Biometri i mobilen

Reportage: Fingeravtryck i mobilen

Vi tittar närmare på inloggningstekniken som är snabbare, säkrare och svårare att glömma bort än PIN-koden.

Publicerad:

30 okt 2015 - 11:44

Uppdaterad:

30 okt 2015 - 11:44

Katerina Mitrokotsa, forskare inom datasäkerhet och biometri på Chalmers tekniska högskola, menar att det är avgörande för säkerhet och integritet att man använder biometriska data på rätt sätt.

Idag lagras fingeravtrycket bara i mobilen, men det finns ett driv mot att allt ska lagras i molnet. Biometriska data går inte att återkalla – du kan välja ett nytt lösenord, men inte byta ut fingrarna. Så om tjänster skulle börja verifiera biometriska uppgifter i molnet så hamnar alla data i farozonen när någon kommer över fingeravtrycket.

En biometrisk avbildning kan också på egen hand innehålla känslig information. Det finns forskning som visar samband mellan olika mönster i ett fingeravtryck och såväl genetiskt ursprung som en rad sjukdomar. Så hur lagrar man fingeravtrycket på ett säkert sätt?

– Det enklaste hade varit om det var möjligt att kryptera det biometriska avtrycket på samma sätt som ett lösenord, säger Katerina Mitrokotsa.

testenhet_IMG_7232.jpg

Testenhet för fingeravtrycksläsare

Tjänster och system som tar säkerheten på allvar lagrar aldrig användarens lösenord i klartext, utan omvandlar det till ett krypterat så kallat hashvärde. Hashvärdets funktion påminner lite om sista siffran i ett personnummer. Varje siffra i personnumret påverkar slutsiffrans värde, men det går inte att vända på processen och återskapa ett helt personnummer från slutsiffran. En viktig skillnad är att ett personnummer bara har 10 möjliga slutsiffror medan ett hashvärde ofta är 128 eller 160 bitar långt, vilket ger ungefär 1,5x10^48 olika kombinationer. Annorlunda uttryckt är det en och en halv miljard miljard miljard miljard miljarder. Gånger tusen. Krypteringen är utformad så att man enkelt kan omvandla ett lösenord till hashvärde, samtidigt som det ska vara omöjligt att räkna baklänges och få ut lösenordet från hashvärdet. När användaren matar in lösenordet körs det genom hashfunktionen och systemet kan kontrollera om det matchar det lagrade värdet samtidigt som lösenordsdatabasen – om den skulle komma på avvägar – inte går att använda för att till exempel logga in på andra sajter där användaren valt samma lösenord. Tekniken har sårbarheter – till exempel har vissa äldre hashfunktioner visat sig ha matematiska brister och hashvärden ger ett dåligt skydd för lösenord som går att hitta i en vanlig ordlista, men för starka lösenord är det en bra metod. Så varför inte för fingeravtryck?

Problemet är att det alltid uppstår små skillnader mellan varje inläsning, berättar Katerina Mitrokotsa.

Trycket, fingrets vinkel i förhållande till läsaren, svett och smuts är alla faktorer som påverkar. Resultatet blir aldrig helt identiskt. Varje liten avvikelse ger ett helt annat hashvärde, så det går inte att använda de traditionella metoderna.

.

.

 

.