Gero eta gehiago ari gara ikusten zerbaitetarako sarbidea izateko (gailu elektronikoetan bereziki, baina baita bestelakoetan ere) erabiltzaileen autentifikazioa ezaugarri biometrikoen bitartez egitea. Tradizionalki pasahitzen bidez egiten genuen kautotze edo autentifikazioa, gure tasun fisikoren baten bidez egiteko joera hedatzen ari da: telefono mugikorra gure aurpegiaren argazkiaren bidez piztea, ordenagailu eramangarrirako sarbidea hatz-markaren bidez izatea, sarrailak ahotsaren edo begiaren irisaren bidez irekitzea… Hala ere, autentifikazio mota hau pasahitzena baino hobea al da? Artikulu honetan horri buruzko nire zalantzak azaldu eta argudiatuko ditut, bereziki (baina ez bakarrik) segurtasunari dagozkionak.
Autentifikazioa: Erosotasuna vs. Segurtasuna, Zehaztasuna, Pribatutasuna
Pasahitzetatik autentifikazio biometrikora pasatzearen azkenaldiko joera horren arrazoia zein den argi dago: erosotasuna. Izan ere, askoz gutxiago kostatzen da koadrotxo batean atzamarra jartzea, aurpegia erakustea edo esaldi bat esatea, pasahitz bat tekleatzea baino. Bereziki, pasahitzarekin behar den moduan jokatzeko ohitura badugu: pasahitz luzea, letra larri eta xehe, zenbaki eta ikurrekin, pasahitz ezberdina zerbitzu bakoitzeko (eta, ondorioz, pasahitz kudeatzaile bat erabiltzeko beharra)… Eta erosotasunagatik prest gaude bestelako kontsiderazio oro alboratzeko, izan segurtasunari, zehaztasunari zein pribatutasunari buruzkoak.
Zehaztasunari dagokionez, pasahitzen teknologian ez dago inongo arazorik sartutako pasahitza gordetakoarekin konparatzean: edo berbera da edo ez da zuzena, eta konparazio horretan ez dago akatsik egiterik. Aldiz, teknologia biometrikoetan konparazioa ez da guztiz akasgabea. Aurpegien ezagutzako sistema batzuk positibo faltsuak ematen dituzte antza duten jendearekin edo senitartekoekin eta negatibo faltsu asko zenbait etniatako jendearekin, ahots ezagutzakoek negatibo faltsuak eztarritik gaixo gaudenean, hatz-marketako sistema batzuk engainatu daitezke orotariko hatz-marka batzuen bidez (orotariko giltzen modukoak)… Seguruenik zehaztasunari dagokionez teknologia hobetzen joango dira, baina ez dago argi guztiz zehatza inoiz izan ahalko den.
Pribatutasunarena beste arlo delikatu bat da biometrian. Izan ere, kautotzea ezaugarri biometrikoren baten bidez egin nahi badugu, sarbidea izan nahi dugun zerbitzuaren hornitzaileak gure ezaugarri biometriko hori gorde behar du. Beti esango digute ongi gordeko dutela eta ez dutela beste ezertarako erabiliko, baina inoiz ezin izango dugu ziur egon. Azkenean, gure datu oso pribatu bat beste batzuei ematen ari gara, eta horrelakoak zenbat eta gehiago erabili, gero eta entitate gehiagori. Eta sistema hauen hedapena oso handia edo nonahikoa denean, gure ezaugarri biometrikoak oso baliotsuak bihurtuko dira inguru kriminaletan eta horiek lortzeko saiakerak eta Dark Web-ean salerosketan egoteak (gaur egun pasahitzekin gertatzen den bezala) gero eta ohikoagoak izango dira. Akabo gure pribatutasuna! Egia da gaur egun ere gure zenbait ezaugarri biometriko ematen dizkiegula erakunde publikoei legeak hala behartuta (NA egiteko poliziari hatz-markak bezala), baina hortik gure bankuari, supermerkatuari edo posta elektronikoaren hornitzaileari borondatez ematera operazioak azkarrago edo erosoago egitearen truke, alde ederra dago.
Autentifikazio biometrikoak zehaztasunari eta pribatutasunari dagokienez dituen akats edota desabantailen inguruan goian idatzi ditudan bi paragrafotxo horiek baino askoz gehiagorako ematen dute, bakoitzak artikulu baterako adina gutxienez. Baina gaurkoan fokua segurtasunaren arloan jarri nahi dut. Izan ere, biometriaranzko joera seguruagoa izatearen aitzakian ematen ari da, baina digitalaz haragoko bizitzako edozein arlotan erosotasuna eta segurtasuna arlo kontrajarriak izan ohi diren gisan (ez dago erabat biak izaterik, eta batean lortzen denak bestean galtzea dakar), hala da mundu digitaleko autentifikazioan ere. Hornitzaile, zerbitzu eta tresna askoren autentifikazioak biometriara jotzearen justifikazioa erabiltzaileoi gauzak etengabe errazteko eta erosoago jartzeko joera da eta ez –batzuek hala saldu arren– pasahitzak baino sistema seguruagoa delako.
Pasahitzak: Berez ez seguruak, edo praktika txarren ondorioz?
Argi dago orain artean nagusi izan den pasahitz bidezko autentifikazioa ez dela perfektua segurtasunaren ikuspegitik. Ohikoak dira pasahitzen lapurreta eta salmentak. Baina zergatik gertatzen dira pasahitzen lapurreta horiek?
Batetik, gure pasahitzak tresnetatik edo zerbitzu-emaileetatik lapurtu ditzakete. Zerbitzu edo tresna baterako sarbidea kontrolatu ahal izateko, tresna edo zerbitzu horren hornitzaileak pasahitzak gorde behar ditu, eta horien sistemetan sartu eta horiengandik lapurtzea da bide ohiko bat, gainera oso errentagarria dena, erabiltzaile askoren pasahitzak eskura baitaitezke kolpe bakarrean. Baina, berez, zerbitzarietan pasahitzak gordetzeko badaude modu seguruak: pasahitzaren beraren ordez horren hash kriptografiko bat gorde daiteke, zeinetatik ezin den pasahitz jatorrizkoa erauzi; gainera, hitz edo esaera edo pasahitz ohikoenen hashak dituzten taula orokor erraldoien bidez jatorrizko pasahitzak ateratzea ekiditeko, hash kriptografikoa aplikatu aurretik salt edo gatz deritzon ausazko kate bat gehi dakioke pasahitzari; hala, erabiltzaileak sartutako pasahitza zuzena den konparatzerakoan, aurretik gatz eta hash funtzio bera aplikatzen zaizkio gordetakoarekin konparatzeko. Hash funtzio kriptografiko bat eta gatza erabili badira, zerbitzarietan gordetako pasahitzak lortuta ere ezin dira jakin jatorrizko pasahitzak zein diren.
Bestela, pasahitzak bezeroari lapurtuta lor daitezke. Baina honetan ere, berez, pasahitzak egoki erabilita, ataza hori asko zaildu edo ezertarako ez balio izatea lor daiteke. Jarraibide sinple eta oso ezagun batzuekin lortzen da hori:
- Ez erabili ohiko pasahitz errazak (“1234” modukoak).
- Ez erabili gure datu pertsonalen bat (bikotekidearen edo seme-alabaren baten edo txakurraren izena, ezkontza-data…).
- Ez erabili hiztegiko hitz bat.
- Pasahitz luzeak erabili.
- Pasahitzetan letra larri eta xeheak, zenbakiak eta ikurrak konbinatu.
- Ez idatzi pasahitzak inon.
- Ez elkarbanatu pasahitzak inorekin.
- Ziurtatu ez dagoela inor begira pasahitza sartzen dugunean.
- Ez erabili pasahitz bera hainbat zerbitzutan, batean lapurtzen badute beste guztietarako sarbidea izango dute eta.
- Pasahitzak aldatzen ibili, lapurtzen badigute ere handik denbora batera ezertarako balio ez dezan; bereziki, zerbitzuren batean lapurreta izan dela jakitean aldatu horko pasahitza.
Orduan, pasahitzen lapurretak zailtzeko edo ez eraginkor egiteko bideak badaude, zergatik gertatzen dira eta efektiboak dira lapurretok? Bada, jarraibide horiek sarritan ez direlako betetzen. Ulertezina bada ere eta horretarako aitzakiarik ez badago ere, zerbitzariek maiz ez dituzte betetzen (gertatu izan dira pasahitzen lapurreta masiboak hainbat zerbitzutan, eta argitara eman edo salgai jarri dituztenean hash eta salt gabe zeudela ikusi da). Baina batez ere, eta ongi dakigunez, erabiltzaileok gara jarraibideak betetzen ez ditugunak. Pasahitzak laburrak eta sinpleak izan ohi dira, zerbitzu guztietan edo askotan berdinak erabili ohi ditugu eta ez ditugu aldatzen. Eta hori egiteko arrazoia erosotasuna da: pasahitz konplexu ezberdin pila bat erabiltzekotan, ezinezkoa denez denak gogoratzea, pasahitzak kudeatzeko programak erabili behar dira, eta horrek lan eta pauso gehiago suposatzen duenez, ez ditugu erabiltzen eta errazenera jotzen dugu.
Finean, pasahitzen sistema ez-segurua izatea ez da berezkoa duen zerbait, baizik eta zerbitzu-emaileen eta, bereziki, erabiltzaileon praktika txarretatik eratorritako zerbait.
Egia da guztiok jarraibideak zorrotz beteta ere pasahitzen sistema ez litzatekeela erabat segurua izango, erabateko segurtasuna ez baita existitzen. Pasahitza idazten dugunean zelatatu edo grabatu gaitzakete, gure ordenagailuan keylogger bat sartu ahal digute (pasahitzak lortzeko tekla-sakatzeak erregistratu eta norbaiti bidaltzen dizkion malware-a), phishing bidez (pasahitza sartzen dugun webgune baten itxura duten kopiak sortzean eta posta elektronikoak bidaliz hara joan eta pasahitza sartzeko engainatzean datzan teknika) edo bestelako ingeniaritza sozialeko teknikak baliatuz engaina gaitzakete…
Baina kontua da, autentifikaziorako pasahitzen metodoak ehuneko ehuneko segurtasuna eskaintzen ez badu ere, biometria hori baino metodo seguruagoa al da?
Ezaugarri biometrikoak, oso lapurgarriak
Gorago aipatu dugunez, pasahitzak zerbitzu-emaileengandik edo tresnetatik ebatsi daitezkeen arren, hash funtzioak eta gatza erabiltzen badira alferrik da, ezin baita hash-etik pasahitza atera. Aldiz, ezaugarri biometrikoen kasuan, nik dakidala, ezin da beraien hash-ik gorde: hash kriptografikozko funtzioen definizioak berak dio jatorrizko datuetan aldaketarik txikiena eginda ere hash erabat ezberdina eman behar duela; eta ezaugarri biometrikoen egiaztatzea ezin da egin, pasahitzekin ez bezala, erabateko berdintasuna eskatuz (aurpegiaren argazki bera ezin da eskatu, aldaketak daude beti argiztatzean, bizarrean edo mila gauzatan; ahotsa ere apur bat ezberdina da egun batetik bestera; hatz-marken argazkia ateratzen dugun bakoitzean ezberdina izango da, pixel batzuetan besterik ez bada ere; eta horrela guztiekin); hortaz, hash-arekin konparatzeak beti emango du negatibo ezaugarri biometrikoen kasuan. Horrek esan nahi du ezaugarri biometrikoa bera (aurpegiaren edo hatz-markaren edo irisaren argazkia, ahotsaren grabazioa…) edo horietatik erauzitako ezaugarrien multzo bat gordetzea derrigor egin behar dela hash-eatu gabe. Beraz, tresnara edo zerbitzu-emailearen datu-basera sarbidea lortuz gero, ezaugarri biometrikoak lapurtu daitezke.
Ezaugarri biometrikoak erabiltzaileari lapurtzeari buruz, iruditzen zait argi dagoela pasahitzak baino errazago lapurtu daitezkeela. Pasahitzak inon ez idazteko, inorekin ez partekatzeko eta sartzen ditugunean inor begira ez dagoela ziurtatzeko esaten digute. Ezaugarri biometriko bat ez dago agerian soilik autentifikatzeko momentuan, uneoro baizik. Eta nola egiten duzu aurpegia, begiak, ahotsa edo hatz-markak ezkutatzeko edo inorekin ez partekatzeko? Aurpegia estali, betaurreko ilunak eraman, hitz egin ez, eskularruak jarri? Beti? Argazki bat nahikoa da gure aurpegiaren edo irisaren irudia lortzeko, grabazio bat nahikoa ahotsa lortzeko, hatz-markak ehunka tokitan uzten ditugu egunero. Gainera, hatz-markak izan ezik, gutariko gehienon beste ezaugarriak Interneten edo sare sozialetan lor daitezke aski erraz.
Eta behin gure aurpegiaren edo begiaren edo hatz-markaren irudiak edo ahotsaren grabaketak edukita, horiek sistemetan autentifikatzeko baliatu ditzakete. Esango didazue hori ez dela horren erraza eta ez dagoela edonoren esku. Bada, hatz-marka baten irudia izanik horren –demagun– silikonazko eredu bat sortzea ez dakit oso zaila izango den baina konplexuegia ere ez dut uste izango denik. Aurpegiari dagokionez, telebistan eta sarean adibide gero eta gehiago ikusten ditugu mugitzen eta hitz egiten ari den pertsona bati beste baten aurpegia jartzen diotenak benetakotasun harrigarriz, teknologia hori posible den eta nahiko eskura dagoen seinale. Eta ahotsari dagokionez, norbaiten ahotsaren lagin txiki batekin ahots hori imitatuko duen ahots sintetizagailu bat egitea posible dela ziurtatu diezazueket (horretan lan egiten baitut eta guk egiten baitugu). Gainera, ziur egon autentifikazio biometrikoa zenbat eta hedatuago egon eta bankuko kontuetarako, posta elektronikorako, kotxeetarako, etxeetarako eta abarretarako sarbidea ezaugarri biometrikoekin bidez egitera pasatzen garen neurrian, orduan eta gehiago garatuko direla eta eskuragarriago egongo direla aipatutakoen moduko teknikak zirkulu kriminaletan.
Ez ditugu ezaugarri biometriko ezberdin nahikorik zerbitzu guztietarako
Pasahitzekin ematen den gomendio garrantzitsuenetako bat da ez erabiltzea pasahitz bera zerbitzu ezberdinetan. Honen arrazoia ondokoa da: hirugarrenek pasahitz hori eskuratzen badute, gure zerbitzu horietako baten ez baizik eta askotan sartzeko baliatu ahal izango dutela.
Bada, hori ezinezkoa da biometria-autentifikazioan. Hainbat sistemek aurpegia erabiltzen badute sarbidea emateko, bakarra daukagu, eta denetan berbera erabili beharko dugu. Ahotsarekin gauza bera, bat besterik ez dugunez, sarbide bera erabiltzea beste erremediorik ez dugu ahots bidezko autentifikazioa besterik eskaintzen ez duten tresna eta zerbitzu guztietan. Begiaren irisaren kasuan bi ditugu eta hatz-marken kasuan hamar (beno, hogei, behatzetakoak ere baliatuz gero ;-), baina arazoa bera da: gure ezaugarri biometrikoen kopurua mugatua da, eta toki askotarako sarbidea horien bidez ematen bada, ezinbestean errepikatu beharko dugu “giltza” bera toki ezberdin anitzetan. Beraz, lapurrek horietako bakarra lortuta, gure gauza askotarako sarbidea izango dute, eta ez dago hori inola ere ekiditerik.
Ezin ditugu lapurtutako ezaugarri biometrikoak aldatu
Azkenik, nire ustez eragozpenik potoloena dena. Pasahitzekin ematen zaigun beste gomendio bat da pasahitzak etengabe aldatzen ibiltzea, ebatsiz gero ere denbora batera lapurrek ezin balia dezaten. Hau beti betetzen ez badugu ere, erabiltzen dugun tresnaren batean pasahitzen lapurreta bat izan dela jakitean bai aldatzen ditugu, eta zer esanik ez lapurtutako pasahitz baten bidez gure zerbitzuren bat atzitu dutela jakiten badugu.
Horren parekoa dena ere beti egiten dugu mundu ez digitalean: etxeko giltzak galtzen ditugunero, badaezpada ere sarraila eta giltzak aldatzen ditugu; berdin, jakina, etxean lapurtzen badigute.
Ezaugarri biometrikoen kasuan, ordea, ezin dugu horrelakorik egin. Gure aurpegia baliatuta mugikorrean edo kotxean edo posta-kontuan sartzen badira, ezin dugu aurrerantzean aurpegi berri bat erabili. Zer egingo dugu ba, kirurgia estetikoa? Eta berdin ahotsarekin, hatz-markekin edo irisarekin, guztiak kontuan hartuta horietariko beste batera aldatzea badugu, baina beti mugatuta, lapurreta gutxi batzuen ondoren ez zaigu ezaugarri biometriko berririk geratuko erabilgarri, eta lapurtu digutela badakigun bera erabiltzen jarraitzea besterik ez dugu. Egingo al genuke hori gure etxeko giltzarekin?
Laburbilduz
Segurtasun-adituek beti gomendatzen dute zerbaitetarako sarbidea izateko kautotzea hiru faktore motatik gutxienez birekin egiaztatu beharko litzatekeela: dakigun zerbait (pasahitz bat, esate baterako), daukagun zerbait (adibidez giltza bat edo telefono mugikor bat) eta garen zerbait (gure ezaugarri biometrikoren bat). Eta kasu batzuetan horretarako joerak ematen ari diren bitartean, beste askotan biometria bidezko kautotze hutsezko sistemak ikusten dira gero eta gehiago.
Eta ene ustetan, goian argi utzi dudan bezala, autentifikazio biometrikoak arazo asko ditu zehaztasunaren, pribatutasunaren zein, batez ere, segurtasunaren ikuspegitik: ezaugarri biometrikoak lapurtzeko erraztasuna ez da pasahitzak lapurtzearena baino txikiagoa, ezaugarri biometrikoen kopurua mugatua da eta hainbat tresnatan berbera erabiltzea beste erremediorik ez dugu, eta lapurtzen digutenean ezin dugu beste bat erabili ez dugulako besterik. Azkenengoak soilik oso zalantzazkoa egiten du nire ustez sistemaren benetako baliagarritasuna, baita bi faktoretako autentifikazioko bitatik bat den kasuetan ere.
Orduan, zergatik ari da gertatzen autentifikazio biometrikorako aldaketa hori? Ez dakit esaten. Beharbada erabiltzaileek erosotasuna eskatzen dute, segurtasuna eta beste gauzak bost axola zaizkie, eta konpainiek eskatzen dugun hori ematen digute, bestelako kontsideraziorik gabe? Beharbada teknologia enpresek, beti gehiago saltzeko, etengabe gauza berriak sartu behar dituztela eta puntako teknologia darabiltela erakutsi nahi dutela, eta ez dute nahikoa hausnartu ondorioen inguruan edo berdin zaizkie? Beharbada biak dira zuzenak. Ez litzateke lehenengo aldia izango.
——————————————————————————————————————————-
Gehiago irakurtzeko: