Biometri är biologiska mätningar – eller fysiska egenskaper – som kan användas för att identifiera individer. Fingeravtrycksläsning, ansiktsigenkänning och näthinneskanning är olika former av biometrisk teknik, men det är bara de mest kända alternativen.
Forskare säger att formen på ett öra, hur någon sitter och går, unika kroppslukter, blodådrorna på handen och till och med grimaser kan vara unika identifieringstecken.
Eftersom fysiska egenskaper är relativt fasta och individualiserade – även hos tvillingar – används de för att ersätta eller åtminstone förstärka lösenord till datorer, telefoner och begränsad åtkomst till rum och byggnader.
Avancerad biometri används också för att skydda känsliga dokument. Citibank använder röstigenkänning och den brittiska banken Halifax testar enheter som övervakar hjärtslag för att verifiera kunders identitet. Ford överväger även att sätta in biometriska sensorer i bilar.
Biometri ingår i e-pass över hela världen. I USA har e-pass ett chip som innehåller ett digitalt foto av ansiktet, fingeravtryck eller iris, samt teknik som förhindrar att chipet läses – och data stjäls – av otillåtna dataläsare.
Biometrikskannrar blir alltmer sofistikerade. Tekniken för ansiktsigenkänning på Apples iPhone X projicerar 30 000 infraröda prickar på användarens ansikte för att verifiera användaren genom mönstermatchning. Enligt Apple är risken att förväxla identiteten en på miljonen.
Den nya smarta telefonen LG V30 kombinerar ansikts- och röstigenkänning med fingeravtrycksläsare och behåller dessa data på telefonen för ökad säkerhet. Sensortillverkaren CrucialTec länkar en pulssensor till sin fingeravtrycksläsare för tvåstegsverifiering. Detta gör att klonade fingeravtryck inte kan användas för att komma åt deras system.
Utmaningen är att biometriska skannrar, inklusive ansiktsigenkänning, kan bli lurade. Forskare vid University of North Carolina i Chapel Hill hämtade foton av 20 frivilliga från sociala medier och använde dem för att konstruera 3D-modeller av deras ansikten. Forskarna lyckades knäcka fyra av de fem säkerhetssystem de testade.
Exempel på fingeravtryckskloning finns överallt. Ett exempel från cybersäkerhetskonferensen Black Hat visade att ett fingeravtryck kan klonas pålitligt på ungefär 40 minuter med material för 100 kronor, genom att helt enkelt göra ett avtryck av fingeravtrycket i formplast eller vax.
Tysklands Chaos Computer Club lurade iPhones fingeravtrycksläsare TouchID inom två dagar efter lanseringen. Gruppen fotograferade helt enkelt ett fingeravtryck på en glasyta och använde det för att låsa upp iPhone 5s.
Obehörig åtkomst blir svårare när systemen kräver flera verifieringssätt, som livsspårning (t.ex. blinkningar) och matchande kodade prover för användare i krypterade domäner. Vissa säkerhetssystem tar även med extra särdrag, såsom ålder, kön och längd, i sina biometriska data för att stoppa hackare.
Indiens program från India Aadhaars myndighet för unika ID är ett bra exempel. Programmet för flerstegsverifiering inleddes 2009 och omfattar irisavläsning, fingeravtryck från samtliga tio fingrar och ansiktsigenkänning. Informationen är kopplad till ett unikt id-kort som utfärdas till var och en av Indiens 1,2 miljarder invånare. Snart kommer det här kortet att vara obligatoriskt för alla som ansluter till sociala tjänster i Indien.
Biometrisk verifiering är praktiskt, men sekretessförespråkare fruktar att biometrisk säkerhet urholkar den personliga integriteten. Faran är att personuppgifter enkelt kan samlas in utan medgivande.
Ansiktsigenkänning är en del av vardagen i kinesiska städer, där det används för rutinmässiga inköp, och London är översållat med övervakningskameror.New York, Chicago, och Moskva kopplar nu upp övervakningskameror i sina respektive städer till databaser för ansiktsigenkänning, för att hjälpa polisen att bekämpa brott. Carnegie Mellon University trimmar tekniken och utvecklar en kamera som kan skanna iris hos människor i folksamlingar på tio meters håll.
Under 2018 kommer ansiktsigenkänning att införas på Dubais flygplats, där resenärer kommer att fotograferas med 80 kameror när de passerar genom en tunnel i ett virtuellt akvarium.
Kameror för ansiktsigenkänning är redan i bruk på andra flygplatser över hela världen, bland annat i Helsingfors, Amsterdam, Minneapolis-St. Paul och Tampa. Alla data måste lagras någonstans, vilket spär på fruktan för konstant övervakning och missbruk av data.
Ett mer omedelbart problem är att databaser med personlig information är mål för hackare. När USA: smyndighet för personalhantering hackades år 2015 kom cyberbrottslingar undan med fingeravtryck från 5,6 miljoner offentliganställda och gjorde dem till mål för identitetsstöld.
Lagring av biometriska data på en enhet – som iPhones TouchID eller Face ID – anses vara säkrare än att förvara det hos en tjänsteleverantör, även när sådana data krypteras.
Risken liknar den för en lösenordsdatabas där hackare kan bryta sig in i systemet och stjäla data som inte skyddas effektivt. Men följderna är väldigt annorlunda. Om ett lösenord avslöjas kan det ändras. Biometriska data i avtal förblir desamma för evigt.
Riskerna är påtagliga, men biometrisk teknik erbjuder ändå väldigt övertygande säkerhetslösningar, eftersom systemen är praktiska och svåra att kopiera. De är en bra ersättning för användarnamn som en del av en tvåfaktorsstrategi för verifiering, som omfattar något du är (biometri), något du har (t.ex. ett maskinvarukort) eller något du kan (t.ex. ett lösenord). Det är en kraftfull kombination, särskilt när IoT-enheter blir allt vanligare.