mercoledì 15 agosto 2007

Procesos biométricos


Procesos biométricos


Entrenamiento.
Durante el proceso de entrenamiento, se extraen unas características propias del individuo y se crea un modelo o patrón del mismo. Se podría decir que es el proceso automático de codificación y almacenamiento de las características distintivas de la muestra biométrica con el fin de generar el patrón de registro.

El proceso de extracción de características puede incluir varios grados de imagen o de muestras procesadas con el fin de obtener una cantidad suficiente de datos precisos. Por ejemplo, las tecnologías de la voz pueden filtrar determinadas frecuencias y patrones, y las tecnologías de la huella digital pueden comprimir las minucias presentes en la huella digital hasta el tamaño de un píxel.

Además, si la muestra es inadecuada para formar la extracción de la característica, el sistema biométrico ordenará al usuario que ofrezca otra muestra, a través de algún tipo de aviso.

La forma en que el sistema biométrico extrae las características es un secreto muy bien guardado, y varía en función del fabricante.

Las características físicas más comunes que se utilizan en el proceso de extracción son las siguientes:

-Huella digital. Localización y dirección del comienzo y fin de los arcos y bifurcaciones de la huella digital.
-Voz. Frecuencia, cadencia y duración del patrón de voz.
-Cara. Posición relativa y forma de la nariz, posición de las mejillas.
-Iris. Forma del iris.
-Retina. Forma de los capilares de la retina
-Mano. Alto y ancho de los dedos y juntas entre los dedos y la mano
-Firma. Rapidez, fuerza, presión y apariencia de la firma.
-Escritura en el teclado. Secuencia del tecleo, duración entre caracteres.

El modelo del usuario de un sistema biométrico es un archivo comparativamente pequeño que se deriva de las características de una muestra o muestras del usuario, que se utiliza para obtener las correspondencias biométricas en el proceso de la comparación.

El patrón se crea gracias a un complejo proceso algorítmico que transforma las características diferenciales de la muestra en un número. Es decir, el patrón es una representación numérica de la imagen de la muestra.





Reconocimiento.
Una vez creado el modelo o patrón del usuario, éste puede ser reconocido por el sistema. Una realización o registro (una frase, una huella, etc.) de un individuo, se compara con los modelos o patrones de él mismo (verificación, dado que el individuo de identifica) o de todos los modelos existentes (identificación, ya que el individuo no es conocido), para determinar el grado de similitud o correlación. El resultado es una puntuación que se compara con una medida predeterminada. Si el resultado es superior al nivel de rigor predeterminado por el sistema (umbral), el resultado es aceptado; si la puntuación está por debajo del nivel de seguridad predeterminado por el sistema, el resultado es rechazado como perteneciente al usuario.

En sistemas de verificación 1:1 existe generalmente un único patrón de verificación que se compara con la realización objeto del test. En sistemas de identificación 1:N , la realización se puede comparar con docenas, decenas e incluso millones de modelos.

Puntuación: Es un número que indica el grado de similitud o correlación en la correspondencia biométrica. Los sistemas de autenticación tradicionales – passwords, PINs, claves y tarjetas inteligentes- son binarios y ofrecen una respuesta de sí/no.
Este no es el caso de la mayoría de sistemas biométricos. Prácticamente todos los sistemas biométricos están basados en algoritmos que generan una puntuación después de un intento de reconocimiento. Esta puntuación representa el grado de correlación entre el modelo y su realización o intento de acceso.
No existe una escala estándar utilizada para la puntuación biométrica: para unos fabricantes se debe utilizar una escala 1 a 100, mientras que para otros se debe utilizar otra de -1 a 1; algunos fabricantes utilizan una escala logarítmica y otros una escala lineal.
Independientemente de la escala utilizada, la puntuación de la verificación se compara con el nivel de precisión o umbral del sistema, para determinar el éxito de un intento de correlación.
La mayoría de los sistemas devuelven una puntuación durante el entrenamiento. Esta puntuación representa el éxito en el proceso de extracción de las características distintivas de la muestra biométrica.
Si la muestra es rica en información, es probable que exista una puntuación alta de entrenamiento. Esta puntuación no se utiliza en el proceso de reconocimiento, pero se puede utilizar para determinar si un usuario puede registrarse con éxito.
Una puntuación baja puede indicar que el usuario no puede ser verificado de forma fiable.

Umbral de seguridad: Es un número predefinido, frecuentemente controlado por el administrador del sistema biométrico, que establece el grado de correlación necesario para que el reconocimiento dé como resultado una similitud muy grande entre la realización y el modelo. El nivel de seguridad (threshold) para el éxito de una verificación, será más permisivo en sistemas de baja seguridad que en sistemas de alta seguridad.

Decisión: Es el resultado de la comparación entre la puntuación y el umbral predeterminado por el sistema. Las decisiones que puede realizar el sistema biométrico incluyen: aceptación, rechazo o indecisión.

A continuación pueden verse 3 ejemplos ilustrativos del proceso de un sistema biométrico.




Error: Determina la calidad del sistema biométrico. La mayoría de los sistemas biométricos son capaces de verificar la identidad con un margen de error de menos del 1/100.000.



El proceso del reconocimiento es distinto para cada tipo de biometría. Estos son algunos de los procesos que se siguen:

la huella dactilar: el usuario ha de colocar la yema del dedo encima de la superficie del escáner óptico o de silicona. Este escáner se inserta en un dispositivo periférico, en un ratón o en un teclado. El usuario debe mantener su dedo sobre la superficie del escáner durante 1-2 segundos, mientras el sistema realiza una comparación automática de la huella digital con los archivos de huellas almacenados. Después de una identificación válida, el usuario puede acceder a su PC, a la red o a un área restringida. El tiempo de verificación es de 3 - 4 segundos.

la voz: El usuario se ha de posicionar cerca del dispositivo de identificación (micrófono o teléfono) y ha de pronunciar la frase que ha utilizado para registrarse o bien repetir la frase dada por el sistema. El tiempo de verificación es de 3-4 segundos.

lectura del iris: El usuario se ha de posicionar cerca del dispositivo de verificación (periférico o cámara independiente). El usuario ha de centrar sus ojos en el dispositivo hasta que puede ver el reflejo de sus ojos. La captura e identificación es casi inmediata. El tiempo de verificación es de 3-5 segundos.

la mano: El usuario ha de colocar la mano sobre una superficie de metal con cinco hendiduras que aseguran la correcta colocación de cada uno de los dedos. El tiempo de verificación es de 2-3 segundos.

la firma manuscrita: El usuario ha de firmar encima de la superficie de captura. El tiempo de reconocimiento es de 2-3 segundos.

el modo de escribir en un teclado: El usuario ha de teclear su password o frase de acceso. El tiempo de verificación es de 2-3 segundos. (Fuente: Ictnet – Comunidad Biométrica)


Una empresa que utiliza un servicio de banca on-line, recibirá una tarjeta con un chip que contiene su clave privada y su certificado digital. Cuando un empleado autorizado quiera realizar una transacción electrónica utilizando la firma digital, deberá introducir la tarjeta en el lector (un dispositivo periférico) y luego introducir un PIN para verificar que es el usuario autorizado.

Es aquí donde aparece uno de los vacíos de la firma digital: no podemos autentificar al 100% que la persona que ha enviado el mensaje es la autorizada ya que para acceder a la clave privada se ha de introducir un PIN secreto pero muy vulnerable ante ataques tanto internos como externos. ¿Qué ocurre cuando otra persona accede a este PIN y utiliza la clave privada- almacenada en el disco duro del ordenador o en una tarjeta inteligente- para firmar un documento? Entonces nos encontramos con un problema de imputación de responsabilidades ante la participación de una persona en una transacción determinada.

Y es que tal y como demuestra una encuesta reciente de la CECA (Confederación Española de Cajas de Ahorro), el principal problema que presenta Internet para las entidades bancarias se deriva de la dificultad para identificar si es el titular autorizado quien ordena las operaciones.

Para cubrir este hueco de seguridad lo que se necesita es un método de autenticación a través del cual sólo la persona autorizada tenga acceso a su clave privada. Es aquí donde aparece la biometría como una pieza clave fundamental.

A través de la medición de una característica individual de la persona- como por ejemplo, la huella dactilar, la voz, etc. - y utilizando esta medición para identificarla, podemos mejorar de forma notoria la protección de la clave privada.

Para seguir con el ejemplo anterior, el responsable de compras de la empresa que quiere realizar la transferencia a través de la banca on-line, en vez de introducir un PIN para autentificar que tiene la autoridad, deberá colocar el dedo encima del sensor biométrico.

En este sentido, a través de la autenticación biométrica se establece un lazo irrefutable entre el emisor del mensaje y el propietario de la clave privada. En este punto en cuando pasan por nuestra cabeza preguntas como: ¿la biometría nos garantiza la seguridad frente al ataque de los hackers? ¿se puede integrar con aplicaciones de firma electrónica? ¿y su coste?

En cuanto al aspecto de la seguridad, una de las características peculiares de las tecnologías biométricas y que la dotan de un nivel de seguridad muy superior a los sistemas existentes- como el de passwords- es que no aceptan dos entradas idénticas del patrón de verificación.

Cuando nos registramos en un sistema de seguridad biométrico debemos facilitar una muestra para generar el patrón de registro que se almacena en una base de datos. Este patrón sólo puede ser utilizado para comparar la huella digital con los patrones de verificación que se crean cada vez que el usuario intenta acceder al sistema, y no puede ser utilizado para reproducir la imagen original. Es decir, si un hacker obtiene el patrón almacenado en la base de datos de los patrones de registro e intenta suplantar su identidad, el sistema lo rechazará ya que debido a las características cambiantes de las personas- posición del dedo en el sensor, temperatura, humedad, etc- la tecnología interpreta como fraude dos entradas exactamente iguales. En este sentido, podemos decir con toda seguridad que es la tecnología más segura que existe en el mercado en la actualidad.

En cuanto al tema de la integración con sistemas de firma digital existentes, debemos hablar de dos tipos de integración: a nivel de dispositivos de almacenamiento y a nivel de software.

La información biométrica- los patrones de registro- al igual que las claves (la pública y la privada) y el certificado digital, se pueden almacenar en el disco duro del PC o bien en una tarjeta inteligente. El uso de tarjetas inteligentes como medio de almacenamiento es una buena opción, por varias razones: Primero, los patrones biométricos tienen un tamaño reducido, de unos pocos kilobytes, y pueden ser almacenados fácilmente en una tarjeta. Segundo, el tenedor no tiene que preocuparse por si un hacker intenta acceder al servidor donde se encuentra la base de datos de patrones. Tercero, el usuario autorizado tiene mayor control sobre su patrón y, en consecuencia, mayor percepción de privacidad.

Actualmente, existen fabricantes que insertan un chip con información biométrica en las tarjetas, que además contienen las claves para la firma digital. En este caso, se realiza la comparación del patrón de registro con el patrón de verificación dentro de la misma tarjeta, sin necesidad de transmitir el patrón de verificación al servidor para realizar la comparación. Este método es mucho más rápido y ofrece la ventaja de la movilidad a los usuarios que han de trabajar en distintas oficinas, como es el caso de los altos directivos.

En conclusión, a la hora de decidirse a tomar medidas de seguridad, las empresas deben plantearse todo un abanico de productos que superan a los tradicionales passwords y que pueden combinarse para ofrecen un nivel de seguridad óptimo tanto interno como externo. (Fuente: Ictnet – Comunidad Biométrica)

Nessun commento: