Biyometrik Kimlik Doğrulama Teknolojisinin İyi, Kötü ve Çirkin Yüzü

Biyometri, insanların benzersiz fiziksel ve davranışsal özelliklerinin ölçümü ve istatistiksel analizidir. Biyometrik kimlik doğrulama, kişilerin iddia ettikleri kişi olduklarını doğrulamak için retinalar, irisler, sesler, yüz özellikleri ve parmak izleri gibi bireylerin benzersiz biyolojik özelliklerinin kullanılmasını içeren güvenlik prosedürünü ifade eder. Bu süreç, binalar, odalar ve farklı cihazlar gibi fiziksel ve dijital kaynaklara erişimi kontrol etmek için kullanılır. Biyometrik kimlik doğrulamanın temel önermesi, her insanın ana fiziksel veya davranışsal özelliklerle doğru bir şekilde tanımlanabilmesidir.

İki tür biyometrik tanımlayıcı vardır:

  1. Fizyolojik Tanımlayıcılar (Yüz, iris, ses, damar tanıma, retina tarama ve DNA eşleme)
  2. Davranış Tanımlayıcıları (Yazma paterni, yürüyüş şekli)

Biyometrik kimlik doğrulama teknolojisi günümüzde birçok alanda kullanılmaktadır. Cep telefonlarında parmak izi tarama teknolojisi kullanılarak kilit açma, bazı bankalar da göz tarama teknolojisi kullanarak kimlik doğrulama, havaalanlarında da check-in işlemleri sırasında yüz tarama teknolojisi kullanılarak kimlikleri doğrulama gibi bir çok farklı çeşidini kullanıyor olabilirsiniz.

Doğrulama Süreçleri

Biyometrik kimlik doğrulama, iki veri setini karşılaştırarak çalışır: ilki cihazın sahibi tarafından önceden belirlenen doğrulanmış kullanıcı bilgileridir, ikincisi bir cihaz ziyaretçisine aittir. İki veri neredeyse (%100 eşleşme söz konusu değil) aynıysa, cihaz "ziyaretçi" ve "sahip" in bir ve aynı olduğunu bilir ve kişiye erişim sağlar. Geleneksel sistemlerde bu bilgiler şifrelerdir. Biyometrik kimlik doğrulamada, bu bilgiler fiziksel veya davranışsal özellikler olarak tanımlanır.

Unutulmaması gereken önemli nokta, iki veri seti arasındaki eşleşmenin neredeyse aynı olması, ancak tam olarak aynı olmaması durumudur. Bunun nedeni, iki biyometrik verinin %100 eşleşmesinin imkansıza yakın olmasıdır. Örneğin, biraz terli bir parmağınız veya baskı desenini değiştiren çok küçük bir yara iziniz olabilir. Süreci, tam bir eşleşme gerektirmeyecek şekilde tasarlamak, eşleşmeme olasılığını büyük ölçüde azaltır, ancak aynı zamanda sahte bir parmak izinin gerçek olarak kabul edilme olasılığını da artırır.

Örneğin, bir yüz tanıma sisteminde, farklı yüz özellikleri işlenir ve bir veri tabanında saklanan sayısal verilere dönüştürülür. Bir kişi oturum açmaya çalıştığında, sistem yüzünü yeniden yakalar, sayısal verileri çıkarır ve ardından veritabanında depolananlarla karşılaştırır.

Biyometrik Kimlik Doğrulama Kullanım Örnekleri

Bakan Göktaş, şehit ve gazi yakını öğretmenlerle buluştu Bakan Göktaş, şehit ve gazi yakını öğretmenlerle buluştu

Biyometrik kimlik doğrulama, finans sektörü ve sağlık hizmetlerinden perakende satış veya seyahate kadar hemen hemen her sektörde kullanılmaktadır. Sürekli artan hesap ele geçirme dolandırıcılığı vakaları nedeniyle, kuruluşların güvenli kimlik doğrulama ve tanımlama prosedürlerine her zamankinden daha fazla ihtiyacı var.

Aşağıda, bu işletmelerin mevcut süreçlerin güvenliğini ve verimliliğini artırmak için biyometri kullanımını nasıl kullandıklarına dair bazı örnekler bulabilirsiniz.

Bankacılık ve Finans Sektörü

Güvenlik ve kimlik doğrulama, birçok sektörde, ancak özellikle finans sektöründe hayati öneme sahiptir. Finansal kurumlar ve bankacılık kuruluşları, müşteri tanımlaması yapmak ve kullanıcı bilgilerinin daha hızlı işlenmesi için günlük operasyonlarına biyometrik kimlik doğrulamayı entegre etmeye devam ediyor. Cision PR Newswire tarafından yapılan bir araştırmaya göre, en beğenilen mobil bankacılık uygulamalarının neredeyse %50'si biyometrik kimlik doğrulama kullanıyor.

Ancak doğrulama süreçlerinde de bahsetiğim kısmi eşleşme oranı bu tarz güvenlik gerektiren uygulamalarda diğer uygulamalara nazaran daha yüksek tutuluyor. Buda eşleşme yakalanana kadar geçen süreyi gereğinden fazla uzatıyor ve kullanıcı deneyimini olumsuz etkiliyor.

Sağlık Sektörü

Sağlık tesisleri, hastaların kimliğini doğrulamak, bir kişinin hastaneye gelişinde tıbbi kayıtlarına doktor tarafından kolay ve hızlı bir şekilde erişilebilmek, hassas verileri güvende tutmak ve karışıklıkları önlemek için biyometrik hizmetleri kullanır.

Eğitim Sektörü

Biyometrik kimlik doğrulama, öğrencilerin ve öğretmenlerin katılım kayıtlarını tutmanın sıradan bir gelenek olduğu okul yönetim sistemlerinde de kullanılabilir. Ayrıca öğrencilerin okula geliş ve gidiş saatlerinin ve öğretmenler için çalışma saatlerinin kayıtını da tuttuğu için faydalıdır.

Seyahat ve Konaklama Sektörü

Havayolları ve havalimanları, müşterilerine yüz tanıma özelliğini kullanarak uçuşlarını kontrol etme olanağı sağlıyor. Aynı şekilde, oteller ve konaklama işletmeleri de biyometrik kimlik doğrulama kullanarak kendi kendine giriş yapmaya izin vermeye başladı.

Avantajları

  • Kullanım kolaylığı. Parmak izi veya iris taraması, özellikle uzun bir parola kullanmaktan çok daha kolaydır. En modern akıllı telefonların bir parmak izini tanıması ve bir kullanıcının telefona erişmesine izin vermesi yalnızca bir saniye sürer.
  • Yapılan araştırmalara göre her e-posta adresiyle ilişkili ortalama 130 hesap var. Buda hatırlanması gereken bir sürü kullanıcı adı ve şifre var demek oluyor. Pek çok kişinin çevrimiçi hesaplarının tümü olmasa da çoğu için aynı parolaları yeniden kullanması ve daha da kötüsü, evcil hayvan veya çocuk adları gibi basit, kolay akılda kalan parolaları da tercih ediyor olması bu parolaları tahmin etmenin çokta zor olmadığını gösteriyor. Bazen bir bilgisayar korsanının tek ihtiyacı olan kişinin doğum tarihi ve kedisinin adıdır. Öte yandan biyometrik veriyi elde etmek çok daha zordur. Bu nedenle saldırganlar, özellikle çok faktörlü kimlik doğrulama kullananlar olmak üzere parolasız biyometrik sistemlere girmeyi çok daha zor buluyor.
  • Biyometrik verinin sahtesini yapmak veya çalmak zordur. Yüz tanıma, parmak izi veya retina taraması gibi biyometrik verinin mevcut teknoloji kullanılarak çoğaltılması neredeyse imkansızdır. Parmak izinizin bir başkasınınkiyle tam olarak örtüşme olasılığı 64 milyarda birdir.

Dezavantajları

  • Doğrulama süreçleri kısmında da bahsedildiği gibi kısmi eşleşmeler üzerinden doğrulama işlemi gerçekleşmektedir. Kimlik doğrulama sistemlerinin birinde (bknz. Face Recognition API, Python) kullanılan bir methodu aşağıda görebilirsiniz.

*known_face_encodings – Sistemde kayıtlı yüz kodlamalarının listesi

*face_encoding_to_check – Listeyle karşılaştırılacak tek bir yüz kodlaması

*Tolerans – Bunu bir eşleşme olarak kabul etmek için yüzler arasındaki farklılık

Algoritmalarda kullanılan bu methoddan da açık bir şekilde görebileceğiniz gibi kısmi eşleşmeler sonucunda kimlik doğrulaması yapılır. Sistem sürekli gördüğü yüzleri kendisinde kayıtlı yüzlere benzetme gayreti içerisindedir. Tolerance değerini düşürdükçe, eşleşme olabilmesi için yüzler arasındaki farklılıkların az olması gerekmektedir. Bu sonuç, sistemi daha güvenli hale getirsede eşleşme performansını fazlasıyla düşürmektedir. Bu yüzden 0,6 gibi bir optimum değer kullanılması tavsiye edilmektedir.

  • Araştırmacılar, 5 "ana parmak izinin" bu kısmi eşleşmelerden yararlanabileceğini ve cihazların yaklaşık %65'ini açabileceğini keşfettiler. Rakamın gerçek yaşam koşullarında düşmesi muhtemeldir, ancak %10 ila %15'lik bir açılma oranı bile çok büyüktür ve milyonlarca cihazı açığa çıkarabilir.
  • Parola yalnızca sahibinin bildiği bir şey olsa da biyolojik özellikleriniz çoğunlukla herkese açıktır. Gittiğiniz her yerde parmak izinizi bırakıyorsunuz, sesiniz kaydedilebiliyor ve yüzünüz muhtemelen sosyal medya veritabanlarında yüzlerce farklı yerde saklanıyor. Bu veritabanlarının güvenliği ihlal edilirse, bilgisayar korsanları biyometrik verilerinize erişebilir.

Çirkin Yüzü

Biyometrik tanıma teknolojileri doğuştan önyargılıdır. Çoğu yüz tanıma sistemi, öncelikle beyaz erkeklerin görüntüleriyle eğitilir, bu da kadınlar ve beyaz olmayan insanlar için daha yüksek hata marjlarıyla sonuçlanır.

Örnek olarak Ulusal Standartlar ve Teknoloji Enstitüsü, ticari geliştiricilerin çoğunluğunu temsil eden 189 yüz tanıma algoritmasını test etti. Bunlar arasında Microsoft'un kullandığı sistemler, Cognitec gibi biyometrik teknoloji şirketleri ve Çin'de bir yapay zekâ şirketi olan Megvii vardı. Ajans, federal çalışma için algoritmalarını sunmadıkları için Amazon, Apple, Facebook ve Google'ın sistemlerini test edemedi. Federal rapor, bazı büyük teknoloji şirketlerinin yüz tanıma sistemlerinin kadın ve koyu tenli yüzleri tanımlamada beyaz erkek yüzlerine göre çok daha düşük doğruluk oranlarına sahip olduğunu bildiren MIT’nin önceki araştırmalarını doğruluyor.

Buna ek olarak, The Gender Shades projesinde beş tane yüz tanıma teknolojisi denetlendi. Proje, farklı cilt tonları ve cinsiyetler için yüz tanıma teknolojilerinin doğruluğundaki farklılıkları ortaya çıkardı. Bu algoritmalar sürekli olarak daha koyu tenli kadınlar için en düşük doğruluğu ve daha açık tenli erkekler için en yüksek doğruluğu göstererek algoritmaları eğitmek için kullanılan verilerin yeterli ölçüde çeşitlendirilmediğini bir kez daha gözler önüne serdi.

Biyometrik kimlik doğrulama sistemlerinin çirkin yüzlerinde bir diğeri ise kullanıcının verilerini değiştirememesidir. Parmak izinizi, sesinizi, yüz hattınızı iptal ederek yeniden oluşturamazsınız. Bir e-postaya erişimi kaybederseniz, kontrolü yeniden kazanmanıza yardımcı olması için her zaman bir uzaktan kurtarma başlatabilirsiniz. İşlem sırasında, hesabınızın güvenliğini ikiye katlamak için parolanızı değiştirebilecek veya iki faktörlü kimlik doğrulama ekleyebileceksiniz. Ancak biyometrik veri oluşturulması ve güncellenmesi böyle çalışmıyor. İlk güvenli veri setini değiştirmek için fiziksel olarak cihazın yakınında olmanız gerekir. Şimdiye kadarki en büyük biyometrik veri hırsızlıklarından birinde, ABD Personel Yönetimi Ofisi 5,6 milyon çalışanın parmak izini sızdırdı. İlgili kişiler için, kimliklerinin bir kısmı her zaman tehlikede olacaktır.