Biometri er biologiske målinger – eller fysiske egenskaber – som kan bruges til at identificere enkeltpersoner. Kortlægning af fingeraftryk, ansigtsgenkendelse og irisscanninger er alt sammen former for biometrisk teknologi, men disse er blot de mest anerkendte muligheder.
Forskere hævder, at ørets form, den måde, man sidder og går på, unikke kropslugte, årerne i hænderne og endda ansigtsgrimasser er andre unikke identifikatorer.
Da fysiske karakteristika er forholdsvis faste og individuelle – selv hos tvillinger – bliver de brugt til at erstatte eller i det mindste udvide adgangskodesystemer til computere, telefoner og adgangsbegrænsning til rum og bygninger.
Avanceret biometri anvendes også til at beskytte følsomme dokumenter. Citibank bruger allerede stemmegenkendelse, og den britiske bank Halifax tester enheder, som overvåger hjerteslag for at bekræfte kundernes identitet. Ford overvejer endda at sætte biometriske sensorer i biler.
Biometri er integreret i e-pas i hele verden. I USA har e-pas en chip, der indeholder et digitalt billede af en persons ansigt, fingeraftryk eller iris samt teknologi, der forhindrer, at chippen bliver læst – og dataene skimmet – af uautoriserede datalæsere.
Biometriske scannere bliver stadigt mere sofistikerede. For eksempel projicerer ansigtsgenkendelsesteknologi på Apples iPhone x 30.000 infrarøde prikker på en brugers ansigt til at godkende brugeren ved mønstermatching. Risikoen for at fejlbedømme en identitet er ifølge Apple én ud af en million.
Den nye smartphone LG V30 kombinerer ansigts- og stemmegenkendelse med scanning af fingeraftryk og opbevarer dataene på telefonen for at opnå større sikkerhed. CrucialTec, der er en sensorproducent, forbinder en pulssensor med deres fingeraftryksscannere for totrinsgodkendelse. På den måde sikres det, at klonede fingeraftryk ikke kan bruges til at få adgang til deres systemer.
Udfordringen er, at biometriske scannere, herunder ansigtsgenkendelsessystemer, kan blive narret. Forskere ved University of North Carolina i Chapel Hill downloadede fotos af 20 frivillige fra sociale medier og brugte dem til at konstruere 3-D-modeller af deres ansigter. Det lykkedes forskerne at bryde igennem fire af de fem sikkerhedssystemer, der blev testet.
Der findes eksempler på kloning af fingeraftryk overalt. Et eksempel fra cybersikkerhedskonferencen Black Hat viste, at et fingeraftryk kan klones pålideligt på ca. 40 minutter med materialer for blot $10, ved at påføre et fingeraftryk i støbeplast eller stearinlysvoks.
Tysklands Chaos Computer Club snød iPhones TouchID-fingeraftrykslæser to dage efter udgivelsen. Gruppen fotograferede blot et fingeraftryk på en glasoverflade og brugte den til at låse iPhone 5s op.
Uautoriseret adgang bliver vanskeligere, når systemer kræver flere metoder til godkendelse, f.eks. livsregistrering (blink med øjet) og matching af indkodede prøver med brugere i krypterede domæner. Nogle sikkerhedssystemer omfatter også additional features, f.eks. alder, køn og højde, i biometriske data for at trodse hackere.
Indiens program Unique ID Authority of India Aadhaar er et godt eksempel. Det godkendelsesprogram i flere trin, der blev indført i 2009, omfatter irisscanninger, fingeraftryk fra alle 10 fingre og ansigtsgenkendelse. Disse oplysninger knyttes til et entydigt identifikationskort, der udstedes til hver af Indiens 1,2 milliarder indbyggere. Snart vil dette kort blive obligatorisk for alle, der har adgang til sociale ydelser i Indien.
Biometrisk identifikation er praktisk, men fortalere for beskyttelse af personlige oplysninger frygter, at biometrisk sikkerhed undergraver privatlivets fred. Bekymringen går ud på, at personoplysninger kan indsamles uden samtykke.
Ansigtsgenkendelse er en del af dagligdagen i kinesiske byer, hvor det bruges til rutinemæssige køb, og London er som bekendt oversået med overvågningskameraer. Nu knytter New York, Chicagoog Moskva overvågningskameraer i deres byer til ansigtsgenkendelsesdatabaser med henblik på at hjælpe politiet i kampen mod kriminalitet. Carnegie Mellon University øger brugen af teknologien til at udvikle et kamera, der kan scanne irisser i menneskemængder fra en afstand på 10 meter.
I 2018 skal ansigtsgenkendelse indføres i Dubai Lufthavn, hvor feriegæster vil blive fotograferet af 80 kameraer, når de passerer gennem en tunnel i et virtuelt akvarium.
Ansigtsgenkendelseskameraer er allerede i brug i andre lufthavne i hele verden, blandt andet i Helsinki, Amsterdam, Minneapolis-St. Paul og Tampa. Alle disse data skal opbevares et sted, hvilket gav næring til frygten for konstant overvågning og misbrug af data.
Et mere umiddelbart problem er, at databaserne for personlige oplysninger er mål for hackere. Det skete f.eks. da det amerikanske Office of Personnel Managementblev hacket i 2015, hvor cyberkriminelle stak af med fingeraftryk fra 5,6 millioner offentligt ansatte og gjorde dem sårbare over for identitetstyveri.
Lagring af biometriske data på en enhed – f.eks. iPhones TouchID eller Face ID – anses for sikrere end at gemme dem hos en serviceudbyder, selv når dataene er krypterede.
Denne risiko er identisk med risikoen ved en adgangskodedatabase, hvor hackere kan bryde ind i systemet og stjæle data, der ikke er effektivt sikret. Konsekvenserne er dog meget forskellige. Hvis en adgangskode bliver kompromitteret, kan den ændres. Biometriske data forbliver – af indlysende årsager – de samme for evigt.
Risikoen er reel, men biometrisk teknologi tilbyder stadig meget overbevisende løsninger til sikkerhed, da systemerne er praktiske og svære at duplikere. De udgør en god erstatning for brugernavne som en del af en totrinsgodkendelsesstrategi, der omfatter noget, som du er (biometri), noget du har (f.eks. en hardwaretoken) eller noget, du kender (f.eks. en adgangskode). Det er en stærk kombination, især da IoT-enheder spredes hastigt.