Advarer: Biometrisk datasikkerhed er kæmpe sikkerhedstrussel

Steen Jørgensen

Biometrisk datasikkerhed er kæmpe sikkerhedstrussel, advarer IT-sikkerhedsfirma. Bliver biometrisk data stjålet er man på spanden - almindelige koder er langt bedre.

Advarer: Biometrisk datasikkerhed er kæmpe sikkerhedstrussel

Biometrisk data, som fingeraftryk, stemme, ansigt eller iris, bruges i stigende grad til at få adgang til computere og telefoner, og erstatter de gammeldags nummer-tegn-bogstavsadgangskoder. It-sikkerhedsforskere fra Kaspersky har fundet, at 37 procent computer og server, der bruges til at opbevare biometrisk data, er inficeret med malware. Dét udgør en alvorlig sikkerhedsrisiko, advares der mod.

 

Biometrisk datasikkerhed er i kritisk situation

Kasperskys it-sikkerhedsforskere har analyseret malware på de computere og servere, som de dagligt beskytter. Her blev et betydeligt antal konventionelle malware-programmer blokeret, bl.a. moderne
fjernadgangs-trojanere, malware til phishing-angreb, ransomware og trojan bankers.

Det bliver mere og mere normalt, at skifte de traditionelle godkendelsesmetoder, som login og adgangskoder, ud med biometrisk data. Biometri-baseret autentificering bruges også til at få adgang til
kontorer og bygninger, til industrielle it-systemer, til både personlige og arbejdscomputere og mobiltelefoner. Som med mange andre teknologier, der har udviklet sig hurtigt, har biometriske
autentificeringssystemer vist sig at have betydelige ulemper. De største mangler skyldes manglende it-sikkerhed.

”Den nuværende situation med biometrisk datasikkerhed er kritisk og skal bringes til offentlighedens kendskab. Selvom vi mener, at vores kunder er forsigtige, er vi nødt til at
understrege, at de mange sikkerhedstrusler, som vi har opdaget og forhindret, kunne have fået alvorlige konsekvenser. Særligt udsatte er databaser, hvor biometrisk data gemmes,” siger Kirill Kruglov, senior
sikkerhedsekspert fra Kaspersky ICS CERT.

Se også: Disse wifi routere er farlige

 

En adgangskode kan ændres – det kan biometrisk data ikke

Er ens adgangskode blevet stjålet, så kan man gå ind og ændre den til en anden og dermed beskytte sin enhed. Men er ens biometriske data først stjålet, så er der ingen vej tilbage. I dag er vores kroppe blevet nøglen til digital autentificering og vi erstatter udskiftelige adgangskoder med noget, vi ikke kan ændre på; vores fingeraftryk, vores unikke stemme, ansigt eller iris. Med de mange tjenester, der bliver digitale og automatiserede, bliver vores unikke biometriske data et vigtigt element til at låse disse tjenester op. I dag bruger mange allerede sit fingeraftryk eller ansigt til at låse telefonen op, til at foretage betalinger eller endda få adgang til sit hjem eller kontor og det er det helt store problem, advarer Kruglov mod.

“Vores biometriske data er unik – der er kun én person i verden med dette specifikke fingeraftryk, ansigtstræk eller iris, og en så udbredt anvendelse af biometrisk data betyder, at de gemmes adskillige steder under forskellige forhold. Hvis biometriske data kompromitteres, det være sig et fingeraftryk, ansigt eller iris – og de går tabt, så er de tabt for evigt og kan ikke nulstilles, i modsætning til kompromitterede adgangskoder, der kan skiftes,” siger Kirill Kruglov.

Se også: Huawei: Vi bør have fælles sikkerhedsstandarder

 

5,6 millioner fingeraftryk lækket

Problemet er ikke bare teoretisk, forklarer Kruglov.  I 2015 fik Office of Personnel Management (OPM) i USA lækket 5,6 millioner fingeraftryk. For ikke så længe siden blev over 1 million menneskers fingeraftryk
fundet i en offentligt tilgængelig database, der blev brugt af det britiske politi, forsvarets entreprenører og banker.

Det er også flere eksempler på, at fingeraftryk kan stjæles ved hjælp af digitale kameraer og andre almindeligt tilgængelige metoder.

Se også: Nyheder om cybersikkerhed