Akıllı telefonlar genellikle küçük sensörleri kullanarak tam parmak izinin sınırlı bir bölümünü tararlar. Kayıt sırasında aynı parmak için çoklu parmak izleri taranır.
İki insanın birebir aynı parmak izlerine sahip olmadığına inanılıyor ama New York Tandon Üniversitesi Mühendislik Okulu ve Michigan Devlet Üniversitesi Mühendislik Koleji araştırmacıları iki parmak izi arasındaki kısmı benzerliklerin yeterince yaygın olduğunu buldular. Elektronik cihazlarda kullanılan parmak izi tabanlı güvenlik sistemleri düşünüldüğünden daha savunmasız olabilir.
(a) Tam parmak izinden çıkarılan kısımlar,
(b) Kısmi parmak izi seti. (NYU Tandon Mühendislik Okulu katkılarıyla.)
Güvenlik açığı parmak izi tabanlı kimlik doğrulama sistemleri küçük algılayıcıları kullanıcının tam parmak izi taraması yapmasına izin vermemesi gerçeğine dayanıyor. Onun yerine, sensörler kısmi parmak izini tarayıp depoluyor ve çoğu telefonlar birçok farklı parmak izinin kimlik doğrulama sistemine kayıt edilmesine izin veriyor.
Araştırmacıların hipotezine göre; iki farklı insan parmak izleri arasında yeterince “MasterPrint” oluşturacak kadar benzerlik olabileceği öne sürüldü.
NYU Tandon’da mühendislik ve bilgisayar bilimlerinde öğretmen ve araştırma takım lideri Nasir Memon, MasterPrint konseptinin 1234 gibi yaygın olarak kullanılan bir şifreyi kullanarak PIN tabanlı bir sistemi çatlatmaya çalışan bir bilgisayar korsanına benzer olduğunu açıkladı. Memon ”Yaklaşık zamanın yüzde 4’ü, sadece tahmin ettiğinde 1234 şifresinin doğru olma olasılığı bir hayli yüksek olacaktır.” dedi.
Araştırma takımı MasterPrint gibi benzer bir güvenlik açığını ortaya çıkartabilecek şeyler bulup bulamayacaklarını görmek için işe koyuldular. Aslında, insan parmak izi kalıplarındaki belirli özelliklerin güvenlik kaygılarını arttıracak kadar yaygın olduğunu buldular.
Memon ve iş arkadaşları, NYU Tandon Doktora Sonrası Görevlisi Aditi Roy ve Michigan Devlet Üniversitesi Bilgisayar Bilimleri ve Mühendisliği Profesörü Arun Ross, 8,200 kısmi parmak izini kullanarak analizlerini üstlendiler. Resmi parmak izi doğrulama yazılımını kullanarak, her rastgele seçilen 800 kısmi parmak izi grubundan ortalama 92 adet MasterPrint buldular. (MasterPrint’i şöyle tanımlıyorlar: Gruptan rastgele alınan bir örnek diğer parmak izleriyle en az yüzde 4 eşleşme gösterir.)
Araştırmacılar, ancak, 800 tam parmak izi örneğinden sadece 1 tanesi tamamen MasterPrint parmak izi olduğunu buldular. Memon “Şaşırtıcı olmayan bir şekilde, kısmi bir parmak izini tam olanla eşleştirme şansı daha büyük ve çoğu cihaz yalnızca kimlik saptama için kısmi parmak izine güveniyor.” diye açıklamada bulundu.
Takım, gerçek parmak izi görüntülerinden çıkarılan MasterPrints niteliklerini analiz etti ve ondan sonra yapay kısmi MasterPrint yaratmak için algoritma oluşturdu. Deneyler; yapay kısmi parmak izinin, daha geniş eşleşme potansiyeline sahip olmasına karşın biyometrik güvenlik sistemlerini kandırmak gerçek kısmi parmak izlerini kandırma olasılığından yüksek olduğunu gösteriyor. Her bir kullanıcı için kaç kısmi parmak izi taklidi depolandığına ve kimlik doğrulama başına maksimum beş deneme olduğunu varsayımına rağmen, takım kendi yapay dijital MasterPrintleriyle mükemmel uyumu olan yüzde 26 ile 65 arası kullanıcı olduğunu rapor etti. Akıllı telefonda her bir kullanıcı için ne kadar kısmi parmak izi depolanırsa o kadar savunmasız olur.
Roy, çalışmalarının yapay bir ortamda tamamlandığını vurguladı. Ancak yapay parmak izi oluşturmadaki ve dijital MasterPrintlerin fiziksel eserlere aktarılması için geliştirilen tekniklerdeki gelişmeler bir cihazı kandırmak için önemli güvenlik endişeleri yarattığını belirtti. MasterPrint’in yüksek eşleşme kapasitesi, güvenilir parmak izi tabanlı kimlik doğrulama sistemleri tasarlama zorluklarını işaret ediyor ve çok faktörlü kimlik doğrulama şemalarının ihtiyacını güçlendiriyor. Roy bu çalışmanın gelecek tasarımları hakkında bilgi verebileceğini söyledi.
“Parmak izi sensörleri küçüldükçe, ek parmak izi özelliklerini yakalamak için sensörlerin çözünürlüğünün önemli ölçüde geliştirilmesi zorunludur.” dedi Roy. “Eğer çözünürlük geliştirilmezse, kullanıcının parmak izinin ayırt edilmesi kaçınılmaz olarak tehlikeye atılacaktır. Bu araştırmada yürütülen deneysel analizler bunu açıkça ortaya koyuyor.”
Memon takımın araştırmasının sonuçları, herhangi bir satıcının kullanabileceği ya da kullanamayacağı önemsiz ayrıntılara dayandığını belirtti. Yine de cihazları açmak için kısmi parmak izlerinin kullanımı sürdükçe ve her parmak için çoklu kısmi parmak izi depolandıkça, MasterPrint bulma olasılığı önemli ölçüde artmış olacağını söyledi.
“NSF’nin siber güvenlik araştırmaları için yaptığı yatırımlar bizi siber ortamda korumak için gerekli olan temel bilgi tabanını oluşturuyor.” dedi Ulusal Bilim Vakfı Bilgi İşlem ve İletişim Vakfı Bölümünde Program Direktörü olan Nina Amla. “Diğer NSF gibi – arabalar ya da tıbbi cihazlar gibi yatırım yapılan araştırmalar gündelik teknolojinin zayıflıklarını belirlemekte yardımcı oldu, parmak izi tabanlı kimlik doğrulama sistemlerinin güvenlik açıklarını araştırmak güvenlikteki sürekli ilerlemeleri bildiriyor, kullanıcılar için daha güvenilir koruma sağlıyor.”
Makale Kaynağı:
Materyaller NYU Tandon Mühendislik Okulu tarafından sağlandı.
Referanslar:
Aditi Roy, Nasir Memon, Arun Ross. MasterPrint: Kısmi Parmak İzi Tabanlı Kimlik Doğrulama Sistemlerinin Güvenlik Açığının Keşfedilmesi.
Bilişim Bilimi ve Güvenliği Üzerine IEEE İşlemleri, 2017; 1 DOI: 10.1109/TIFS.2017.2691658
Çeviri Kaynağı
https://www.sciencedaily.com/releases/2017/04/170411104603.htm
0 yorum