Fingeraftrykslæsere generelt

Fingeraftrykslæsere har over de sidste år fået en kraftig renæssance efter fremkomsten af relativt billige chips, som direkte er i stand til at aflæse fingeraftryk.

UniLock og fingeraftrykslæser
Fingeraftryk Fingeraftrykslæsere fra mange forskellige leverandører kan anvendes sammen med UniLock adgangskontrolsystemet.

I et UniLock adgangskontrolsystem kan der udmærket anvendes en blanding af almindelige magnetkortlæsere, berøringsfri læsere og fingeraftrykslæsere (og mange andre former for identifikation og verifikation).

Fingeraftryk bør kun gemmes på ID-kort
Af hensyn til datatilsynets regler og for at opnå maksimal sikkerhed, bør der kun anvendes fingeraftrykslæsere, hvor personens fingeraftryk gemmes som en krypteret talkode på et smartcard og ingen andre steder. Herved er det kun personen selv, der bærer rundt på sit fingeraftryk i kodet form på sit adgangskort. Ved passage aflæses fingeraftrykket og verificeres med kortes talkode. Er verifikationen ok, sendes kortets ID-nummer til adgangskontrolsystemet, som så afgør om personen har adgang.



Hvor sikre er fingeraftrykslæsere?

Fingeraftrykslæsere er i stand til at fascinere og imponere de fleste mennesker – ja selv James Bond har anvendt dem, men det bliver de jo ikke mere sikre af. Lad os slå fast med det samme, at vi absolut ikke kan anbefale at bruge fingeraftrykslæsere til områder, hvor der stilles store krav til sikkerheden.

Falsk afvisning vs. falsk accept
Følsomheden i fingeraftrykslæseren kan justeres, så sandsynligheden for afvisning af en registreret bruger er lav (False Rejection Rate (FRR)), men det er på bekostning af en større sandsynlighed for accept af uregistrerede brugere (False Acceptance Rate (FAR)). Disse to modsat rettede parametre og ønsker glemmer mange at tage med i deres sikkerhedsbetragtninger.

Der skal regnes med, at mellem 3 og 10 procent af de ansatte har så ”dårlige” fingeraftryk, at læseren ikke er i stand til at aflæse dem korrekt. Derfor bør det tages med i overvejelserne, hvad der skal gøres ved disse personer. Læserens følsomhed kan sagtens justeres så disse ”dårlige” fingeraftryk accepteres, men det er på den lidt skjulte bekostning, at antallet af uregistrerede brugere, der bevilges adgang, mangedobles.

Ligeledes bør man være opmærksom på, at jo flere fingeraftryk der er i læserens database, jo større er risikoen for, at uregistrerede brugere fejlagtigt genkendes som en registreret bruger.

Levende finger
De fleste fingeraftrykslæsere kræver, at der anvendes en ”levende” finger, men ved en eventuel indtrænger det, før han har prøvet? Der er rapporteret om flere tilfælde, hvor personer har mistet en finger på grund af indtrængerens uvidenhed. Kontroller derfor eventuelt firmaets personaleforsikring...

Kopiering af fingeraftryk
Kopiere fingeraftryk på geletine skive Politiet har i mange år vidst, at hver gang vi rører ved noget, afsætter vi vores fingeraftryk. Det samme ved en eventuel indtrænger. Ved hjælp af lidt teknik er det relativt let at kopiere et fingeraftryk fra fx et efterladt ølglas over på en tynd gelatineskive. Herefter placerer indtrængeren blot gelatineskiven på sin egen finger. Fingeraftrykslæseren vil nu registrere en ”levende” finger med korrekt temperatur og puls sammen med gelatineskivens kopierede fingeraftryk.



Anvendelsesområder

Fingeraftrykslæsere bør kun anvendes, hvor der ikke stilles store krav til sikkerheden, eller hvor der er involveret andre kontrolforanstaltninger. I fx lufthavne og immigrationskontrol anvendes fingeraftrykslæsere altid i forbindelse med, at der er sikkerhedspersonale tilstede. Fingeraftrykslæsere kan også anvendes, hvor der altid er kollegaer tilstede, som kan gøre anskrig, hvis en fremmed gør sin entre i det sikrede område.



Opskriften på snyd

Den bedste måde at forebygge snyd på er at vide, hvordan teknologien virker, hvilke begrænsninger den har, og hvordan den kan omgås. Derfor skal her refereres til steder på internettet, hvor andre har dokumenteret hvordan de, med simple midler, har snydt alle typer af fingeraftrykslæsere.

Marie Sandstrom En kvindelig svensk ingeniørstuderende tog til CeBIT messen med det formål at afprøve teknikken. Ni forskellige fingeraftrykslæsere blev testet, og det lykkedes hende at snyde samtlige læsere.

Læs artiklen og se billeder af processen på NyTeknik:
http://www.nyteknik.se/popular_teknik/kaianders/article238885.ece

Rapporten i sammenfatning:
http://www.ep.liu.se/exjobb/isy/2004/3557/

Se hele rapporten i pdf-fil:
Fra Linkôping Universitet



En japansk forsker har ligeledes beskrevet hvordan fingeraftrykslæsere virker, og hvordan de kan snydes.
http://www.rootsecure.net/content/downloads/pdf_downloads/fingerprint_scanners.pdf

Den tyske gruppe mod indførsel af "ePass" (det tyske biometrisk pas) har beskrevet en simpel metode til at snyde fingeraftrykslæsere.
http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren?language=en



Mere om sikkerhedsforholdende ved biometrisk adgangskontrol


Computerworld
Kommentarer fra Knud Henning Strømming - Dubex A/S:
"Biometri kan være udmærket, hvis der ikke er noget behov for at sikre sig, at brugeren faktisk er den, hun påstår at være - hvis der ikke er nogen værdifulde ressourcer at benytte. I sådanne tilfælde kan biometri være bekvemt."
"Artiklen bygger på den grundlæggende misforståelse, at biometriske løsninger er et alternativ til brug af kodeord. DET ER DET IKKE!".
Læs artiklen og især kommentarerne:
http://www.computerworld.dk/art/40137?a=block&i=189

Peter Kruse fra sikkerhedsfirmaet CSIS:
"En kode er dynamisk. Det vil sige, at du kan skifte den øjeblikkeligt, hvis du finder ud af, at du er blevet udsat for misbrug. Men det er som bekendt væsentligt mere besværligt at få et nyt fingeraftryk"
Læs artiklen og tilhørende kommentarer:
http://www.computerworld.dk/art/47339?a=rss&i=0

Politiken
Janni Christofersen, direktør i Datatilsynet:
"Bedste løsning er den løsning, hvor man selv bærer dataene på sig. Altså hvor en matematisk formel, som er udregnet på baggrund af ens fingeraftryk ligger på et kort. Når man så bruger kortet, skal man give sit fingeraftryk, der så bliver tjekket op mod den matematiske formel på kortet."
Læs artiklen:
http://www.danishbiometrics.org/admin/files/Biometrik.pdf

Den tyske tv-kanal ARD
Hos Edeka i Rülzheim kan man købe varer via sit fingeraftryk. TV-indslaget viser hvordan journalist Matthias Rauch handler på Hr. Ruhmann's kreditkort via et kopieret fingeraftryk.
Indslaget viser også hvordan et fingeraftryk fra et glas på simpel vis kopieres.
Se indslaget:
http://www.youtube.com/watch?v=aBm-WsJ2U1c

Den amerikanske blog SecurLinx
Hos skadestuen i Greater São Paulo er en læge arresteret for at bruge gummifingre som kopi til at stemple ind for 11 andre læger og 20 sygeplejersker, så de alle kunne få løn uden af møde op. Fænomenet kaldes "spøgelses-medarbejdere".
Læs blog-indlægget:
http://securlinx.blogspot.dk/2013/03/brazilian-ghost-doctors-have-rubber.html
Oprindeligt indlæg på nyhedssiden "Folha De S.Paulo" (portugisisk).
http://www1.folha.uol.com.br/cotidiano/1244754-medicos-suspeitos-de-fraudar-plantao-na-grande-sp-sao-afastados.shtml

IPhone 5S - Den tyske Chaos Computer Club
Apple biometriske sikkerhedssystem TouchID hacket. Frank Rieger fra CCC udtaler "Dette demonstrerer igen at fingeraftryk er uegnet til adgangskontrol og bør undgås".
Læs hele artiklen (engelsk):
http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid
Se CCC demonstrationsvideo:
http://www.heise.de/video/artikel/iPhone-5s-Touch-ID-hack-in-detail-1966044.html

IT nyhedsmagasinet Version 2
Norsk biometriløsning til Mastercard hacket. Den norske sikkerhedsekspert Per Thorsheim udtaler "Biometri indføres flere og flere steder, alene fordi det er brugervenligt. At det dog ikke er sikkert nok, er blevet demonstreret igen og igen".
Læs hele artiklen:
https://www.version2.dk/artikel/norsk-biometriloesning-mastercard-hacket-saa-banalt-dumt-1085950