همه ما از رمزهاي عبور براي محافظت در دنياي ديجيتالي استفاده مي‌كنيم. با وجود این‌که رمزهاي عبور پيچيده و متشكل از كاراكترهاي مختلف مي‌توانند امنيت ما را روي سرويس‌هاي مختلف تأمين كنند، مشكلات ذاتي رمزهاي عبور هر روز بيشتر آشكار مي‌شود. در ابتدای ماه مارس سال جاری میلادی، 50 ميليون رمز‌عبور پس از اين‌كه توسط هكرها ريست شدند، دوباره پيكربندي و از سوي كاربران تغيير كردند. جالب است بدانيد كه اين رمزهاي عبور متعلق به سرويس‌هاي تويتر، سوني، فيس‌بوك، دراپ‌باكس و... بودند. در اين شرايط پرسشی كه مطرح مي‌شود اين است كه چرا فناوری‌های امنیتی بيومتريك هنوز جاي رمزهاي عبور را نگرفته است؟

فناوري‌هاي بيومتريك امكان دسترسي بر‌اساس خصلت‌هاي تغييرناپذير و منحصر‌به‌فرد را به ما مي‌دهد، ايده‌آلي كه امكان هر‌گونه سرقت يا جعل را ناممكن مي‌كند. البته، فناوري‌هايي مانند اثر انگشت، تشخيص صدا، اسكن صورت و... را براي احراز هويت كاربران در فيلم‌هاي پليسي/جاسوسي و در كسب‌وكارهاي بزرگ، دانشگاه‌ها، اداره‌های دولتي و مراكز مهم شهر مي‌بينيم، اما هنوز اين فناوري‌ها جايگزين رمزهاي عبور در سايت‌ها و نرم‌افزارهاي مختلف نشده‌اند. آيا استفاده از اين روش‌ها سخت است و ناممكن به‌نظر مي‌رسد؟ مانع اصلي چيست؟


افسانه اثرانگشت

اثرانگشت بيش از يك قرن (شايد هزاران سال) به‌عنوان ابزاري براي تشخيص هويت انسان‌ها مورد استفاده قرار گرفته است و اسكنرهاي اثرانگشت نزديك به يك دهه است به صنعت كامپيوتر نيز راه پيدا كرده‌اند. كاربران با يك ضربه سريع و محكم انگشت خود به روي يك اسكنر باريك احراز هويت شده و شناسايي مي‌شوند. فناوري تشخيص و مقايسه اثرانگشت پيچيده است و نياز به محاسبه ‌و پردازش‌هاي سنگيني دارد اما امروزه اين فناوري بهبود و تكامل یافته است و هزينه‌هاي آن كاهش يافته‌اند. اما اثرانگشت جنبه‌هاي منفي نيز دارد كه استفاده از آن را سخت مي‌كند. از واضح‌ترين نمونه‌ها مانند سوختگي يا بريدگي انگشت گرفته تا استفاده از كرم‌هاي ضدآفتاب، رطوبت، آلودگي فيزيكي، روغن، لكه‌هاي جوهر و حتي مايع‌هاي ظرف‌شويي مي‌توانند باعث تداخل در اسكنرهاي اثرانگشت شده و فرآیند مقايسه و شناسايي هويت كاربران را با مشكل مواجه كنند. بسياري از افراد به‌علت استفاده زيادي از يك انگشت خود، دچار سایيدگي و صاف‌شدگي آن شده‌اند و از شيارهاي يكتايي كه  باید روي هر انگشت باشد، خبري نيست. همچنين انگشت افرادي كه زياد از خودكار استفاده مي‌كنند دچار تغيير حالت و وضعيت  شده است كه امكان تشخيص اثرانگشت را سخت و همراه با خطا مي‌كند. نيروهاي آموزش ديده قانون مي‌توانند در اين مواقع از انگشت ديگر من استفاده كنند يا از سيستم‌هاي ديگري مانند اسكن صورت براي شناسايي من كمك بگيرند اما تصور كنيد در يك روز باراني و مرطوب خارج از شهر هستيد و مي‌خواهيد با سيستم اسكنر اثرانگشت يك سرويس موبايل را فعال كنيد!


گوشي‌هاي موبايل هوشمندي مانند Motorola Atrix در بازار يافت مي‌شوند كه از اسكنرهاي اثرانگشت استفاده مي‌كنند و به سيستمي مجهز هستند كه مي‌تواند اثرانگشت را خوانده و در گوشي با نمونه قبلي مقايسه كند. حتي در سال گذشته شايعه شد كه شركت اپل مي‌خواهد روي گوشي تلفن‌همراه iPhone و سيستم‌عامل iOS سيستم تشخيص اثرانگشت قرار دهد. همچنین، شركت‌هايي كه براي مدت طولاني از سيستم‌هاي تشخيص هويت مبتني‌بر اثر انگشت استفاده كرده‌اند، معتقدند دستگاه‌هاي  Ultra-Scan وجود دارد كه مي‌توانند صد برابر دقيق‌تر از اسكنرهاي معمولي اثرانگشت را تشخيص داده و مقايسه كنند. ونس بيورن  (Vance Bjorn) مدير فناوري شركت دیجیتال پرسونا كه سال‌ها است در زمينه مديريت دسترسي از طريق اثرانگشت كار مي‌كند، مي‌گويد: «به نظر من تغيير جهت به سمت استفاده از اثرانگشت در تجهيزات الكترونيكي مي‌تواند به سرعت اتفاق بيفتد. رمزعبور ضعف‌هاي زيادي دارد و نمي‌تواند امنيت لازم را تأمين كند و ضعيف‌ترين حلقه امنيتي است كه حتي در ميان كاربران به خصوص كاربران گوشي‌هاي هوشمند در حال فراموش شدن است و اصلاً تمايل ندارند يك عبارت را در گوشي وارد كنند و بيشتر از كشيدن دست روي صفحه‌نمايش لمسي لذت مي‌برند. احراز هويت با اثرانگشت مي‌تواند راحت و امن باشد و مشكلات موجود را برطرف كند.»

صداي شما رمز عبور شما است

به‌نظر مي‌رسد احرازهويت مبتني‌بر صدا مي‌تواند روي گوشي‌هاي تلفن همراه به‌خوبي كار كند. چون اين دستگاه طراحي شده‌اند تا صداي انسان را پردازش كنند و شامل فناوري‌هايي براي فيلتر‌كردن نويز و پردازش سيگنال هستند. همانند اسكنرهاي اثرانگشت، فناوري‌هاي تشخيص صدا نيز سال‌ها است كه در سيستم‌هاي امنيتي وجود دارد و استفاده مي‌شود اما هنوز وارد دستگاه‌هاي ديجيتالي و مصرفي مردم نشده است. گونه‌هاي مختلفي از سيستم‌هاي تشخيص صدا وجود دارد اما همگي مبتني‌بر چند قاعده مشخص مانند تشخيص گفتار، صداي پس‌زمينه، تشخيص دما و فشار هوا هستند.

سيستم‌هاي امنيتي تشخيص صداي ساده مبتني‌بر تكرار يك عبارت خاص است. مانند استفاده از پين‌كد در كامپيوتر. اگر عبارت مورد نظر توسط كاربر مجاز ادا شود، سيستم مجوز دسترسي مي‌دهد. سيستم‌هاي پيچيده‌تر مبتني‌بر پردازش صدا و گفتار و استفاده از الگوهاي تشخيص گفتار هستند و از گفتار يك شخص بايد بتوانند فرآیند احراز هويت را انجام دهند. سيستم‌هاي مبتني‌بر روش اول (استفاده از يك عبارت صوتي مشخص) شكننده و ناامن هستند. اولاً ممكن است با كوچك‌ترين سرماخوردگي و سرفه و تغيير صدا قفل شوند و كاربر مجاز نتواند وارد سيستم شود. دوماً امكان ضبط صدا توسط هكرها وجود دارد. کوين ميتنيك، هکر مشهور، توانست با همين شيوه و ضبط صداي مديرعامل يك مؤسسه مالي به سيستم تلفني آن بانك نفوذ كند. اين هكر در گفت‌وگوهاي مختلف با اين مديرعامل توانسته بود اعداد صفر تا نه را با صداي او ضبط كرده و پس از استخراج از فايل‌هاي صوتي و در كنار يكديگر قرار دادن، كد صوتي مورد نظر را بازسازي كند.


ماناس پاتاك (Manas Pathak) محققي در حوزه حفظ حريم خصوصي با احراز هويت صدا كه به‌تازگي دكتراي خودش را هم از دانشگاه كارنگي‌ملون دريافت كرده است، مي‌گويد: «سيستم‌هاي تشخيص گفتار فعلي معادل رمزهاي عبور متني هستند. در حالي كه شما بايد بخشي از شناسه خودتان را به سيستم بدهيد.» عبارت صوتي (Voice Print) ذخيره شده روي يك سيستم كامپيوتري همانند يك رمزعبور است كه امكان سرقت آن وجود دارد. علاوه‌بر اين، صداي شما مشخص كننده سن، مليت و حتي عواطف شما است كه به‌راحتي در‌اختيار سارقان قرار مي‌گيرند.
تحقيقات اخير در حوزه تشخيص گفتار روي همين مسئله متمركز شده است. استاندارد باز جديدي كه توسط مؤسسه FIDO Alliance در حال تصويب است از متدهاي احرازهويت چندگانه مبتني‌بر صدا پشتيباني مي‌كند اما امكان دسترسي يا ذخيره اطلاعات بيومتريك كاربران به‌طور مستقيم روي سيستم را نمي‌دهد. پاتاك و ديگر محققان در حال توسعه سيستم پيچيده‌اي هستند كه يك صداي پايدار و الگو از صداي كاربر ساخته (كاربر در مورد هر چيزي صحبت مي‌كند و سيستم از اين صدا الگوبرداري خواهد كرد) و آن را به چندين بخش نمونه تقسيم مي‌كند. سپس از اين نمونه‌هاي صوتي به صورت كاملاً محرمانه و رمزنگاري‌شده‌اي محافظت مي‌شود. در اين حالت، سيستم‌هاي از راه دور نمي‌توانند اين صدا را دوباره بازسازي كنند يا به اطلاعات بيومتريكي كاربر دسترسي داشته باشند. پاتاك درباره اين سيستم مي‌گويد: «در حال حاضر‌، 95 درصد به دقت اين سيستم اطمينان داريم.» وي ادامه مي‌دهد كه نياز داريم اين سيستم را روي تلفن‌هاي همراه به‌صورت گسترده نصب كرده و آزمایش كنيم. اين سيستم آماده عرضه به بازار و تجاري‌سازي است و فراتر از يك تحقيق دانشگاهي به شمار می‌رود. با اين حال، بسيار سخت است كه بپذيريم نويز، عوامل محيطي، صداي ترافيك، تلويزيون، موسيقي و... روي دقت اين سيستم تأثيرگذار نيستند و موجب كاهش دقت و احرازهويت آن نمي‌شوند. احراز هويت از طريق صدا مكانيزم ساده‌اي نيست؛ افرادي را تصور كنيد كه در مترو يا اتوبوس نشسته‌اند و مدام فرياد مي‌زنند تا گوشی موبايل‌شان از حالت قفل خارج شود يا سرويس ايميل‌شان لاگين كند!

چهره در مقابل چهره

تشخيص چهره و اسكن عنبيه چشم از ديگر روش‌هاي احرازهويت بيومتريكي هستند و مي‌توانند در تجهيزات الكترونيكي مورد استفاده قرار گيرند چون تقريباً روي همه گوشي‌هاي تلفن‌همراه و نوت‌بوك‌ها دوربين ديجيتال با وضوح تصوير وجود دارد. سيستم‌هاي شناسايي چهره براساس پارامترهايي از چهره مانند اندازه، شكل، فاصله المان‌هاي چهره مانند چشم‌ها و بيني، فك و استخوان كار مي‌كنند. برخي از سيستم‌ها نيز دقيق‌تر هستند و حتي چين و چروك يا خال‌هاي چهره را نيز شناسايي مي‌كنند و مي‌توانند تصاويري سه بعدي از چهره انسان تهيه كنند. بسياري از ما برنامه‌هاي تشخيص چهره را در iPhoto يا سايت‌هاي اجتماعي ديده‌ايم و مي‌دانيم كه نتايج آن‌ها نااميدكننده است. البته، سيستم‌هاي تشخيص چهره تجاري و امنيتي قوي‌تر هستند اما باز هم با كمي تغيير چهره (لبخند زياد، عينك، استفاده از كلاه يا كلاه‌گيس مو) يا نورپردازي بد مي‌توان نتايج را عوض كرد و دو عكس شبيه به هم را به اشتباه انداخت. همچنين در اين سيستم‌ها اگر به درستي و با دقت در دوربين زل نزنيد و بخواهيد كمي بازيگوشي دربياوريد يا بخواهيد عكسي زاويه‌دار بگيريد، سيستم تشخيص چهره جوابگو نخواهد بود. در اين ميان، سن، وزن، وضعیت پزشكي و آسيب نيز مي‌تواند چهره را عوض كند و نتايج دلخواه به‌دست نيايد.

يك فعال امنيتي در بوستون كه نخواست نامش فاش شود، مي‌گويد: «ما از چند سال پيش تا‌كنون با بهترين و قوي‌ترين سيستم‌هاي تشخيص چهره هم نتوانستيم يك مهندس ارشد را احرازهويت كنيم و هميشه با شكست مواجه شديم. زیرا اين فرد تقريباً يك دانشمند ديوانه و هيپي با عينك ضخيم و موهاي بلند و ريش كامل است. حتي اين سيستم‌ها براي چهره من نيز خطا مي‌كنند. وقتي بعد از عمل چشم مجبور شدم براي چند هفته عينك بزنم با اين سيستم‌ها به مشكل برخوردم.»


در مقابل سيستم‌هاي تشخيص چهره، سيستم‌هاي تشخيص عنبيه چشم قرار دارند كه با استفاده از اشعه مادون قرمز از بخش رنگي عنبيه چشم الگوبرداري مي‌كنند و در دفعات بعد با مطابق الگوها با يكديگر مي‌توانند هويت فرد را تعيين كنند. اين سيستم‌ها نياز به پردازش كمتري دارند و درصد خطای آن‌ها نسبت به سيستم‌هاي تشخيص چهره بسيار كمتر مي‌شود زیرا عنبيه چشم هر انسان همانند اثرانگشت يكتا و منحصربه‌فرد است. تا همين چند سال پيش امكان استفاده از سيستم تشخيص عنبيه چشم وچود نداشت زیرا حق اختراع و استفاده از آن در اختيار يك شركت بود و اجازه نمی‌داد همگاني شود اما پس از اين‌كه مدت زمان انحصاري استفاده از اين فناوري به پايان رسيد، شاهد هستيم كه اين روش در مراكز امنيتي دولتي استفاده مي‌شود. با این حال، خبري از آن در برنامه‌هاي كاربردي و تجهيزات الكترونيكي پرمصرف كاربران نيست.

سيستم‌هاي تشخيص عنبيه چشم نيز داراي مشكلاتي هستند. كاربران مجبورند به اين كار تن دهند كه چشم‌شان را در‌اختيار يك دستگاه بسته قرار دهند و در مقابل تابيدن نور و اشعه مقاومت كنند و پلك نزنند. در اين شرايط بايد عينك كنار گذاشته شود و استعمال برخي از مواد مخدر يا دارويي كه روي عنبيه چشم تأثير مي‌گذارند، ممنوع شود. همچنين هر حركتي كه موجب شود رك عنبيه چشم تغيير كند مانند استفاده از لنز يا عمل‌هاي جراحي يا برخي از ورزش‌ها نيز ممنوع خواهد بود.
بنابراين، همانند سيستم تشخيص صدا و گفتار، سيستم‌هاي تشخيص عنبيه چشم نيز داراي مشكلات و خطاهايي هستند و امكان فريب يا جعل وجود دارد. در نتيجه از اين فناوري بيشتر در شرايط تحت كنترل انسان مانند اداره گذرنامه و مهاجرت استفاده مي‌شود و نمي‌توان انتظار داشت به‌صورت خودكار روي تجهيزات مصرفي الكترونيكي به كار گرفته شود. حداقل مي‌توان گفت به اين زودي‌ها اين اتفاق نمی‌افتد.

خودمان امنيت را تأمين كنيم

بدون شك استفاده از رمزعبور در زندگي ديجيتالي همراه با خطر و تهديداتي است و امنيت لازم را برقرار نمي‌كند. فناوري‌هاي احراز هويت مبتني‌بر بيومتريك جايگزين خوبي براي رمز‌عبور هستند و مي‌توانند خيال‌مان را از بابت امنيت ديجيتالي راحت كنند اما همان‌طور كه در اين مقاله گفته شد، تمام فناوري‌ها و روش‌هاي مبتني‌بر بيومتريك تحت شرايطي شكست مي‌خورند و باز هم توسط انسان قابل دور زدن و جعل هستند و نمي‌توانند براي ما سحر و جادو كنند. علاوه‌بر آن، اگر اطلاعات بيومتريكي كاربران لو برود، ديگر هيچ راه قابل بازگشتي وجود ندارد. مثلاً شما مي‌توانيد رمز‌عبور گوشي تلفن همراه خود را تغيير دهيد اما آيا مي‌توانيد اثرانگشت خودتان را عوض كنيد؟ به هر حال، به‌نظر مي‌رسد فناوري‌هاي احراز هويت بيومتريك در حال حركت به سمت تجهيزات الكترونيكي هستند و در سيستم‌هاي احرازهويت چندگانه همراه با رمز‌عبور قابل استفاده خواهند بود. ونس بيورن از شركت دیجیتال پرسونا مي‌گويد: « همه ما مي‌دانيم كه رمزعبور از بين رفتني است و باقي نمي‌ماند. در عوض ابزارهاي امنيتي بيومتريك جايگزين مي‌شود. اما من فكر نمي‌كنم به اين زودي‌ها اين ابزارها را روي تجهيزات الكترونيكي و در دست مردم ببينيم.