Biometrisk (u)realisme

Fingeravtrykk er det nye passordet. ‘Biometrisk’ – da må det være bra. Men hvor bra? Og hva er egentlig ‘godt nok’?

Passord er sørgelig usikre. Ikke mekanismen, men brukerne – rettere sagt brukernes hukommelse. Etter flere tiår med kreative forsøk på å gjøre passord til reell sikkerhet, har markedet gitt opp. Passord (og PIN-koder, som er enda verre) er under utfasing. Heldigvis.

Den for tiden mest populære erstatningen er fingeravtrykk. Lettvint, antatt sikkert, tilgjengelig. Men hvor sikkert er det egentlig? Forskere (og hackere) har forlengst funnet hull i mekanismen. Vanskelige å utnytte, men de er der. Enda verre – ifølge fagpressen: HTC og Samsung lagrer bilder av fingeren ukryptert, lett tilgjengelig. Historiene forteller lite om konsekvenser og reell risiko, og alt om forventninger. De er urealistiske.

Biometri er ikke noe annet enn bilder som sammenlignes med virkeligheten. Rettelse: Flere bilder – av en finger, et øye, en hånd, et ansikt. Høy oppløsning, stor nøyaktighet, men hvor sikkert kan det bli, og spiller det noen rolle om bildene er kryptert på telefonen eller ikke?

Det er lett å glemme at sikkerhet er en målestokk, sågar en relativ målestokk. Sikkerhet er aldri perfekt, tidvis ‘god nok’, ofte ‘ikke god nok’ og alltid ‘bedre enn’ eller ‘dårligere enn’ noe. ‘God sikkerhet’ er et meningsløst uttrykk, på nivå med ‘god kvalitet’ (se Kvalitet – en meningsløs floskel?) fordi målestokken mangler.

Hele samfunnet er basert på autentisering med bilder – førerkort, pass, ID-kort etc. I Google- og Facebook-alderen kan hvem som helst skaffe seg bilder av hvem som helst. Har det redusert verdien av bildebasert autentisering? Litt, men ikke mye og slett ikke nok til at vi slutter å bruke det. Tilsvarende med fingeravtrykkene. Om noen skulle få hånd om fingeravtrykk-bildene fra din HTC, er terskelen høy for å misbruke dem. Vi forsvarer ikke Samsung og HTC, og forventer at de rydder opp, men noen katastrofe er det ikke.

Biometrisk autentisering – med fingeravtrykk som den enkleste og rimeligste varianten – er mye bedre enn passord og pinkoder, og god nok i mange sammenhenger. Vanskelig, men ikke umulig å forfalske. God, men ikke perfekt nøyaktighet. Tofaktor eller multifaktor autentisering er sikrere. Med riktige forventninger kan vi gjøre balanserte valg – kostnad vs. anvendelighet vs. sikkerhet.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.