De flesta av oss säkrar våra digitala liv med lösenord – förhoppningsvis olika, starka lösenord för varje tjänst vi använder. Men inneboende svagheter hos lösenord blir mer uppenbara: denna vecka, Evernote återställde 50 miljoner lösenord efter ett intrång, och det är bara det senaste i en serie av högprofilerade lösenordsrelaterade misstag från Twitter, Sony, Dropbox, Facebook och andra.
Är inte säkerhet ett problem som biometri kan lösa? Biometriska teknologier tillåter åtkomst baserat på unika och oföränderliga egenskaper hos oss själva - helst något som inte kan stjälas eller förfalskas. Även om det ofta handlar om spionfilmer, har stora företag, regeringar och till och med delar av den akademiska världen använt biometrisk autentisering som fingeravtryck, röstigenkänning och till och med ansiktsskanningar för att autentisera användare i flera år.
Rekommenderade videor
Så varför använder inte vi andra dessa verktyg för att skydda våra enheter, appar och data? Det kan inte vara så svårt... eller hur?
Relaterad
- Huawei säger att löften om att lätta på restriktionerna inte har förändrat situationen ännu
Myten om fingeravtrycken
I århundraden (kanske till och med årtusenden), fingeravtryck har använts för att verifiera identitet, och fingeravtrycksläsare har varit alternativ i vanliga affärsdatorer i ungefär ett decennium. Vanligtvis sveper användare med ett finger över en smal endimensionell skanner, och systemet jämför data med en auktoriserad användare. Processen att skanna och matcha är komplex, men i takt med att tekniken har utvecklats har noggrannheten förbättrats och kostnaderna har sjunkit.
Men fingeravtrycksläsare har nackdelar. De mest uppenbara är skador som brännskador och skärsår - tänk dig att bli utelåst från din telefon eller dator i en vecka eftersom en grytlapp halkade. Fläckar, bläck, solskyddsmedel, fukt, smuts, oljor och till och med lotion kan störa fingeravtrycksläsare, och vissa fingeravtryck kan helt enkelt inte skannas enkelt. Jag är personligen ett bra exempel - delar av mina fingertoppar är slitna släta (eller blåsor) av att spela instrument, men många människor som arbetar med händerna har ofta tunna åsar (eller inga alls) på sina fingrar. Utbildad brottsbekämpande personal kan reta avtryck av mig om jag blir släpad till länet, men min tur med fingeravtryck läsare i anteckningsböcker är urusla, och jag kan inte föreställa mig att använda en på en telefon - ute i regnet, eftersom jag bor i Seattle.
Hittills har det bara funnits en vanlig smartphone med fingeravtrycksläsare - den Motorola Atrix, som för det mesta gick ingenstans tillsammans med Motorolas Webbtop teknologi. Men saker och ting kan förändras: till exempel Apples senaste förvärv av Authentec förra året har underblåst spekulationer att framtida iPhones och iOS-enheter kommer att erbjuda fingeravtrycksigenkänning och ett långvarigt fingeravtrycksteknikföretag Ultra-Scan säger att de har en ultraljudsläsare som är 100 gånger mer exakt än något annat på marknaden.
"Jag tror att övergången till att använda fingeravtryck i konsumentelektronik kommer att ske mycket snabbt", skrev Vance Björn, CTO för åtkomsthanteringsföretaget Digital Persona. "Lösenord anses allmänt vara den svagaste länken i säkerhet, och de blir ännu mindre bekväma eftersom konsumenterna behöver skriva in dem på smartphones och via pekskärmar. Användningen av ett fingeravtryck för autentisering löser båda problemen – säkerhet och bekvämlighet.”
Din röst är ditt lösenord
Röstautentisering verkar väl lämpad för smartphones: De är redan designade för att hantera den mänskliga rösten och inkluderar teknologier som brusfiltrering och signalbehandling. Precis som med fingeravtrycksläsare har röstautentiseringsteknik funnits i åratal i högsäkerhetsanläggningar, men har inte brutit sig in i vanliga konsumentelektronik.
Tillvägagångssätt för att identifiera talare varierar, men de måste alla hantera variationer i tal, bakgrundsljud och skillnader i temperatur och lufttryck. Vissa system jämför högtalare med förinspelade fraser från en auktoriserad användare, som en PIN-kod. Mer sofistikerade system utför komplexa beräkningar för att räkna ut de akustiska egenskaperna hos en högtalare vokalkanalen, och till och med jämföra talmönster och stil för att avgöra om någon är (bokstavligen) den de säger att de är.
Det första tillvägagångssättet är skört och kan låsa ut användare som är förkylda eller hostar. De är också sårbara för inspelningar. Reformerad hackare Kevin Mitnick har talad att lura ett finansföretags vd att säga siffrorna noll till nio, spela in siffrorna och använda dem för att kringgå bankens telefonbaserade röstautentisering.
Mer sofistikerade tillvägagångssätt kan vara beräkningsintensiva. Dessa dagar görs de tunga lyften ofta på tar emot slut — vilket innebär att dina biometriska data överförs, ofta utan något skydd alls.
"Befintlig röstteknik använder motsvarande lösenord i klartext", sa Manas Pathak, en forskare inom integritetsbevarande röstautentisering som nyligen avslutade sin doktorsexamen. vid Carnegie Mellon University. "Du ger en del av din identitet till systemet."
Ett röstavtryck som lagras på ett fjärrsystem kan stjälas precis som en lösenordsfil. Dessutom kan enbart röstdata avslöja vårt kön och nationalitet - även vår ålder och känslomässiga tillstånd.
Den senaste utvecklingen syftar till att kringgå dessa problem. En ny öppen standard utvecklas av FIDO Alliance skulle stödja flera autentiseringsmetoder, men biometrisk data skulle aldrig lämna användarnas enheter. Pathak och andra forskare har utvecklat ett sofistikerat system som skapar en stabil representation av en användares röst (pratar om vad som helst), delar upp det i liknande prover och skyddar dem sedan kryptografiskt innan du utför någon jämförelse. Fjärrsystemen ser aldrig användarnas biometriska data och kan inte återskapas.
"Vi har ungefär 95 procents noggrannhet," sa Pathak. "Vi skulle behöva installera det på fler telefoner med bredare distribution och testning. Det ligger utanför den akademiska forskningens område, men det är redo för kommersialisering."
Ändå är det svårt att räkna bort buller och miljöfaktorer. Trafikbuller, konversationer, tv-apparater, musik och andra ljud kan alla minska noggrannheten. Det finns tillfällen att röstigenkänning helt enkelt inte är praktiskt: Föreställ dig någon på en buss eller tunnelbana som ropar på sin telefon för att låsa upp den.
Möta ansiktet
Ansiktsigenkänning och irisskanning är andra vanliga former av biometrisk autentisering – och kan göra känsla för hemelektronik, eftersom nästan alla våra telefoner och surfplattor har hög upplösning kameror.
Ansiktsigenkänningssystem fungerar genom att notera storleken, formen och avstånden mellan landmärken i ett ansikte, som ögon, käke, näsa och kindben. Vissa system tar också hänsyn till element som rynkor och mullvadar, medan vissa avancerade redskap konstruerar 3D-modeller - de fungerar även med profilvyer.
De flesta av oss har sett teknik för ansiktsigenkänning på Facebook och i applikationer som Apples iPhoto - och resultaten är ganska ojämna. Kommersiella system för ansiktsigenkänning är mer robusta, men de kämpar med samma saker som kan göra Facebooks ansträngningar skrattretande: fula bilder. Dålig belysning, glasögon, leenden, fåniga miner, hattar och till och med hårklippningar kan orsaka problem. Även de bästa ansiktsigenkänningssystemen kämpar med vinklade bilder, och människors ansikten kan förändras radikalt med ålder, vikt, medicinska tillstånd och skador.
"För några år sedan hade vi ett avancerat ansiktsigenkänningssystem som misslyckades med en senior ingenjör nästan varje gång", sa en säkerhetskoordinator för ett företag i Boston-området som inte ville bli identifierad. "Varför? Han ser ut som en galen vetenskapsman, komplett med tjocka glasögon, galet hår och helskägg. Men jag misslyckades med samma system själv efter ögonoperation när jag bar ett plåster i ett par veckor.”
Irisigenkänning tillämpar mönstermatchningsteknik på texturen (inte färgen) på en användares iris, vanligtvis med lite hjälp från infrarött ljus. Irismönster är förmodligen lika unika som fingeravtryck - och de är i allmänhet mycket mer stabila. Dessutom kräver matchande irismönster inte massor av processorkraft och har (under bra förhållanden) mycket låga falskmatchningsfrekvenser.
I åratal var irisigenkänningstekniken till stor del låst av nyckelpatent som innehas av Iridian, men dessa patent gick ut för några år sedan och området har sett en betydande ny utveckling. Mycket av det har dock varit inriktat på statligt finansierade identifieringsprogram, snarare än konsumenttillämpningar.
Irisigenkänning har också fallgropar. Användare skulle sannolikt behöva hålla en enhet stängd för ansiktet, med anständig belysning och liten eller ingen rörelse. De flesta glasögon måste tas bort, och vissa droger och mediciner kan deformera ett regnbågsmönster genom att vidga eller dra ihop pupillerna - prova att klara en irisskanning efter en synundersökning.
Precis som röstautentisering kan vara sårbart för inspelningar, kan irisskannrar luras av kvalitetsfotografier, eller till och med kontaktlinser tryckta med falska iris. Som ett resultat används tekniken just nu mest i situationer som övervakas av människor - som immigration och passkontroll - snarare än i automatiserade system.
Säkra oss själva
Det råder ingen tvekan om att lösenord är ett allt svagare sätt att säkra våra digitala liv, och biometrisk autentiseringsteknik kan låsa saker med något vi är snarare än bara något vi vet. Ingen av dessa tekniker är dock en magisk kula för digital säkerhet: De misslyckas alla för vissa människor ibland, och de har alla risker och sårbarheter. Dessutom, om biometrisk information någonsin äventyras, kanske det inte finns någon återvändo. När allt kommer omkring kan du ändra ditt lösenord, men lycka till med att ändra dina tummar.
Icke desto mindre verkar biometrisk teknik vara redo att flytta in i konsumentelektronik snart, troligen i multifaktorsystem som erbjuder ett lager av säkerhet utöver lösenord.
"Lösenord kommer aldrig att försvinna - "vad du vet" kommer att förbli ett viktigt verktyg för säkerhet", konstaterade Digital Personas Vance Bjorn. "Men jag ser en dag snart då det verktyget inte längre ses som tillräckligt för de flesta tjänster som konsumenter eller anställda har tillgång till."
Bilder via Shutterstock/Sergey Nivens, Shutterstock / NREY & Shutterstock/Mike Taylor
Redaktörens rekommendationer
- Varför jag slutade bära min smartwatch - och varför jag inte har tittat tillbaka
