Характеристики трьох основних біометричних методів 3 страница
Сортувати і порівнювати описані вище біометричні методи за показниками помилок першого роду дуже складно, оскільки вони надто різняться через високу залежність від якості використовуваної апаратури, на якій вони реалізовані, навіть для одних і тих же методів.
За показниками помилок другого роду (можливість допущення в систему «чужого») загальне сортування найпоширеніших методів за якістю біометричної аутентифікації виглядає так (від кращих до гірших):
– ДНК;
– райдужна оболонка ока, сітківка ока;
– відбиток пальця, термографія обличчя, форма долоні;
– форма обличчя, розташування вен на кисті руки і долоні;
– підпис;
– клавіатурний почерк;
– голос.
Необхідно наголосити, що статичні методи ідентифікації істотно якісніше динамічних, але при цьому значно дорожчі. Сегментація біометричного ринку за 2007 рік за поширенням використання біометричних ідентифікаторів наведена на рис. 1.
Рис. 1. Сегментація біометричного ринку за 2007 рік за поширенням використання
біометричних ідентифікаторів (дані компанії Acuity Market Intelligence)
Нагадаємо чотири основні етапи, які використовуються при реалізації усіх без винятку біометричних технологій ідентифікації:
– реєстрація ідентифікатора (запис) – збір відомостей про фізіологічну або поведінкову характеристику, що надалі перетворюється у форму, котра доступна комп’ютерним технологіям та яка заноситься в пам’ять біометричної системи;
– виділення – з ідентифікатора, що пред’являється індивідуумом для контролю, формуються та виділяються унікальні ознаки, які аналізуються системою;
– порівняння – зіставляються відомості про той, що пред’являється, та раніше зареєстрований ідентифікатори;
– прийняття рішення – ухвалення висновку про співпадіння або неспівпадіння того, що пред’являється, та раніше зареєстрованого ідентифікаторів.
Висновок про співпадіння/неспівпадіння ідентифікаторів може надалі транслюватися іншим системам (контролю доступу, захисту інформації тощо), які у подальшому свій алгоритм дій реалізують у залежності від отриманої інформації про співпадіння/неспівпадіння отриманих параметрів біометричного/их/ ідентификатора/ів/ з шаблоном/ами/, які зберігаються в пам’яті систем*.
Біометричні ознаки – це чіткі, індивідуальні, біологічно обумовлені характеристики кожної людини. В принципі не існує двох людей з абсолютно однаковими біометричними ознаками. Необхідно зазначити, що різні біометричні методи ідентифікації дуже сильно залежать від мети призначення і сфери застосування. Поки що тільки три біометричні методи довели свою масову практичність: розпізнавання за відбитками пальців, райдужною оболонкою очей і за рисами обличчя (2D і 3D-методи)*.
Основна функція будь-якого біометричного пристрою – розпізнавання інди-
відуума. Але контроль за доступом вимагає не тільки ідентифікації особи: система може також відмикати двері, дозволяти або забороняти доступ залежно від часу доби і при необхідності подавати сигнал тривоги. Як правило, біометричні системи здійснюють ці завдання різними способами.
У порівнянні з традиційними методами біометричні методи ідентифікації особи мають ряд переваг, а саме:
– біометричні ознаки дуже важко фальсифікувати;
– через унікальність біометричних ознак достовірність ідентифікації дуже висока;
– біометричний ідентифікатор не можна забути, як пароль, або втратити, як пластикову картку.
Найважливіший чинник успіху біометричної системи – це її прийняття користувачами. Воно, у свою чергу, залежить від декількох факторів. По-перше, пристрій не повинен викликати у користувача відчуття занепокоєння або дискомфорту. Можливо, це суб’єктивний показник, але він вельми важливий для розуміння проблем користувачів. Якщо люди бояться використовувати пристрій, то швидше за все вони поводитимуться з ним не так, як треба, а в підсумку можуть не пройти контроль, тобто не отримати доступ. По-друге, біометричний пристрій має бути досить простим у використанні. Клієнтам до вподоби пристрої, з якими легко працювати. По-третє, біометричний пристрій повинен функціонувати надійно, чітко і точно.
Проте жоден пристрій не може бути абсолютно досконалим, і біометричні системи – не виняток, вони теж можуть припускатися помилок. Як вже зазначалось, можливість помилок оцінюється рівнем помилкових відмов і хибних допущень, тобто показниками надійності біометричних систем служить вірогідність помилок першого і другого роду. Помилки першого роду визначають вірогідність помилкової відмови і виникають при відмові в доступі легальному користувачеві системи. Помилки ж другого роду (хибних допущень) показують вірогідність помилкового допуску і виникають при наданні доступу сторонній особі. Існуючі сучасні біометричні системи поки що мають достатньо широкий розкид цих характеристик.
Біометричну систему також можна характеризувати рівнем однакової ймовірності помилок першого і другого роду – точкою, в якій вірогідність помилки першого роду дорівнює вірогідності помилки другого роду. На підставі рівня однакової ймовірності помилок і робляться висновки про відносні переваги та недоліки різних біометричних методів. Чим нижче рівень вірогідності помилок, тим краще. Наприклад, рівень в один відсоток означає, що з 100 спроб розпізнання особи лише один раз їй буде помилково відмовлено або помилково дозволено у доступі.
Існує ще один параметр, який обов’язково необхідно враховувати при виборі й установці біометричної системи: її пропускна спроможність. По суті, це час, який потрібен людині для контакту з пристроєм та проведення процедури її розпізнання.
Роблячи вибір системи контролю доступу на основі біометричних методів ідентифікації особистості, окрім декларованої надійності та ціни необхідно враховувати і такий чинник, як сумісність з уже існуючими системами, що використовуються.
Розглядаючи конкретну біометричну ідентифікаційну систему контролю доступу до інформаційно-обчислювальних ресурсів, необхідно переконатися в коректності її роботи з наявним устаткуванням і програмним забезпеченням (ПЗ), а також проаналізувати можливість її сумісності з уже використовуваними системами захисту, якщо такі є.
Крім того, потрібно оцінити, наскільки прийнятна система для користувачів, які будуть її використовувати. Під прийнятністю для користувача в даному випадку розуміється його особисте ставлення до процесу аутентифікації або ідентифікації. Так, відживаюча процедура взяття відбитків пальців на паперовий носій у більшості випадків може розглядатися як щось принизливе, що викликає асоціації з застосуванням такої процедури в криміналістиці. З цієї точки зору ідентифікація за відбитками пальців руки за допомогою сканера виглядає набагато привабливішою.
Суттєвим параметром при виборі практично будь-якої системи ідентифікації є швидкість проведення реєстрації та верифікації абонентів. Більшість пропонованих на ринку систем виконують аутентифікацію і/або ідентифікацію в реальному масштабі часу. Тривалість реєстрації нового абонента від декількох десятків секунд до декількох хвилин також прийнятна, оскільки ця процедура виконується один раз.
Сучасна біометрична ідентифікаційна система повинна бути багаторівневою і включати в себе комплекс не тільки технічних, але й адміністративних рішень. Найкращі результати досягаються, коли розпізнання особи проводиться як біометричними, так і традиційними методами. Чим більше вихідних даних, тим більше потенціал розвитку систем безпеки, але у будь-якому випадку біометрія є основною складовою для досягнення оптимального рішення. Один із способів, що набуває все більшої популярності, – розпізнання рис зовнішності індивідуума. Люди легко впізнають один одного за обличчям, але автоматизувати таке розпізнання не так вже й легко. Необхідне для ідентифікації зображення отримують за допомогою фотографування, використання вже наявних фотозображень або записів відеокамер спостереження. Тільки у США і Німеччині над технологіями розпізнання за рисами обличчя працюють декілька десятків компаній, яким виділяються спеціальні урядові гранти або субсидії. Спочатку результати розробок використовувалися винятково для потреб спецслужб, але згодом вони почали застосовуватись і для комерційних цілей.
Сучасні впізнавальні технології дозволяють сканувати людські обличчя і проводити їх розпізнання у режимі реального часу. На відміну від інших біометричних технологій (ідентифікації за відбитками пальців, райдужній оболонці ока або по голосу) система розпізнавання за рисами обличчя не вимагає безпосереднього контакту з людиною, особа якої встановлюється. Непотрібно знімати відбитки пальців, дивитися в об’єктиви спеціальних камер або вимовляти якісь контрольні слова. Використання будь-якої біометричної ознаки має свої переваги і недоліки. Тому в жодному випадку не можна очікувати, що який-небудь окремий метод здобуде виключно пріоритетного визнання. Більшість експертів сходяться в тому, що споживач у залежності від вимог завдання повинен сам зробити вибір конкретного методу або потрібної комбінації методів*.
Будь-яка біометрична ідентифікаційна система повинна мати можливість розпізнавання за наявним шаблоном і встановлювати за його допомогою автентичність конкретних фізіологічних або поведінкових характеристик користувача. Логічно будь-яку біометричну систему (рис. 2) розподіляють на дві частини: модуль реєстрації і модуль верифікації (ідентифікації).
Рис. 2. Блок-схема біометричної системи
Модуль реєстрації відповідає за те, щоб система навчилася ідентифікувати конкретну людину. На етапі реєстрації біометричні датчики сканують її необхідні фізіологічні або поведінкові характеристики, перетворюючи їх у електронний цифровий вигляд. Спеціальний модуль обробляє цю отриману електронну цифрову послідовність з тим, щоб виділити характерні особливості і згенерувати їх компактне електронне представлення (шаблоном). Для зображення обличчя такими характерними особливостями можуть бути розміри і відносне місцерозташування очей, носа і рота. Електронний шаблон для кожного користувача зберігається в базі даних біометричної системи.
Модуль верифікації (ідентифікації) відповідає за розпізнання людини. На цьому етапі біометричний датчик знімає та реєструє характеристики людини і перетворює ці характеристики в той же цифровий формат, в якому зберігається контрольний шаблон. Отриманий шаблон для проведення верифікації порівнюється з тим, що зберігається, для того, щоб визначити, чи співпадають ці шаблони. Наприклад, при використанні у процесі аутентифікації технології ідентифікації за папілярними узорами пальців дані (ім’я) користувача попередньо вводяться та зберігаються в пам’яті модуля попередньої реєстрації, а відбиток пальця, отриманий внаслідок сканування при проходженні процедури контролю, замінює пароль. Ця технологія використовує дані (ім’я) користувача як покажчика для отримання облікового запису абонента системи, який зберігається, та перевірки відповідності «один до одного» (аутентифікація) між шаблоном отриманого в процесі верифікації параметрів біометричного показника і вже наявним для даного імені користувача шаблоном. У іншому випадку (процедура ідентифікації) шаблон параметра біометричного показника, що пред’являється, зіставляється з усім набором шаблонів, що зберігаються*.
При всьому теоретичному різноманітті можливих біометричних методів на практиці їх застосовується небагато. На даний час найпоширенішими є три методи: розпізнавання за відбитками пальця, за зображенням обличчя (двомірному або тривимірному /2D або 3D/) і за райдужною оболонкою ока. Як приклад, розглянемо і порівняємо основні якісні характеристики цих біометричних методів (див. табл. 1), наведених співробітниками російських НВО «Інформація» і «A4Vision» А. Вакуленком і А. Юхиним**.
Таблиця 1
Характеристики трьох основних біометричних методів
Система розпізнавання | Універ- сальність | Унікаль- ність | Перма- нентність | Вимір-ність | Стійкість до навко-лишнього середовища | Стійкість до підробки | Соціальна прий- нятність | Точність |
Райдужна оболонка | Добре | Відмінно | Відмінно | Погано | Добре | Погано | Погано | Добре |
Палець | Добре | Добре | Добре | Погано | Погано | Погано | Погано | Добре |
Обличчя (3D) | Відмінно | Добре | Добре | Добре | Добре | Відмінно | Відмінно | Добре |
Обличчя (2D) | Відмінно | Погано | Погано | Добре | Погано | Погано | Відмінно | Погано |
Для порівняння використовуються ті критерії, яким повинен тією чи іншою мірою відповідати будь-який біометричний метод.
Розглянемо докладніше кожен з критеріїв.
Універсальність. Кожна людина повинна володіти тією характеристикою, яка потрібна для даного біометричного методу. Насправді кожен метод має обмеження, оскільки декотрі індивідууми, які мають певні вади, в принципі не можуть їх використовувати (наприклад, ті особи, у кого немає пальця або ока).
Унікальність (розрізнюваність).На відміну від аутентифікації користувачів за паролями або унікальними цифровими ключами, біометричні технології завжди вірогідні, оскільки завжди зберігається досить малий шанс, що у двох людей з ряду причин у процесі розпізнавання можуть співпасти порівнювані біологічні характеристики. Через це в біометрії запроваджені та використовуються ряд важливих ключових термінів:
FAR (False Acceptence Rate) – відсотковий поріг, що визначає вірогідність того, що одна людина може бути прийнята за іншу. Величина, яка дорівнює 1, в FAR називається специфічністю.
FRR(False Rejection Rate) – вірогідність того, що людина може бути не розпізнана системою. Величина, яка дорівнює 1, в FRR має назву чутливості.
Verification (Верифікація) –порівняння двох біометричних шаблонів один до одного.
Identification (Ідентифікація) –ідентифікація біометричного шаблону людини серед наявної вибірки інших шаблонів. Тобто ідентифікація – це завжди порівняння одного до багатьох.
Biometric template (Біометричний шаблон). Набір даних, як правило, в закритому двійковому форматі, що створюється біометричною системою на основі характеристики, що аналізується. Існує спеціальний стандарт CBEFFдля структурного обрамлення біометричного шаблона*.
Загальновідомо, що біометрична характеристика не може бути однаковою у двох різних людей. Унікальністьвизначається як мінімальне досяжне для даного типу біометрії значення FAR (False Acceptance Rate) – ймовірність помилкового розпізнавання, тобто вірогідність того, що система зможе сплутати двох індивідуумів, визнавши «чужого» за «свого».
На практиці зменшення FAR завжди приводить до зменшення чутливості методу або, що еквівалентно, до збільшення FRR (False Rejection Rate) – ймовірності помилкового невпізнавання, тобто до того, що система не розпізнає відомого їй суб’єкта. Таким чином, мінімальне досяжне значення FAR відповідає дуже високому значенню FRR і не є показовим значенням.
Перманентність. Біометрична характеристика не повинна змінюватися з часом (так зване старіння біометричного шаблону). Оцінити перманентність біометричного методу можна залежністю FRR (при фіксованому значенні FAR) від часу між тестами, проведеними на одній і тій же вибірці індивідуумів.
Вимірність. Її можна кількісно оцінити величиною FTE (Failure to enroll) – відсотком індивідуумів, які не змогли пройти реєстрацію (система не змогла вибудувати їхні біометричні шаблони), і середнім часом розпізнавання (recognition time). Під часом розпізнавання мається на увазі час верифікації або ідентифікації, залежно від режиму, в якому працює система.
При вирішенні завдань контролю доступу, особливо на транспорті, час розпізнавання безпосередньо визначає швидкість людського потоку через контрольований прохід. FTE визначає той відсоток людей, які не зможуть скористатися послугами системи, тобто будуть відсіюватися (не пропускатися) та, відповідно, блокувати прохід. Сюди входять і ті випадки, коли у індивідуумів потрібна біометрична характеристика відсутня (див. «Універсальність»), але головним чином це такі випадки, коли потрібний біометричний параметр є в наявності у особи, але на даний час з тих або інших причин його вимірювання на обладнанні, що використовується, неможливе або суттєво ускладнене.
Для багатьох людей можуть виникнути труднощі з розпізнаванням за відбитком пальця – для працівників, які працюють фізично, осіб з слабо вираженими та стертими папілярними узорами, для літніх людей з сухою шкірою або індивідуумів з дерматологічними дефектами. Крім того, через постійний контакт скануючі пристрої відбитків пальців можуть просто забруднюватися і, як наслідок, давати збої.
Стійкість до навколишнього середовища. Біометричний метод повинен бути стійким до змін навколишнього середовища. Експлуатаційні якості різних біометричних методів суттєво залежать від умов оточуючого середовища в місці експлуатації скануючих пристроїв і можуть погіршувати стабільність своїх характеристик при зміні цих умов. Так, у сканерів відбитків пальців при забрудненні контактного місця значно погіршується якість їх роботи, двомірні методи розпізнавання обличчя надто залежать від зовнішнього освітлення тощо.
Стійкість до підробки. Біометрична система повинна бути стійкою до можливих підробок біометричних параметрів, що вимірюється. Це призводить до несанкціонованого доступу. Систему розпізнавання за двомірним (2D) зображенням обличчя можна легко «обдурити», пред’явивши їй якісну фотографію «конкретної» особи з числа «знайомих системі».
Для отримання несанкціонованого доступу за відбитком пальця буває досить просто подихати на залишений на контактному місці сканера попереднім індивідуумом відбиток пальця або нанести графітову пудру і натиснути на місце контакту через тонку плівку.
Соціальна прийнятність. Згода суспільства на збір і використання тих або інших біометричних даних є необхідною умовою для масового запровадження біометричних методів у повсякденне життя. Існують різні причини, за якими збір і зберігання певних біометричних характеристик може стати неприйнятним для суспільства. Наприклад, зняття відбитків пальців на паперовий носій традиційно асоціюються з розслідуванням злочинів. Для багатьох істотним є і те, що розпізнавання за папілярними узорами пальців (контактний спосіб) вимагає дотику до контактого місця сканера, якого перед тим торкалися інші особи.
Ще один серйозний недолік сканування за відбитками пальців – можливість їх крадіжки і використання не тільки для несанкціонованого доступу, але і для фальсифікації доказів. Основне заперечення проти використання методу розпізнавання за райдужною оболонкою ока пов’язане з можливостями іридодіагностики і отриманням тим самим приватної інформації щодо хвороб людини.
Двомірна фотографія обличчя індивідуума є найбільш прийнятною для суспільства, оскільки є безконтактним і найтрадиційнішим способом ідентифікації особи. Тривимірна цифрова фотографія у цьому сенсі нічим не відрізняється від звичайної, але набагато підвищує точність автоматичної ідентифікації. Зовнішність людини, на відміну від інших характеристик, – її найбільш природний ідентифікатор, який може використовуватися оператором-людиною для перевірки рішення, прийнятого комп’ютером.
Точність. Будь-яку біометричну систему можна настроїти на різний ступінь «пильності», тобто на різне значення ймовірності помилкового розпізнавання FAR. При цьому, як вже згадувалося, чим нижче FAR, тобто чим пильніше система, тим вища вірогідність помилкового нерозпізнавання FRR (система стає менш чутливою). Залежно від конкретного завдання система настроюється на певний компроміс між допустимими значеннями FAR і FRR, або, як їх прийнято називати в теорії статистичних рішень, помилками 1-го і 2-го роду*.
У ряді країн з метою організації та регулювання використання біометричних характеристик приймаються спеціальні нормативні документи. Прикладом такого нормативного акту, що був прийнятий весною 2009 року на теренах Співдружності Незалежних Держав (СНД), може слугувати Постанова Кабінету Міністрів Азербайджану «Правила організації і регулювання діяльності біометричних інформаційних служб за видами надання біометричних послуг».
У відповідності до затверджених правил повинні бути створені відповідні стандарти послуг, що надаються. В Азербайджані до біометричних інформаційних відомостей включені ідентифікація зовнішності, ідентифікація та дактилоскопічна реєстрація відбитків пальців і долонь, ідентифікація за голосом, його аналіз і конвертація, ідентифікація й аналіз почерку та підпису на папері, аналіз і ідентифікація за ДНК, організація контролю і безпеки за індивідуальним ідентифікаційним номером, ідентифікація і аналіз за райдужною оболонкою ока.
Також у документі знайшли своє відображення методи і форми організації служб з обробки біометричної інформації, процедури їх здійснення, організація безпеки послуг, що надаються, та ін.**.
1.4. Поняття ідентифікації і аутентифікації
(верифікації) фізичних осіб
У даний час існує безліч біометричних систем, які використовуються на різних рівнях і призначені для вирішення різноманітних практичних завдань. При цьому всі біометричні системи, як правило, розподіляються на ідентифікаційні та верифікаційні. Тобто в біометрії розмежовують поняття термінів ідентифікація і верифікація (аутентифікація).
У випадку ідентифікації система встановлює, кому належить даний зразок, порівнюючи його з наявними шаблонами у базі даних для того, щоб провести пошук шляхом відповідності «один з багатьох» (цей процес називають відповідністю «один до багатьох»).
Верифікація (аутентифікація) – це порівняння, при якому біометрична система намагається аутентифікувати (верифікувати) особистість людини, тобто встановлення достовірності шляхом порівняння «один до одного». В цьому випадку отриманий біометричний зразок порівнюється з раніше отриманим і таким, що зберігається, взірцевим зразком. Порівнюючи ці два зразки, система повинна дати відповідь на питання, чи дійсно пред’явник є тією особою, за кого він себе видає.
У процесі ідентифікації система порівнює один зразок з багатьма, що зберігаються в спеціальному сховищі, тоді як при аутентифікації або верифікації порівнює отриманий зразок з тим, що конкретно зберігається, тобто один до одного. Для простішого розуміння можна образно уявити, що ідентифікаційна система ставить питання: «Ви хто?», а система верифікації ж питає «Ви дійсно той, за кого себе видаєте?»*.
Перш ніж перевіряти істинність (правдивість) користувача, його потрібно ідентифікувати (з’ясувати, «хто є хто»), тобто з багатьох користувачів, зареєстрованих у системі, вибрати за унікальним ідентифікатором одного. Саме його система і буде дійсно перевіряти . Ідентифікатор – це ім’я, під яким зареєстрований користувач у перевіряючій його комп’ютерній системі.
Іншими словами, ідентифікація користувача – це отримання відповіді на питання: «Хто ти?» А аутентифікація – це вимога: «А зараз доведи по суті, що ти саме той користувач, за якого себе видаєш» та подальша перевірка наданих доказів. Тобто перевірка, чи дійсно користувач є тією особистістю, за яку він себе видає.
У комп’ютерних системах аутентифікація користувачів зазвичай виконується за допомогою спеціального програмного модуля, встановленого безпосередньо на комп’ютері, за допомогою якого пред’явник намагається дістати прямий або віддалений доступ. Усю роботу даного модуля можна умовно поділити на два етапи.
Попередній, на якому модуль формує «еталон користувача, що перевіряється», наприклад, запрошує пароль користувача (як правило, цей самий пароль запрошується двічі, щоб виключити помилку його введення) – за ним особа користувача розпізнаватиметься згодом.
Пароль (або інший еталон) може і назначатися (присвоюватися) користу-
вачеві – так буває, наприклад, у різних системах доступу в Інтернет. Зазвичай
модуль аутентифікації зберігає наявні еталонні зразки в таблиці відповідностей «користувач – еталон».
І завершальний етап, коли пред’явник-користувач проходить аутентифікацію і у нього запрошується аутентифікаційна інформація, яка порівнюється з еталоном. На підставі цього порівняння він вважається розпізнаним або нерозпізнаним.
При віддаленій верифікації аутентифікаційна інформація, що пред’являється користувачем, і її еталонний зразок можуть доповнювати один одного, беручи при цьому участь у будь-яких криптографічних перетвореннях. Для цього випадку використовуються різні протоколи мережевої аутентифікації*.
Засоби аутентифікації можна поділити на три групи (три методи) відповідно до принципів, що використовуються:
1. Принцип «що ви знаєте» («you know»). При створенні систем безпеки вбачається, що це «знання» не може бути тільки одним ідентифікатором особистості: у крайньому разі не рекомендовано його застосовувати багаторазово, необхідно обмежити термін використання «знання». Як приклад «знання» можна навести пароль при звертанні до комп’ютера під час входу в оперативну систему або PIN – код доступу до банківської картки.
2. Принцип «що ви маєте» («you have»). «Мати» – це якийсь механізм, котрий показує, що клієнт «володіє» певною річчю з визначеними параметрами. При цьому в теорії безпеки вважається, що річ може бути передана третій особі, тобто є ймовірність її дублювання (підробки) або неправомірного вживання. Приклади таких «речей»: картка в будь-якому її вигляді, USB – ключ, Touch-memory, якийсь пропуск.
3. Принцип «хто ви є» («you are») або «бути» – використовує персональні властивості користувача та насамперед описує фізичні особливості тіла, тобто щось невіддільне від особистості індивідуума. Передусім це зовнішній вигляд особи (поєднання росту, ваги, об’ємів частин тіла), зображення обличчя (фотографії у профіль, фас, трьохвимірне /3D/ зображення), відбитки пальців, відбитки та силует долонь, райдужна оболонка ока. Окрім фізичних параметрів для ідентифікації можуть використовуватися поведінкові ознаки – будь-які рухи частин тіла клієнта, що ідентифікується (як один з варіантів – власний підпис на папері або touchpad-е) і особливості голосу. Системи строгої верифікації використовують як мінімум два або більше параметрів при аутентифікації користувачів**.
Кожен з вказаних вище методів має свої переваги та недоліки. Для усунення останніх у комп’ютерних системах, як правило, використовують комбінації різних методів аутентифікації, наприклад смарт-картку у вигляді предмета з унікальним вмістом (наприклад, криптографічним ключем), коли перед отриманням доступу до нього необхідно ввести PIN-код. Тобто користувач для входу в систему не тільки повинен мати при собі смарт-картку, але і пам’ятати унікальну парольну послідовність знаків – PIN-код. Така аутентифікація називається двохфакторною – за кількістю параметрів, що перевіряються.
Визначимо позитивні якості та недоліки вищенаведених методів.
Пароль
На сьогоднішній день засоби аутентифікації першої групи («що ви знаєте» – «you know») є найекономічнішими за вартістю, але одночасно і найменш надійними.
За парольним принципом будуються прості системи аутентифікації, в яких користувачеві досить ввести вірний пароль для отримання доступу до потрібного йому ресурсу. Парольна аутентифікація поки що є найбільш поширеною: по-перше, це найпростіший з відомих методів аутентифікації (що є єдиною її позитивною якістю), по-друге, вона з’явилась набагато раніше за інші види, тому й досі застосовується у досить значній кількості для організації програмного доступу.
Проте недоліків у парольної аутентифікації дуже багато.
По-перше, досить часто користувачі користуються зовсім простими або легко вгадуваними паролями, які представляють собою:
– будь-яку похідну від самого ідентифікатора користувача (часто безпосередньо сам ідентифікатор);
– слово з його рідної мови (дуже поширеними є випадки, коли парольне слово є власним ім’ям : кличка собаки, назва улюбленої футбольної команди тощо) або загальновживану фразу (такі паролі підбираються зловмисниками шляхом словарної атаки – послідовним перебором слів і найбільш вживаних фраз за наявними електронними словниками);
– особливо результативним попередній вид підбору пароля буває у випадках, коли користувачі застосовують незначну кількість знаків у парольному слові.
По-друге, пароль можна підглянути або перехопити при введенні.