Jak prokážete, že jste tím, za koho se vydáváte? To je stěžejní otázka stojící za spoustou přihlašovacích bran, účtů a dvoufaktorových ověřování na internetu. K prokázání své identity přitom využíváte hesla nebo číselné kódy. A ve stále větší míře také biometrické údaje.
Co jsou biometrické údaje
Biometrické údaje jsou obecně definovány jako jedinečné fyzické nebo fyziologické znaky fyzické osoby, které je obtížné, nebo dokonce nemožné reprodukovat. Jsou to otisky prstů nebo snímky obličeje. Podle Drummonda Reeda, ředitele ověřovacích služeb v Avastu, ale patří do této kategorie také otisky dlaně, vzorky DNA, způsob psaní na klávesnici, chůze či dokonce fotografie.
„Naše biometrické údaje se vyznačují tím, že je extrémně obtížné a někdy dokonce nemožné je změnit,“ říká Reed. „Můžete si změnit jméno nebo číslo sociálního pojištění. Ale své DNA si nezměníte.“
Aby se biometrické údaje daly používat k online identifikaci, musí se vytvořit jejich digitální kopie. Biometrický údaj (třeba otisk prstu) je převeden na „biometrickou šablonu“. Tato šablona je následně za účelem ověření vaší identity porovnána s vaším skutečným fyzickým biometrickým údajem, abyste získali přístup tam, kam potřebujete.
Drummond jako příklad uvádí šablonu řidičského průkazu. Řidičský průkaz obsahuje vaše biometrické údaje: vaši fotografii, výšku, hmotnost, barvu očí nebo datum narození, adresu a typy vozidel, která smíte řídit.
Když se na průkaz někdo podívá, může si ho porovnat s tím, co vidí, tedy s vámi osobně. Pokud dojde k závěru, že vaše biometrické údaje (fotografie, výška, hmotnost, barva očí) odpovídají vaší biometrické šabloně (řidičskému průkazu), pak může odůvodněně předpokládat, že vaše ostatní údaje (adresa, datum narození atd.) jsou také správné.
V digitální biometrii ale neexistuje biometrická šablona, kterou by její „vlastník“ mohl ve skutečnosti vidět nebo uchopit. Je uložená buď přímo v zařízení, jako je tomu u produktů Apple, v cloudové databázi nebo na jiném serveru.
Rizika biometrických údajů
Shromažďování a používání biometrických údajů dělá spoustě lidí vrásky na čele. Koneckonců, své heslo sice změnit můžete, ale svůj otisk prstu nikoli. (Nebo takový proces minimálně není snadný, je prakticky nemožný bez spousty peněz.) Když dojde k úniku vašich biometrických údajů, existuje reálná možnost, že budou použity proti vám – a vy se v podstatě nebudete mít jak bránit.
Dalším problémem biometrických údajů je jejich možné zneužití státními institucemi a jeho představiteli. Například v některých státech USA vás mohou policisté přimět k odemknutí telefonu otiskem prstu nebo snímkem obličeje, ale nesmí vás nutit, abyste zadali svůj přístupový kód.
Čínská státní správa shromažďuje obrovské množství biometrických údajů počínaje snímky obličeje nebo vzorky hlasu a konče biometrickými údaji pro rozpoznávání osob podle stylu a tempa chůze. Při protestech proti potlačování demokracie v Hongkongu v roce 2014 se protestující chránili deštníky, maskami a helmami, aby je státní dohled nedokázal rozpoznat.
Když americká armáda opustila Afghánistán, zanechala po sobě biometrické údaje Afghánců, které shromáždila pro účely identifikace teroristů. Tyto údaje jsou nyní v rukou Tálibánu a mohly by být použity za účelem odplaty vůči lidem, kteří pomáhali Američanům.
Výhody biometrických údajů
Používání biometrických údajů na internetu však nemá jen jasné nevýhody, naopak, technologie pro nás skýtá také významné příležitosti. Biometrické údaje jsou nejen praktické, ale také velmi obtížně zneužitelné. Sice už došlo k hacknutí biometrických databází, ale je třeba dodat, že dosud není k dispozici technologie, která by ukradené biometrické údaje dokázala skutečně využít.
Pokud se máme poučit z historie, musíme si přiznat, že zločinci zatím dokázali obejít každý ověřovací systém, který jsme kdy vytvořili. Takže bezpochyby se najdou i způsoby, jak biometrické údaje obejít.
Drummond vzpomíná implementaci biometrického ověřování společnosti Apple jako dobrý příklad použití technologie způsobem, který zároveň chrání soukromí. Společnost uchovává biometrickou šablonu v samotném zařízení, nikoli ve vzdálené databázi. To znamená, že ji nikdo neodcizí, dojde-li k napadení jejich databází.
Biometrické údaje ale lze stejně jako hesla hashovat a jinak šifrovat do nečitelné podoby, což znamená, že mohou být uchovávány v databázi.
„Databáze biometrických údajů není ve své podstatě špatná věc, ale na světě existuje jen velmi málo lidí, kteří vědí, jak ji provozovat bezpečně,“ říká Drummond. „Proto tyto databáze nejsou přijímány s nadšením. Pokud vám na soukromí záleží, měli byste nástroje ukládající vaše biometrické údaje do vzdálených úložišť používat jen s notnou dávkou opatrnosti. V každém projektu, s nímž jsem se setkal a který se zabýval biometrií, bylo cílem najít jiné řešení a neuchovávat biometrické údaje ve vzdálené databázi.“
Právě to, co činí biometrické údaje účinnými pro online ověřování – skutečnost, že jsou opravdu unikátní pro každého jednotlivce – jim zároveň propůjčuje velkou důvěru při ověřování identity, podotýká Drummond. A přestože jsou jen a jen vaše, mohou být zanonymizovány.
„V podstatě jen porovnáváte otisk prstu či snímek obličeje se šablonou,“ říká Drummond. „Touto metodou lze velmi dobře ochránit soukromí uživatelů. Prakticky nic jiného se biometrickým údajům v tomto ohledu nevyrovná.“
Používání biometrických údajů: Dobrý, nebo opravdu špatný nápad?
Bylo by skvělé, kdyby šlo o čemkoli jednoduše říct, že je to buď dobré, nebo špatné. Jenže prakticky vše má své plusy i minusy. To platí i pro používání biometrických údajů k online ověřování identity uživatelů.
„Osobně to s biometrickými údaji vidím nadějně, ale jen za předpokladu, že se budou používat tím správným způsobem,“ říká ředitel ověřovacích služeb v Avastu. „Je to stejné jako manipulace s radioaktivními materiály. Jde o velmi užitečné látky, ale při nesprávném zacházení také velmi nebezpečné. S velkou mocí přichází velká zodpovědnost.“