همه ما از رمزهاي عبور براي محافظت در دنياي ديجيتالي استفاده ميكنيم. با وجود اینکه رمزهاي عبور پيچيده و متشكل از كاراكترهاي مختلف ميتوانند امنيت ما را روي سرويسهاي مختلف تأمين كنند، مشكلات ذاتي رمزهاي عبور هر روز بيشتر آشكار ميشود. در ابتدای ماه مارس سال جاری میلادی، 50 ميليون رمزعبور پس از اينكه توسط هكرها ريست شدند، دوباره پيكربندي و از سوي كاربران تغيير كردند. جالب است بدانيد كه اين رمزهاي عبور متعلق به سرويسهاي تويتر، سوني، فيسبوك، دراپباكس و... بودند. در اين شرايط پرسشی كه مطرح ميشود اين است كه چرا فناوریهای امنیتی بيومتريك هنوز جاي رمزهاي عبور را نگرفته است؟ فناوريهاي بيومتريك امكان دسترسي براساس خصلتهاي تغييرناپذير و منحصربهفرد را به ما ميدهد، ايدهآلي كه امكان هرگونه سرقت يا جعل را ناممكن ميكند. البته، فناوريهايي مانند اثر انگشت، تشخيص صدا، اسكن صورت و... را براي احراز هويت كاربران در فيلمهاي پليسي/جاسوسي و در كسبوكارهاي بزرگ، دانشگاهها، ادارههای دولتي و مراكز مهم شهر ميبينيم، اما هنوز اين فناوريها جايگزين رمزهاي عبور در سايتها و نرمافزارهاي مختلف نشدهاند. آيا استفاده از اين روشها سخت است و ناممكن بهنظر ميرسد؟ مانع اصلي چيست؟
افسانه اثرانگشت
اثرانگشت بيش از يك قرن (شايد هزاران سال) بهعنوان ابزاري براي تشخيص هويت انسانها مورد استفاده قرار گرفته است و اسكنرهاي اثرانگشت نزديك به يك دهه است به صنعت كامپيوتر نيز راه پيدا كردهاند. كاربران با يك ضربه سريع و محكم انگشت خود به روي يك اسكنر باريك احراز هويت شده و شناسايي ميشوند. فناوري تشخيص و مقايسه اثرانگشت پيچيده است و نياز به محاسبه و پردازشهاي سنگيني دارد اما امروزه اين فناوري بهبود و تكامل یافته است و هزينههاي آن كاهش يافتهاند. اما اثرانگشت جنبههاي منفي نيز دارد كه استفاده از آن را سخت ميكند. از واضحترين نمونهها مانند سوختگي يا بريدگي انگشت گرفته تا استفاده از كرمهاي ضدآفتاب، رطوبت، آلودگي فيزيكي، روغن، لكههاي جوهر و حتي مايعهاي ظرفشويي ميتوانند باعث تداخل در اسكنرهاي اثرانگشت شده و فرآیند مقايسه و شناسايي هويت كاربران را با مشكل مواجه كنند. بسياري از افراد بهعلت استفاده زيادي از يك انگشت خود، دچار سایيدگي و صافشدگي آن شدهاند و از شيارهاي يكتايي كه باید روي هر انگشت باشد، خبري نيست. همچنين انگشت افرادي كه زياد از خودكار استفاده ميكنند دچار تغيير حالت و وضعيت شده است كه امكان تشخيص اثرانگشت را سخت و همراه با خطا ميكند. نيروهاي آموزش ديده قانون ميتوانند در اين مواقع از انگشت ديگر من استفاده كنند يا از سيستمهاي ديگري مانند اسكن صورت براي شناسايي من كمك بگيرند اما تصور كنيد در يك روز باراني و مرطوب خارج از شهر هستيد و ميخواهيد با سيستم اسكنر اثرانگشت يك سرويس موبايل را فعال كنيد!گوشيهاي موبايل هوشمندي مانند Motorola Atrix در بازار يافت ميشوند كه از اسكنرهاي اثرانگشت استفاده ميكنند و به سيستمي مجهز هستند كه ميتواند اثرانگشت را خوانده و در گوشي با نمونه قبلي مقايسه كند. حتي در سال گذشته شايعه شد كه شركت اپل ميخواهد روي گوشي تلفنهمراه iPhone و سيستمعامل iOS سيستم تشخيص اثرانگشت قرار دهد. همچنین، شركتهايي كه براي مدت طولاني از سيستمهاي تشخيص هويت مبتنيبر اثر انگشت استفاده كردهاند، معتقدند دستگاههاي Ultra-Scan وجود دارد كه ميتوانند صد برابر دقيقتر از اسكنرهاي معمولي اثرانگشت را تشخيص داده و مقايسه كنند. ونس بيورن (Vance Bjorn) مدير فناوري شركت دیجیتال پرسونا كه سالها است در زمينه مديريت دسترسي از طريق اثرانگشت كار ميكند، ميگويد: «به نظر من تغيير جهت به سمت استفاده از اثرانگشت در تجهيزات الكترونيكي ميتواند به سرعت اتفاق بيفتد. رمزعبور ضعفهاي زيادي دارد و نميتواند امنيت لازم را تأمين كند و ضعيفترين حلقه امنيتي است كه حتي در ميان كاربران به خصوص كاربران گوشيهاي هوشمند در حال فراموش شدن است و اصلاً تمايل ندارند يك عبارت را در گوشي وارد كنند و بيشتر از كشيدن دست روي صفحهنمايش لمسي لذت ميبرند. احراز هويت با اثرانگشت ميتواند راحت و امن باشد و مشكلات موجود را برطرف كند.»
صداي شما رمز عبور شما است
بهنظر ميرسد احرازهويت مبتنيبر صدا ميتواند روي گوشيهاي تلفن همراه بهخوبي كار كند. چون اين دستگاه طراحي شدهاند تا صداي انسان را پردازش كنند و شامل فناوريهايي براي فيلتركردن نويز و پردازش سيگنال هستند. همانند اسكنرهاي اثرانگشت، فناوريهاي تشخيص صدا نيز سالها است كه در سيستمهاي امنيتي وجود دارد و استفاده ميشود اما هنوز وارد دستگاههاي ديجيتالي و مصرفي مردم نشده است. گونههاي مختلفي از سيستمهاي تشخيص صدا وجود دارد اما همگي مبتنيبر چند قاعده مشخص مانند تشخيص گفتار، صداي پسزمينه، تشخيص دما و فشار هوا هستند. سيستمهاي امنيتي تشخيص صداي ساده مبتنيبر تكرار يك عبارت خاص است. مانند استفاده از پينكد در كامپيوتر. اگر عبارت مورد نظر توسط كاربر مجاز ادا شود، سيستم مجوز دسترسي ميدهد. سيستمهاي پيچيدهتر مبتنيبر پردازش صدا و گفتار و استفاده از الگوهاي تشخيص گفتار هستند و از گفتار يك شخص بايد بتوانند فرآیند احراز هويت را انجام دهند.
سيستمهاي مبتنيبر روش اول (استفاده از يك عبارت صوتي مشخص) شكننده و ناامن هستند. اولاً ممكن است با كوچكترين سرماخوردگي و سرفه و تغيير صدا قفل شوند و كاربر مجاز نتواند وارد سيستم شود. دوماً امكان ضبط صدا توسط هكرها وجود دارد. کوين ميتنيك، هکر مشهور، توانست با همين شيوه و ضبط صداي مديرعامل يك مؤسسه مالي به سيستم تلفني آن بانك نفوذ كند. اين هكر در گفتوگوهاي مختلف با اين مديرعامل توانسته بود اعداد صفر تا نه را با صداي او ضبط كرده و پس از استخراج از فايلهاي صوتي و در كنار يكديگر قرار دادن، كد صوتي مورد نظر را بازسازي كند.
ماناس پاتاك (Manas Pathak) محققي در حوزه حفظ حريم خصوصي با احراز هويت صدا كه بهتازگي دكتراي خودش را هم از دانشگاه كارنگيملون دريافت كرده است، ميگويد: «سيستمهاي تشخيص گفتار فعلي معادل رمزهاي عبور متني هستند. در حالي كه شما بايد بخشي از شناسه خودتان را به سيستم بدهيد.» عبارت صوتي (Voice Print) ذخيره شده روي يك سيستم كامپيوتري همانند يك رمزعبور است كه امكان سرقت آن وجود دارد. علاوهبر اين، صداي شما مشخص كننده سن، مليت و حتي عواطف شما است كه بهراحتي دراختيار سارقان قرار ميگيرند.
تحقيقات اخير در حوزه تشخيص گفتار روي همين مسئله متمركز شده است. استاندارد باز جديدي كه توسط مؤسسه FIDO Alliance در حال تصويب است از متدهاي احرازهويت چندگانه مبتنيبر صدا پشتيباني ميكند اما امكان دسترسي يا ذخيره اطلاعات بيومتريك كاربران بهطور مستقيم روي سيستم را نميدهد. پاتاك و ديگر محققان در حال توسعه سيستم پيچيدهاي هستند كه يك صداي پايدار و الگو از صداي كاربر ساخته (كاربر در مورد هر چيزي صحبت ميكند و سيستم از اين صدا الگوبرداري خواهد كرد) و آن را به چندين بخش نمونه تقسيم ميكند. سپس از اين نمونههاي صوتي به صورت كاملاً محرمانه و رمزنگاريشدهاي محافظت ميشود. در اين حالت، سيستمهاي از راه دور نميتوانند اين صدا را دوباره بازسازي كنند يا به اطلاعات بيومتريكي كاربر دسترسي داشته باشند. پاتاك درباره اين سيستم ميگويد: «در حال حاضر، 95 درصد به دقت اين سيستم اطمينان داريم.» وي ادامه ميدهد كه نياز داريم اين سيستم را روي تلفنهاي همراه بهصورت گسترده نصب كرده و آزمایش كنيم. اين سيستم آماده عرضه به بازار و تجاريسازي است و فراتر از يك تحقيق دانشگاهي به شمار میرود. با اين حال، بسيار سخت است كه بپذيريم نويز، عوامل محيطي، صداي ترافيك، تلويزيون، موسيقي و... روي دقت اين سيستم تأثيرگذار نيستند و موجب كاهش دقت و احرازهويت آن نميشوند. احراز هويت از طريق صدا مكانيزم سادهاي نيست؛ افرادي را تصور كنيد كه در مترو يا اتوبوس نشستهاند و مدام فرياد ميزنند تا گوشی موبايلشان از حالت قفل خارج شود يا سرويس ايميلشان لاگين كند!
چهره در مقابل چهره
تشخيص چهره و اسكن عنبيه چشم از ديگر روشهاي احرازهويت بيومتريكي هستند و ميتوانند در تجهيزات الكترونيكي مورد استفاده قرار گيرند چون تقريباً روي همه گوشيهاي تلفنهمراه و نوتبوكها دوربين ديجيتال با وضوح تصوير وجود دارد. سيستمهاي شناسايي چهره براساس پارامترهايي از چهره مانند اندازه، شكل، فاصله المانهاي چهره مانند چشمها و بيني، فك و استخوان كار ميكنند. برخي از سيستمها نيز دقيقتر هستند و حتي چين و چروك يا خالهاي چهره را نيز شناسايي ميكنند و ميتوانند تصاويري سه بعدي از چهره انسان تهيه كنند. بسياري از ما برنامههاي تشخيص چهره را در iPhoto يا سايتهاي اجتماعي ديدهايم و ميدانيم كه نتايج آنها نااميدكننده است. البته، سيستمهاي تشخيص چهره تجاري و امنيتي قويتر هستند اما باز هم با كمي تغيير چهره (لبخند زياد، عينك، استفاده از كلاه يا كلاهگيس مو) يا نورپردازي بد ميتوان نتايج را عوض كرد و دو عكس شبيه به هم را به اشتباه انداخت. همچنين در اين سيستمها اگر به درستي و با دقت در دوربين زل نزنيد و بخواهيد كمي بازيگوشي دربياوريد يا بخواهيد عكسي زاويهدار بگيريد، سيستم تشخيص چهره جوابگو نخواهد بود. در اين ميان، سن، وزن، وضعیت پزشكي و آسيب نيز ميتواند چهره را عوض كند و نتايج دلخواه بهدست نيايد.
يك فعال امنيتي در بوستون كه نخواست نامش فاش شود، ميگويد: «ما از چند سال پيش تاكنون با بهترين و قويترين سيستمهاي تشخيص چهره هم نتوانستيم يك مهندس ارشد را احرازهويت كنيم و هميشه با شكست مواجه شديم. زیرا اين فرد تقريباً يك دانشمند ديوانه و هيپي با عينك ضخيم و موهاي بلند و ريش كامل است. حتي اين سيستمها براي چهره من نيز خطا ميكنند. وقتي بعد از عمل چشم مجبور شدم براي چند هفته عينك بزنم با اين سيستمها به مشكل برخوردم.»
در مقابل سيستمهاي تشخيص چهره، سيستمهاي تشخيص عنبيه چشم قرار دارند كه با استفاده از اشعه مادون قرمز از بخش رنگي عنبيه چشم الگوبرداري ميكنند و در دفعات بعد با مطابق الگوها با يكديگر ميتوانند هويت فرد را تعيين كنند. اين سيستمها نياز به پردازش كمتري دارند و درصد خطای آنها نسبت به سيستمهاي تشخيص چهره بسيار كمتر ميشود زیرا عنبيه چشم هر انسان همانند اثرانگشت يكتا و منحصربهفرد است. تا همين چند سال پيش امكان استفاده از سيستم تشخيص عنبيه چشم وچود نداشت زیرا حق اختراع و استفاده از آن در اختيار يك شركت بود و اجازه نمیداد همگاني شود اما پس از اينكه مدت زمان انحصاري استفاده از اين فناوري به پايان رسيد، شاهد هستيم كه اين روش در مراكز امنيتي دولتي استفاده ميشود. با این حال، خبري از آن در برنامههاي كاربردي و تجهيزات الكترونيكي پرمصرف كاربران نيست.
سيستمهاي تشخيص عنبيه چشم نيز داراي مشكلاتي هستند. كاربران مجبورند به اين كار تن دهند كه چشمشان را دراختيار يك دستگاه بسته قرار دهند و در مقابل تابيدن نور و اشعه مقاومت كنند و پلك نزنند. در اين شرايط بايد عينك كنار گذاشته شود و استعمال برخي از مواد مخدر يا دارويي كه روي عنبيه چشم تأثير ميگذارند، ممنوع شود. همچنين هر حركتي كه موجب شود رك عنبيه چشم تغيير كند مانند استفاده از لنز يا عملهاي جراحي يا برخي از ورزشها نيز ممنوع خواهد بود.
بنابراين، همانند سيستم تشخيص صدا و گفتار، سيستمهاي تشخيص عنبيه چشم نيز داراي مشكلات و خطاهايي هستند و امكان فريب يا جعل وجود دارد. در نتيجه از اين فناوري بيشتر در شرايط تحت كنترل انسان مانند اداره گذرنامه و مهاجرت استفاده ميشود و نميتوان انتظار داشت بهصورت خودكار روي تجهيزات مصرفي الكترونيكي به كار گرفته شود. حداقل ميتوان گفت به اين زوديها اين اتفاق نمیافتد.
خودمان امنيت را تأمين كنيم
بدون شك استفاده از رمزعبور در زندگي ديجيتالي همراه با خطر و تهديداتي است و امنيت لازم را برقرار نميكند. فناوريهاي احراز هويت مبتنيبر بيومتريك جايگزين خوبي براي رمزعبور هستند و ميتوانند خيالمان را از بابت امنيت ديجيتالي راحت كنند اما همانطور كه در اين مقاله گفته شد، تمام فناوريها و روشهاي مبتنيبر بيومتريك تحت شرايطي شكست ميخورند و باز هم توسط انسان قابل دور زدن و جعل هستند و نميتوانند براي ما سحر و جادو كنند. علاوهبر آن، اگر اطلاعات بيومتريكي كاربران لو برود، ديگر هيچ راه قابل بازگشتي وجود ندارد. مثلاً شما ميتوانيد رمزعبور گوشي تلفن همراه خود را تغيير دهيد اما آيا ميتوانيد اثرانگشت خودتان را عوض كنيد؟
به هر حال، بهنظر ميرسد فناوريهاي احراز هويت بيومتريك در حال حركت به سمت تجهيزات الكترونيكي هستند و در سيستمهاي احرازهويت چندگانه همراه با رمزعبور قابل استفاده خواهند بود. ونس بيورن از شركت دیجیتال پرسونا ميگويد: « همه ما ميدانيم كه رمزعبور از بين رفتني است و باقي نميماند. در عوض ابزارهاي امنيتي بيومتريك جايگزين ميشود. اما من فكر نميكنم به اين زوديها اين ابزارها را روي تجهيزات الكترونيكي و در دست مردم ببينيم.