות גדולה מספיק, ומייצגת מבחינה סטטיסטית של כל האוכלוסייה אותה המערכת הביומטרית תשרת. בנוסף, אנו נבקש מכל משתמש להזדהות מספר פעמים נוספות למערכת ובכך נקבל לכל משתמש עוד מספר רשומות לצורך ‘זיהוי’ (verification) כך שלדוגמא למשתמש U1 יהיה לנו מספר קודים ביומטריים שונים [U1v1, U1v2, U1v3, U1v4…U1v10].

השלב הבא של הניסוי יהיה חישוב סדרת ניסיונות זיהוי ‘אוטנטיים’ (Authentic) וחישוב סדרת ניסיונות זיהוי ‘מתחזים’ (Impostors). בשלב זה, תבוצענה מספר רב של בדיקות, כשכל הציונים שיתקבלו יסווגו לאותן שתי קבוצות (Authentic/ Impostors).

הבדיקות שתבוצענה על מנת ליצור את קבוצת Authentic תהינה של הדגימות שהתקבלו מכל משתמש בהשוואה (על ידי המנוע הביומטרי) מול הרישום שלו עצמו. כך למשל תבוצע השוואה בין U1v1, U1v2, U1v3, U1v4…U1v10 אל מול U1e, וכן U2v1, U2v2, U2v3, U2v4…U2v10 אל מול U2e  וכך הלאה לכל המשתמשים.

הבדיקות שתבוצענה על מנת ליצור את קבוצת Impostors תהינה של הדגימות שהתקבלו מכל המשתמשים מלבד הדגימות של משתמש ספציפי, מול הרישום של אותו משתמש ספציפי. לדוגמא, U2v1, U75v1, U90v1 [דגימות ממשתמשים שונים שאינם U1] מול U1e. באופן זה אנו מבצעים הדמיה של ניסיונות התחזות תוך שימוש בכל המידע שנאסף.

אנו מצפים לקבל ציוני התאמה גבוהים בכל הבדיקות שבוצעו בקבוצת Authentic, עם כי כמובן חלק מציונים יהיו גבוהים יותר וחלק נמוכים יותר. בסופו של דבר תהיה התפלגות נורמלית לכל התוצאות בקבוצה זו. כמו כן, אנו מצפים לקבל ציוני התאמה נמוכים לכל הבדיקות שבוצעו בקבוצת Impostors, עם כי חלק מציונים יהיו גבוהים יותר וחלק נמוכים יותר, וגם כאן, בסופו של דבר תהיה התפלגות נורמלית לכל התוצאות בקבוצה.

את שתי ההתפלגויות של שתי הקבוצות אנו נציין בגרף הכולל שתי עקומות. ציר ה- X יהיה הציון, וציר ה- Y מייצג באחוזים את כמות האירועים מתוך האוכלוסייה הכוללת שהיו לגבי כל X מתחת לאותו ציון ספציפי, בעקומת ה- Authentic, ומעל לאותו ציון X בקבוצת ה- Impostors.

אם המערכת הביומטרית היא מושלמת (מערכת שבה יש 0% סיכוי לטעות מסוג כלשהו (False Accept או False Reject) שתי העקומות תהינה נפרדות. לכל מערכת שאינה מושלמת, נקבל חיתוך בין שתי העקומות, ובנקודת החיתוך הזו ה- FRR=FAR, והיא מוגדרת כ- EER:

כאמור לעיל, ה- EER יאפשר השוואה של רמת הדיוק בין מערכות שונות. ככל שה- EER יהיה יותר נמוך, כך המערכת תחשב למדויקת יותר.  בנוסף, הגרף שקיבלנו לכל מערכת ישמש אותנו בהמשך, בשלב יישום המערכת, בהחלטה לקביעת רמת הסף.

אם לדוגמא קיבלנו את הגרף הבא למערכת מסוימת (בה ה- EER נמצא כעומד על 8%):

ואנו נקבע את רמת הסף של המערכת בדיוק בנקודת ה- EER (במקרה זה על ציון X=39) יהיה לנו סיכוי שווה ל- 8% הן ל- False Accept והן ל- False Reject.

אך אנו יכולים באותה מערכת ספציפית לקבוע את רמת הסף מתחת ל- EER, לדוגמא על 25:

ואז לקבל 0% סיכוי ל- False Reject (בבדיקות ה- Authentic שביצענו, הציון הנמוך ביותר עדיין היה מעל 25) ובמקביל 23% סיכוי ל- False Accept (בבדיקות ה- Impostors שביצענו, 23% היו מעל 25).

אנו גם יכולים כמובן לקבוע את רמת הסף ברמה גבוהה יותר מה- EER, לדוגמא על ציון 48:

ואז לקבל 3% סיכוי ל- False Accept ובמקביל 20% סיכוי ל- False Reject.

בדיקת חיות

מוקדם יותר הזכרנו את הנושא של ‘בדיקת חיות’. אחת מהבעיות שעומדות בפני המערכות לזיהוי ביומטרי היא “זיופים” של האיבר הנבדק עצמו. כלומר, ניסיון של משתמש להזדהות עם דבר המדמה איבר מגוף האדם, ולא עם האיבר האמיתי שבגוף המשתמש. דוגמה נפוצה לכך היא הנסיון לחקות טביעת אצבע באמצעות פלסטלינה או כל חומר גמיש אחר שהאצבע הוטבעה בה מוקדם יותר. משום כך, במערכות רבות לזיהוי ביומטרי, קיימים מנגנונים שונים לביצוע בדיקה שהאיבר שהוצג למערכת הוא איבר אמיתי מגוף האדם. במקרים רבים, גם מנועי הזיהוי השונים המבצעים את ‘בדיקת החיות’ הם סטטיסטיים ומכילים רמות סף ל’בדיקת החיות’ עצמה. לכן, עלינו לשים לב שבתמונה הכוללת אותה אנו בונים למערכות הזיהוי, אנו לוקחים בחשבון בחישובי הדיוק של המערכת גם נקודה זו.

Avatar

ליאור יותם

ליאור הוא יועץ בכיר בחברת קומסק עם עשור של ניסיון בתחום אבטחת המידע.

הגב

8 תגובות על "כל מה שרציתם לדעת על מערכות זיהוי ביומטרי ולא היה לכם את מי לשאול"

avatar
Photo and Image Files
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נדב
Guest

לא הגיע הזמן להתבגר ולעשות הגהה לכתבות באתר הזה? אולי אתם לא מבינים את זה, אבל אפילו אם התוכן טוב, עבור הרבה אנשים משפט ראשון כמו: “לאלו מכם שעדיין לא בקיעים ב…” מיידית מפחית מדעתם על הכותב ואיכות הכתיבה שלו. הכתבה מלאה בשגיאות כתיב / תחביריות וכו’.

עניינית, לגבי הגרפים – זה לא ממש נראה לי כמו התפלגות נורמלית… זה גרפים אמיתיים או מעין “להמחשה בלבד”?

ובנימה חיובית יותר: סה”כ כתבה מעניינת ואינפורמטיבית :-)

אמיר
Guest

נדב, שים לב לצירים ולמשמעותם, ואז תבין שאכן מדובר בהתפלגות נורמלית.

כתבה מדהימה! תודה רבה, עזרתם לי עם עבודה שאני צריך להגיש בקרוב.
איך ניתן ליצור קשר עם הכותב?

ד"ר עוז
Guest

מה עם הגהה? “לא בקיעים?!”

יניב פלדמן
Member

תודה על התגובות. הטעויות שציינתם תוקנו ואנחנו מאוד שמחים שעוד אנשים חוץ מאיתנו קוראים את הפוסטים בכזה עיון בשביל למצוא את כל הטעויות הקטנות ;-)
אנו עושים כמיטב יכולתינו לערוך ולבצע הגהות על כל הפוסטים שמפורסמים אצלנו, אך קורה גם לנו שמתפספס פה ושם, במיוחד בפוסטים ארוכים :-)

ברוך
Guest

כתבה בסיסית מצוינת, בסיס טוב לכתבה/ות המשך
בעשור הנוכחי נחווה חדירה של טכנולוגיות ביומטריות למוצרי צריכה אלקטרוניים
כחלק מהגידול באפליקציות של סחר אלקטרוני, אבטחה מסחרית ושמירה על זכויות הפרט

מדובר באפליקציות של “אחד על אחד” (One on One” ) וקרוב לוודאי שהן יהיו מבוססות על שילוב של סנסורים.

צ'ארלי
Guest

ברוך, סתירה קלה בדברייך, שמירה על זכויות הפרט וביומטריה לא הולכים יד ביד.
חוץ מזה שטכנולוגיות ביומטריות הוכחו כלא מדוייקות ולא תמיד אמינות ובטח שלא בטוחות, הכל ניתן לזיוף ויכול רק לייעל את תופעת “גניבת זהויות” רק מזן חדש. וזה עוד על קצה הקרחון.
כי יש לזה יתרונות אך גם המון חסרונות.

הטכנולוגיה הזו אכן מעניינת אך לא אמינה כ”כ.

כוכב השחר
Guest

איזה כתבה מדהימה !!
לא יודע מי כתב את זה אבל הוא ממש תותח

עדי
Guest

שאפו! ליאור יותם ענק כרגיל.
החוויה האמיתית זה לראות אותו מעביר הרצאה – מומלץ ביותר!!!

wpDiscuz

תגיות לכתבה: