cs18 Původní práce Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně Anna Schlenker 1,2, Milan Šárek 3 1 EuroMISE centrum, Ústav informatiky, AV ČR, v.v.i., Praha, ČR 2 Ústav hygieny a epidemiologie 1. LF UK a VFN, 1. lékařská fakulta, Univerzita Karlova v Praze, ČR 3 CESNET z.s.p.o., Praha, ČR Abstrakt Cíle: Cílem této práce je navrhnout vylepšenou metodu autentizace pro biomedicínu založenou na analýze behaviorálních biometrických metod používaných v současnosti. Metody: Práce poskytuje stručnou definici identifikace, autentizace a biometrických charakteristik. Hlavní část práce se zabývá dynamikou stisku počítačových kláves, jejími výhodami, nevýhodami a aplikacemi v biomedicíně. Dynamika stisku počítačových kláves je následně navržena jako zajímavá behaviorální charakteristika pro použití v počítačové bezpečnosti, která doposud není široce používaná. Kontakt: Anna Schlenker EuroMISE centrum, Ústav informatiky, AV ČR, v.v.i. Adresa: Pod Vodárenskou věží 2, Praha 8 E mail: schlenker.anna@gmail.com Výsledky: Výsledkem práce bude nový soubor metod, který umožní optimální multifaktorovou autentizaci z hlediska pohodlí, nákladů a spolehlivosti. Závěr: Cílem tohoto příspěvku je soustředit se na dostupné informace o dynamice stisku počítačových kláves. Klíčová slova Biometrie, anatomicko-fyziologické biometrické charakteristiky, behaviorální biometrické charakteristiky, multifaktorová autentizace, dynamika stisku počítačových kláves, dynamika pohybu myší EJBI 2012; 8(5):cs18 cs23 zasláno: 15. srpna 2012 přijato: 20. září 2012 publikováno: 22. listopadu 2012 1 Úvod Už od počátku lidské společnosti nás doprovází široké spektrum autentizačních metod. První skupina metod je přímo spojená s lidskou fyziognomií a zahrnuje rozpoznávání na základě těla, obličeje, očí nebo hlasu. Tyto metody umožňují identifikaci osoby v úzké skupině lidí, kde každý každého zná. Mají však i své nevýhody, mezi které patří hlavně oklamání pomocí dočasné změny vzhledu (například paruky, vousy, střih vlasů, brýle) nebo pomocí podobně vypadajících jedinců (dvojníků). Při porovnávání pouze jednoho fyziologického znaku může snadno dojít k chybě a to hlavně u jednoduchých charakteristik, jako je například tvar obličeje. Proces snímání více znaků nebo snímání složitých charakteristik (např. duhovka nebo sítnice) může být zdlouhavý a uživatelsky nepřívětivý. Na druhou stranu můžeme pro identifikaci osob použít některé vnější atributy, jako například formální oblečení (uniformy), pečetní prsteny nebo hesla. Velkou nevýhodou tohoto procesu je, že vnější atribut může být získán neoprávněnou osobou, a to bez ohledu na to, jestli se jedná o pečetní prsten nebo token 1. Na základě výše uvedených nedostatků jednofaktorové autentizace, se zdá, že jenom multifaktorová autentizace může dostatečně spolehlivě zabezpečit přístup k datům. Může se jednat například o kombinaci anatomických nebo behaviorálních charakteristik s vnějším atributem nebo heslem. 2 Identifikace a autentizace V biomedicíně je potřeba chránit citlivé informace a data. K zajištění, aby k datům mohla přistupovat nebo 1 Token může být fyzické zařízení, které vlastní oprávněný uživatel a ulehčuje mu autentizaci u počítačových služeb [18]. EJBI Ročník 8 (2012), číslo 5 c 2012 EuroMISE s.r.o.
Schlenker, Šárek Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně cs19 je měnit pouze oprávněná osoba, existují dvě nezbytné podmínky [4]: 1. identifikace a 2. ověření osoby, které společně zajišťují kontrolu přístupu k informacím. Proces identifikace stanoví, kdo je daná osoba a probíhá při prvním přihlášení do systému. Proces ověřování (autentizace) následně potvrzuje nebo popírá identitu dané osoby. U autentizace je také vyžadován důkaz identity pro získání jistoty, že osoba je opravdu ta, za kterou se vydává [4]. Existují tři základní způsoby, jak může být osoba ověřena [11, 13]: 1. První metoda ověřování je založena na něčem, co člověk zná (tzv. znalostní faktor), např. heslo nebo osobní identifikační číslo (PIN). 2. Druhá metoda ověřování je založena na něčem, co osoba má (tzv. vlastnický faktor), např. magnetický proužek karty nebo tajný klíč uložený na čipové kartě. 3. Třetí způsob ověřování je založen na faktu, že osoba sama o sobě vlastní unikátní set měřitelných charakteristik. Tyto charakteristiky (tzv. biometrický faktor) mohou být použity k ověření nebo rozpoznání identity dané osoby. Bezpečnostní opatření, která spadají do prvních dvou kategorií, jsou nedostatečná. Znalost nebo vlastnictví mohou být obelhány, aniž by to někdo objevil informace nebo věc může být od jeho právoplatného majitele získána. Stále více pozornosti se tak přesouvá k identifikaci pomocí biometrických technik, jako možné řešení pro spolehlivější způsob identifikace. V dohledné budoucnosti však tyto biometrické řešení neodstraní potřebu ID karet, hesel nebo PINů. Použití biometrických technik ale může poskytnout podstatně vyšší úroveň zabezpečení než samotná hesla a karty (a to zejména v situacích, kdy je bezpečnost prvořadá) [13]. 2.1 Multifaktorová autentizace Multifaktorová autentizace je bezpečnostní systém, v němž je za účelem prokázání totožnosti a umožnění přístupu k systému použita více než jedna forma ověření. Naopak, jednofaktorová autentizace vyžaduje pouze jednu formu ověření, nejčastěji kombinaci uživatelského jména a hesla [17]. Další metody ověřování, které mohou být použity v multifaktorové autentizaci, zahrnují biometrické ověřování jako například otisky prstů, rozpoznávání duhovky, rozpoznávání obličeje a nebo hlasové ověřování. Vedle těchto metod mohou být použity i čipové karty a další elektronická zařízení společně s tradičním uživatelským jménem a heslem [17]. 3 Biometrické charakteristiky V kontextu autentizace má biometrie několik výhod oproti tradičním ověřovacím technikám, které ověřují totožnosti na základě něčeho, co osoba zná (např. heslo), nebo něčeho, co osoba má (např. token). Výhodou je především to, že biometrickou charakteristiku nejde zapomenout, odcizit nebo nesprávně umístit [9]. Většina biometrických systémů je schopna rozpoznat živého člověka (viz [20]) a zahrnuje jak fyziologické tak behaviorální charakteristiky. Anatomicko-fyziologické vlastnosti, jako například otisky prstů, jsou relativně stabilní fyzikální vlastnosti, které se nedají ničím nahradit (když nebudeme uvažovat poškození jednotlivce, viz [20]). Behaviorální charakteristiky mají také určitý fyziologický základ, ale odráží i psychologické rysy člověka. Tyto charakteristiky tvoří základ nestálých biometrických systémů [13] a patří mezi ně například intenzita a amplituda hlasu, způsob jakým se podepisujeme, a dokonce i způsob jakým píšeme na klávesnici. Biometrické technologie jsou definovány jako automatizované metody ověřování nebo rozpoznávání identity osoby založené na fyziologických nebo behaviorálních charakteristikách [12]. Biometrické technologie získávají na popularitě, protože díky použitelnosti ve spojení s tradičními metodami ověřování poskytují vyšší úroveň bezpečnosti. 3.1 Anatomicko-fyziologické biometrické charakteristiky Biometrické charakteristiky používané v systémech pro identifikaci jsou například [20, 5]: otisky prstů vzory na prstu, včetně rozmístění a směru brázd a jejich rozvětvení, otisky dlaní rozsáhlejší verze otisků prstů, geometrie ruky tvar ruky včetně výšky a šířky kostí a kloubů na ruce i prstech, vzory cév na ruce vzory žil a tepen na dlani nebo hřbetu ruky, znaky v obličeji znaky obličeje jako je postavení a tvar nosu, postavení lícních kostí, očních důlků a úst (nehodnotí se vlasová oblast, která je náchylná ke změnám), vzory na sítnici vrstva cév v zadní části oka, vzory v duhovce vlastní radiální vzor a viditelné charakteristiky duhovky (např. skvrny, kruhy a brázdy). Dnes je komerčně dostupných několik zařízení na bázi biometrických technik. Některé z nasazených technik je c 2012 EuroMISE s.r.o. EJBI Ročník 8 (2012), číslo 5
cs20 Schlenker, Šárek Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně však snadné oklamat, zatímco jiné (jako například rozpoznávání duhovky) jsou příliš drahé a pro uživatele nepříjemné [20]. 3.2 Behaviorální biometrické charakteristiky Behaviorální biometrické charakteristiky mají oproti ostatním biometrickým charakteristikám tu výhodu, že jsou méně obtěžující pro uživatele a nepotřebují žádný speciální hardware [9]. Jsou také levnější a jednodušší na použití. Nejznámější příklady behaviorálních biometrických charakteristik jsou [15]: dynamika podpisu měření kombinace vzhledu, tvaru, načasování a tlaku v průběhu psaní podpisu, ověření hlasu tón, intenzita a rytmus hlasu, dynamika pohybu myší měření vzdálenosti, rychlosti a úhlu při práci s myší, dynamika stisku počítačových kláves doba trvání každého stisku klávesy a doba mezi stisky jednotlivých kláves. 4 Dynamika stisku počítačových kláves neposkytují nepřetržitou kontrolu nemohou detekovat změnu uživatele po prvotním přihlášení. Kontinuální ověřování sleduje psaní uživatele v průběhu celé interakce s počítačem. Dynamika stisku počítačových kláves umožňuje tzv. kontinuální (dynamické) ověřování, které je založeno na použití klávesnice jako prostředku průběžné interakce mezi uživatelem a počítačem [3]. To nabízí možnost průběžné kontroly po celou dobu kdy je počítač používán. Tato metoda je užitečná hlavně v situacích, kdy je riskantní ponechání počítače bez kontroly a to i na malou chvíli [6]. Z dynamiky stisku počítačových kláves lze extrahovat různé parametry, jako například [4, 20]: doba trvání stisku klávesy viz obrázek 1, doba mezi stlačeními jednotlivých kláves viz obrázek 1, četnost chyb, styl psaní velkých písmen, rychlost stisku tlačítka, umístění prstů a tlak, který člověk použije při stisku klávesy. Dynamika stisku počítačových kláves je analýza způsobu, jakým uživatel píše na klávesnici. Identifikace uživatele je založena na sledování navyklých vzorů psacího rytmu [13] a realizována monitorováním vstupů na klávesnici. To, že dynamika stisku počítačových kláves je dobrým a dostatečným znakem pro určení identity uživatele, již bylo prokázáno [10]. Navíc jsou na rozdíl od jiných biometrických systémů, jejichž implementace může být nákladná, systémy zaznamenávající stisky počítačových kláves téměř zdarma jediný požadovaný hardware je klávesnice [13, 8]. I když je použití dynamiky stisku počítačových kláves pro zabezpečení přístupu do počítačů relativně nové, existuje již několik prací v této oblasti. Joyce a Gupta [10] předložili komplexní přehled prací souvisejících s touto tematikou do roku 1990. Stručné shrnutí prací a výzkumu v dané oblasti lze nalézt i v [13]. Techniky ověřování podle stisku počítačových kláves mohou být klasifikovány jako statické nebo kontinuální [13]. Statické ověřování hodnotí dynamiku stisku počítačových kláves pouze v určité době, například v průběhu přihlašování. Statické techniky poskytují silnější zabezpečení než například samotné heslo, ale Obrázek 1: Doba trvání stisku a doba mezi jednotlivými stisky počítačových kláves. Poslední tři zmíněné typy vyžadují speciální klávesnici, která umožňuje měřit sílu, která byla na stisk použita. Všechny ostatní metody mohou být vyhodnoceny pouze pomocí speciálního programu bez jakýchkoliv modifikací hardware [13, 8]. Historii dynamiky stisku počítačových kláves lze nalézt v [13, 10] nebo v [4]. Nesmíme ale opomenout možnou existenci rozdílů v charakteristikách psaní v závislosti na typu právě prováděné aktivity, například chatování s přáteli v porovnání s psaním programu v jazyce Java [2]. Při programování musíte víc myslet, analyzovat a teprve poté zadávat text. Skupina nejčastěji používaných znaků se může taky výrazně lišit (například při programování budete používat určité speciální znaky, které se v běžném textu nevyskytují). Více informací o tomto problému naleznete v [2]. EJBI Ročník 8 (2012), číslo 5 c 2012 EuroMISE s.r.o.
Schlenker, Šárek Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně cs21 4.1 Výhody dynamiky stisku počítačových kláves 1. Schopnost neustálé kontroly totožnosti osoby v průběhu psaní na klávesnici [13, 3]. 2. Pravidelný pracovní tok není ovlivněn, protože uživatel bude stejně psát potřebný text. Snadné je také použití např. s přihlašovacím jménem a heslem během procesu přihlášení [21]. 3. Na rozdíl od jiných biometrických systémů, programy zaznamenávající dynamiku stisku počítačových kláves jsou téměř zdarma. Jediný požadovaný hardware je klávesnice [13, 8]. 4. Čas na školení uživatelů je minimální a snadnost použití je velmi vysoká [21]. 5. Veřejná přijatelnost je velmi vysoká. Neexistují zde žádné předsudky, jako například při skenování sítnice [20]. 6. Dynamika stisku počítačových kláves je ideální také pro uživatele se vzdáleným přístupem. 4.2 Nevýhody dynamiky stisku počítačových kláves 1. Dynamika stisku počítačových kláves je nestatická biometrie, stejně jako například hlas. Může se měnit poměrně rychle v průběhu času a ovlivnit ji může například i psaní jednou rukou (v důsledku zranění) [13]. 2. Nízká přesnost dynamika stisku počítačových kláves je jedna z méně unikátních biometrik [21]. 3. Malá komerční rozšířenost technologie [21]. 4. Závislost na vlastnostech klávesnice, například na rozložení kláves. Někteří uživatelé mohou být zvyklí na běžnou klávesnici, zatímco jiní upřednostňují notebook, kde bude psaní pravděpodobně velmi odlišné [19]. 5. Styl psaní závisí také na použitém jazyce (rodný vs. cizí jazyk) [2]. 5 Dynamika pohybu myší Zatímco autentizace pomocí dynamiky stisku počítačových kláves byla intenzivně studována v průběhu posledních třiceti let, dynamika pohybu myší začala získávat pozornost teprve v posledním desetiletí [9]. Myšlenkou této biometrické charakteristiky je monitorovat všechny pohyby myší generované jako výsledek interakce uživatele s počítačem. Data získána z těchto pohybů pak zpracovat a získat unikátní charakteristiku uživatele [1]. Dynamika pohybu myší popisuje chování osoby pouze pomocí polohovacího zařízení jako je myš nebo touch-pad [9]. Podobně jako dynamika stisku počítačových kláves, ani dynamika pohybu myší nevyžaduje žádný speciální hardware pro sběr dat [16]. Akce myší lze zařadit do následujících čtyř kategoriích [14]: pohyb myší odpovídá pohybu myši po podložce, drag and drop tato akce začíná stiskem tlačítkem myši, pak následuje pohyb, a končí uvolněním tlačítka myši, point and click pohyb myší, který je ukončen kliknutím nebo dvojklikem, a ticho žádný pohyb myší. Stejně jako v jiných oblastech behaviorální analýzy, i dynamika pohybu myší využívá neuronové sítě a statistické přístupy ke zpracování řady faktorů ze získaných dat. Tyto faktory jsou pak použity k vytvoření tzv. podpisu pohybu myší (MDS, Mouse Dynamics Signature). Jedná se o jedinečný soubor hodnot charakterizujících chování uživatele v průběhu monitorování. Některé faktory představují vypočtenou přůměrnou rychlost na určité vzdálenosti (o kterou se myš na podložce posune), nebo průměrnou rychlost v určitém směru pohybu. V práci [1] lze nalézt až sedm faktorů, které dokazují velkou stabilitu a jedninečnost této medoty. Při sběru dat (z akcí/pohybů myší) je potřebné uvažovat i o faktorech, které mohou ovlivnit přesnost analýzy biometrických vzorků (získaných z dynamiky pohybu myší). Některé z těchto faktorů jsou uvedeny níže [14]: 1. Rozlišení obrazovky: Pokud byly vzorky získány při jiném rozlišení, než se předpokládalo, ovlivní to výsledky změnou rozsahu získaných dat. 2. Rychlost kurzoru myši: Jedná se o nastavení rychlosti a zrychlení kurzoru v operačním systému. Jakékoli změny provedené v těchto nastaveních mohou mít vliv na získané hodnoty, a také na chování samotného uživatele, který se musí vypořádat s jiným nastavením vstupního zařízení. 3. Nastavení tlačítek myši: Za účelem dosažení reprodukovatelných výsledků, by měla být konfigurace tlačítek myši stejná pro každého uživatele. 4. Charakteristika hardware: Rychlost počítače nebo typ a rychlost vstupního zařízení jsou faktory, které mohou mít vliv na proces sběru dat. c 2012 EuroMISE s.r.o. EJBI Ročník 8 (2012), číslo 5
cs22 Schlenker, Šárek Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně 6 Aplikace v biomedicíně Dynamika stisku počítačových kláves může být velmi jednoduše použita ve spojení s dalšími autentizačními metodami, zejména s přihlašovacím jménem a heslem (strukturovaný text). Tato kombinace vykazuje velmi dobré bezpečnostní výsledky [21]. V současnosti existuje pouze jedna komerčně dostupná aplikace používajíci dynamiku stisku počítačových kláves. Jedná se o produkt Bio- Password od společnosti Net Nanny [7]. Existuje mnoho oblastí, kde je možné tuto technologii aplikovat a to hlavně díky její nízké cenové náročnosti a možnosti nepřetržité kontroly [21]. Monrose [13] také uvádí, že dynamika stisku počítačových kláves by mohla být teoreticky použita jako útok na PGP 2. Znalost charakteristik psaní uživatele může být v tomto případě také nevýhodou [21]. Monrose [13] také uvádí, že mohou existovat určité rozdíly mezi leváky a praváky. Neexistuje však studie, která by obsahovala dostatečně velký vzorek leváků pro potvrzení tohto tvrzení [21]. Dynamické neboli průběžné sledování interakce uživatele se systémem se ukazuje jako ideální při přístupu k vysoce důvěrným dokumentům nebo plnění úkolů v prostředí, kde musí být uživatel bdělý za všech okolností (např. řízení letového provozu). Dynamika stisku počítačových kláves může být použita také k detekci netypického rytmu psaní u uživatele (způsobeného ospalostí, únavou apod.) a informování třetí osoby [13]. 7 Závěr Po staletí je vlastnoruční podpis považován za jeden z důležitých identifikačních údajů. Je to unikátní výraz lidské mysli. Podpis sa začíná utvářet již ve škole a je dále ovlivňován osobností a zdravím jedince. Nelze přehlížet, že nová generace studentů postupně nahrazuje rukopis psaním na klávesnici. Z toho plyne potřeba vypořádat se i s tímto novým způsobem lidského podepisování se. Cílem této práce je soustředit dostupné informace o tomto novém fenoménu. Lze totiž předpokládat, že psaní na klávesnici má svá specifika, stejně jako psaný text. Poděkování Tato práce byla podpořena projektem LM2010005 (Velká infrastruktura CESNET) a projektem SVV-2012-264 513 (Sémantická interoperabilita v biomedicíně a zdravotnictví) Univerzity Karlovy v Praze. 2 Pretty Good Privacy (PGP) je počítačový program, který umožňuje šifrování a ověřování. PGP je často používán pro podepisování, Literatura [1] Ahmed AAE, Traore I. A New Biometrics Technology based on Mouse Dynamics. IEEE Transactions on Dependable and Secure Computing. 2007;4(3):165-179. [2] Barghouthi H. Keystroke Dynamics. How typing characteristics differ from one application to another. [Master s thesis]. Gjovik, Norway: Gjovik University College; 2009. [3] Bergadano F, Gunetti D, Picardi C. User authentication through Keystroke Dynamics. ACM Transactions on Information and System Security. 2002;5(4):367-397. [4] Boechat GC, Ferreira JC, Carvalho ECB. Using the Keystrokes Dynamic for Systems of Personal Security. Proceedings Of World Academy Of Science, Engineering And Technology. 2006;24(18):61-66. [5] Coventry L. Usable Biometrics. In: Cranor LF, Garfinkel S, editors. Security and Usability. Sebastopol, CA. O Reilly Media, Inc.; 2005. [6] Gunetti D, Pikardi C. Keystroke analysis of free text. ACM Transactions on Information and System Security. 2005;8(3):312-347. [7] Identity Assurance as a Service: AdmitOne Security [Internet] 2010 [cited 2012 Aug 4] Available from: http://www.biopassword.com/ [8] Ilonen J. Keystroke Dynamics. Advanced Topics in Information Processing. Lappeenranta University of Technology. [Internet] 2003 [cited 2011 Aug 22]. Available from: http://www2. it.lut.fi/kurssit/03-04/010970000/seminars/ilonen.pdf [9] Jorgensen Z, Yu T. On Mouse Dynamics as a Behavioral Biometric for Authentication. Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. 2011;476-482. [10] Joyce R, Gupta G. Identity authorization based on keystroke latencies. Communications of the ACM. 1990 Feb;33(2):168-176. [11] Matyas SM, Stapleton J. A Biometric Standard for Information Management and Security. Computers & Security. 2000;19(2):428-441. [12] Miller B. Vital sings of identity. IEEE Spectrum. 1994;31(2):20-30. [13] Monrose F, Rubin D. Keystroke dynamics as a biometric for authentication. Future Generation Computer Systems. 2002:16(4):351-359. [14] Nazar A, Traore I, Ahmed AAE. Inverse Biometrics for Mouse Dynamics. International Journal of Pattern Recognition and Artificial Intelligence. 2008;22(3):461-495. [15] Olzak T. Reduce multi-factor authentication costs with behavioral biometrics. TechRepublic. [Internet]. 2007 [cited 2012 Aug 5] Available from: http://www.techrepublic.com /article/reduce-multi-factor-authentication-costs-withbehavioral-biometrics/6150761 [16] Raj SBE, Santhosh AT. A Behavioral Biometric Approach Based on Standardized Resolution in Mouse Dynamics. International Journal of Computer Science and Network Security. 2009;9(4):370-377. [17] Rouse M. Multifactor authentication (MFA) [Internet] 2007 [cited 2012 Aug 10] Available from: http://searchsecurity. techtarget.com/definition/multifactor-authentication-mfa šifrování a dešifrování elektronické pošty (e-mailů) z důvodu zvýšení bezpečnosti e-mailových sdělení (viz [22]). EJBI Ročník 8 (2012), číslo 5 c 2012 EuroMISE s.r.o.
Schlenker, Šárek Behaviorální biometrie pro multifaktorovou autentizaci v biomedicíně cs23 [18] RSA SecurID [Internet] 2012 [cited 2012 Sep 15]. Available from: http://www.rsa.com/node.aspx?id=1159 [19] Senathipathi K, Batri K. Keystroke Dynamics Based Human Authentication System using Genetic Algorithm. European Journal of Scientific Research. 2012;28(3):446-459. [20] Schlenker A, Sarek M. Biometric Methods for Applications in Biomedicine. EJBI. 2011;7(1):37 43. [21] Svenda P. Keystroke Dynamics. [Internet] 2001. [cited 2012 Jul 28] Available from: http://www.svenda.com/petr/docs /KeystrokeDynamics2001.pdf [22] Zimmermann P. PGP Source Code and Internals. MIT Press; 1995. c 2012 EuroMISE s.r.o. EJBI Ročník 8 (2012), číslo 5