Hvad er Biometri?

Biometri kan defineres som biologiske egenskaber, fysiologiske karakteristika, særlige træk eller gentagne handlinger, hvor karakteristika eller handlinger entydigt vedrører en specifik person og samtidig er målelige.

Biometri er dermed ikke noget nyt. Dog er biometri kommet til at spille en anderledes rolle, da biometri i dag typisk forbindes med enten semi- eller fuldautomatiske processer, hvor der anvendes digitale scannerenheder og computerprocessorer, som i løbet af en brøkdel af et sekund kan be- eller afkræfte en persons identitet.

Biometri bliver dermed primært forbundet med identifikation eller verifikation baseret på automatiske processer, men vil kan også forstås i en bredere forstand, hvor den primære funktion ikke er identifikation eller verifikation. Fx bliver registrering af personers fysiske eller psykiske tilstand ud fra adfærd eller fysiologiske faktorer også ofte omtalt som biometri.

Det er muligt at opdele de biometriske teknologier i to hovedkategorier – teknologier baseret på henholdsvis fysiologiske karakteristika og adfærd.

Eksempler på teknologier, der er baseret på fysiologiske karakteristika: Fingeraftryksgenkendelse, ansigtsgenkendelse, hånd-scanning, iris-genkendelse, retina-scanning, venescanning, øreforms-analyse, hjernebølge-analyse, lugt-analyse og DNA-analyse.

Teknologier baseret på adfærd: Signatur-analyse, tastedynamik, stemme-analyse og gang-analyse (se evt. fodnote 1)

Verifikation eller identifikation?
Man skelner typisk mellem verifikation og identifikation. Verifikation er karakteriseret ved, at ens data kun bliver matchet med én bestemt profil. Et konkret eksempel på verifikation kunne fx være biometrisk adgangskontrol på en arbejdsplads, hvor man først kører sit Id-kort igennem en kortlæser. Systemet vil herefter hente de informationer, som er tilknyttet det specifikke Id-kort i en database, og derefter matche disse data med de data, som kræves for at få adgang med det specifikke kort. På denne måde bliver det fingeraftryk, man afgiver, kun forsøgt matchet med det ene fingeraftryk som indehaveren af ID-kortet tidligere har registreret. I fagsprog omtales verifikation også som 1:1 (én til én), da man kun sammenligner de præsenterede data med data fra én bestemt lagret profil.

Når man taler om identifikation, kan der derimod være tale om, at ens afgivne biometriske data bliver sammenlignet med et stort antal lagrede data. Hvis vi igen anvender adgangskontrol med fingeraftryk som eksempel, vil man for at få adgang blot skulle scanne sin finger (se evt. fodnote 2). De data, der genereres af det aflæste fingeraftryk, sammenlignes herefter med en mængde lagrede data. Dette kan forgå på to forskellige måder. Enten ved, at et positivt match giver adgang eller ved, at det er et negativt match, der giver adgang. Er målet med det biometriske system fx at identificere nogle få uønskede personer med henblik på at nægte dem adgang, vil det være mest hensigtsmæssigt at operere med en negativ match-liste, hvor kun de personer, hvis data ikke findes i databasen, tildeles adgang. En positiv match-liste vil modsat være mest hensigtsmæssig i en situation, hvor der er en stor gruppe, som ikke bør tildeles adgang, mens der er en relativt lille gruppe, der bør tildeles adgang. Om et biometrisk system opererer på den ene eller anden måde er vigtigt, da det kan have stor betydning for, hvor mange personers data, der skal registreres i den pågældende database.

Identifikation bliver også kaldt for 1:N (én til mange), da man netop kan sammenligne én profil med mange registrerede profiler (se evt. fodnote 3).

Hvad er en template?
Når et biometrisk system skal be- eller afkræfte en persons identitet, sammenligner systemet ikke hele biometriske data, men derimod såkaldte templates baseret på biometriske data. Templates er små filer (typisk mindre end 1 kilobyte) skabt på baggrund af specifikke karakteristika ved den enkelte brugers biometriske data. En template kan dermed siges at være et koncentrat af en persons karakteristika, som dog stadig er unikt for den pågældende person.

På grund af filernes relativt lille størrelse kan selve matchningen af templates foregå i et meget højt tempo. En anden fordel, der opnås ved at lagre templates som små filer er, at de desuden kan lagres på et smart card (se evt. fodnote 4).

Der er ikke ét fælles format for templates baseret på baggrund af biometriske data. Det betyder i praksis, at en template skabt af et biometrisk system fra producent A ikke nødvendigvis kan bruges af producent B eller omvendt. Komplette biometriske data, som fx et helt fingeraftryk og eller vellignende billeder fra en ansigtsscanning, kan ikke genskabes på baggrund af biometriske templates, da der netop er tale om filer skabt på baggrund af specifikt udvalgte karakteristika. På samme måde som hvis man udvalgte det tiende, tyvende, tredivte etc. bogstav på denne side, ville det være muligt at skelne denne side fra andre sider med skrevet tekst uden, at det dog ville være muligt at genskabe hele siden ud fra de registrerede bogstaver. Her er det dog vigtigt at påpege, at et biometrisk system netop kun vil fokusere på de dele, som kan rekonstrueres, og at man derfor i princippet godt ville kunne snyde sig til uberettiget adgang ud fra en kunstig finger, der fx kun indeholdt de 10 afgørende karakteristika.

Unikke templates bliver genereret hver eneste gang en bruger præsenterer biometriske data. Dette betyder, at to fingeraftryksscanninger taget fra den samme finger blot sekunder efter hinanden ikke vil være identiske. Rent teoretisk kunne den samme bruger placere sin finger i årevis uden at generere den samme template. Grunden hertil er, at selv minimale forskelle i position og tryk vil afføde små forskellige i den algoritme, som den enkelte template dannes på baggrund af.

En måde at kryptere de biometriske templates, så de bliver umulige (se evt. fodnote 5) at rekonstruere, er ved at konvertere de biometriske templates til såkaldte hash-værdier. Dette kan gøres via en såkaldt hash-funktion, der er en envejsfunktion, som er kendetegnet ved, at man kan gå fra en talværdi til en anden og kortere talværdi, uden der er mulighed for at komme tilbage igen. Som tidligere nævnt er det næsten umuligt at generere to ens templates, så hvis der skal anvendes en hash-funktion til krypteringen af biometriske templates, skal værdierne fra de templates, der ligger inden for de acceptable grænseværdier først konverteres til én og samme talkode.

Biometrisk matchning:
For at forstå hvorledes de biometriske systemer afgør om et match er gyldig eller ej, er der en række fagudtryk som kan være gode at kende til. De vigtigste er: False match rate (FMR), false non-match rate (FNMR) og failure to enroll (FTE).

FMR (se evt. fodnote 6) angiver sandsynligheden for, at en brugers template fejlagtigt bliver vurderet som værende en anden persons template. I praksis vil et sådant falskt match kunne give en uberettiget person adgang til en facilitet, som vedkommende ikke burde have adgang til – eller omvendt nægte en berettiget person adgang. Grunden til, at falske match finder sted er, at nogle personer vil have tilstrækkeligt ens biometriske karakteristika, og at der deraf vil opstå en høj korrelation mellem de to personers templates. Det biometriske system vil derfor opfatte de to forskellige personer som værende én og samme person.

FNMR (se evt. fodnote 7) angiver sandsynligheden for, at en brugers template fejlagtigt bliver vurderet til ikke at matche personens tidligere registrerede template. FNMR finder sted fordi, der ikke er tilstrækkelig stærk korrelation mellem den tidligere registrerede template og den aktuelt præsenterede template. Der kan være en række forskellige grunde til dette. Fx kan der være sket ændringer i brugerens biometriske data, der kan være afvigelser i forhold til, hvorledes de biometriske data er blevet præsenteret, eller der kan være sket ændringer i det miljø, hvor de biometriske data er blevet præsenteret.

FMR og FNMR skal altid betragtes i fællesskab, da de er gensidigt afhængige på den måde, at hvis FMR reduceres, øges FNMR – og omvendt.

FTE er et mål for, hvor ofte det er umuligt for en person at lade sig registrere i et biometrisk system. Failure to enroll er både afhængig af de bagvedliggende algoritmer og det biometriske systems kvalitet, men er også betinget af det omgivende miljø. De biometriske systemers FTE er dermed en størrelse, som er svær at sammenligne, men er alligevel noget man bør være opmærksom på, hvis man overvejer at opstille et biometrisk system.

Potentielle fordele ved anvendelsen af biometriske teknologier
Det mest benyttede metoder til autentifikation er i dag passwords og PIN-koder. De biometriske teknologier har dog en række fordele.

Bekvemmelighed
En af hovedbegrundelserne for at benytte biometriske teknologier er bekvemmelighed – ofte kaldet ”convenience”. Koder og passwords kan være vanskelige at huske, og biometriske løsninger vil derfor ofte være en mere bekvemt måde at få adgang til beskyttede data. Det vil især være tilfældet i systemer, hvor der ikke blot kræves én, men derimod en hel række forskellige passwords, før man får adgang til de ønskede applikationer eller data. Problemet med glemte passwords til sikre systemer er i nogle virksomheder så stort et problem, at det direkte kan mærkes på bundlinjen. Med indførelsen af biometriske systemer vil log-in-situationer i mange tilfælde kunne gøres mere bekvemte og effektive. Dette vil især være tilfældet i situationer, hvor det ikke er nødvendigt at anvende password eller PIN-koder, men hvor et biometrisk bruger-ID vil være tilstrækkeligt.

Øget sikkerhed
Biometri kan desuden anvendes med henblik på at opnå større sikkerhed. Det er dog vigtigt at huske, at de biometriske karakteristika ofte er nogle, som personen bærer til offentligt skue og dermed relativt nemt aflæses. Kritikere vil derfor hævde, at det er nemmere at stjæle en persons fingeraftryk eller DNA end det er at stjæle vedkommendes brugerkort eller nøgle. Desuden er det, som det fx bliver demonstreret i tv-programmet ”MythBusters” på Discovery Channel, muligt at snyde (”spoofe”) alle biometrsike systemer (se evt. fodnote 8).

På trods af dette kan anvendelsen af biometri i kombination med enten smart cards , PINs eller passwords være med til at forøge sikkerhedsniveauet.

Øget kontrol
Endelig kan biometriske teknologier sikre større kontrol med hvem, der gør hvad. I det hele taget kan visse biometriske systemer gøre det nødvendigt at følge en række “spilleregler”, som ellers bliver brudt. Fx vil man i et supermarked med biometri i stedet for nøglesystemer kunne sikre, at den betroede medarbejder ikke uberettiget låner sin nøgle ud til kasseekspedienter, som skal rulle transaktioner baglæns – biometrien er med til at sikre, at den rigtige person rent faktisk er til stede i situationen. Ligeledes vil det på en arbejdsplads med biometrisk tidsregistrering blive umuligt at tjekke ind for ens kollega, hvis vedkommende fx vil til lægen med en syg ægtefælde. På denne måde kan biometriske systemer være med til at sikre, at folk ”spiller efter reglerne”.

I udlandet bruges biometriske teknologier desuden af bl.a. FN til at sikre en retfærdig fordeling af nødhjælp. Biometri vil på lignende vis fx kunne være med til at forhindre svindel med sociale ydelser i Danmark. Øget kontrol kan altså både ses som noget positivt og negativt.

Fodnoter
1 Distinktionen mellem biometriske teknologier baseret på enten fysiologiske eller adfærdsmæssige er i virkeligheden ikke helt korrekt, da der fx i forbindelse med en fingeraftryksscanning også registreres rent adfærdsmæssige forhold, som fx måden fingeren bliver placeret på for at forhindre spoofing.

2 Biometrisk identifikation kan evt. kombineres med efterfølgende indtastning af PIN eller password, hvis der ønskes et højere sikkerhedsniveau.

3 I princippet kan der sagtens kun være én registreret profil i et biometrisk system baseret på identifikation. Dette ville fx være tilfældet i et biometrisk overvågningssystem, hvor man kun eftersøger én bestemt person.

4 Et plastikkort, der indeholder en computerchip.

5At det engang i fremtiden vil blive muligt at rekonstruere dele af de biometriske karakteristika på baggrund af hash-værdier er dog ikke utænkeligt.

6 FMR bliver også ofte omtalt som false acceptance rate (FAR). Termen antyder dermed det forhold, at et succesfuldt match fejlagtigt medfører, at en ikke-berettiget person bliver accepteret og dermed tildelt adgang til en facilitet eller applikation. Vi vil i det følgende kun anvende termen FMR, da der netop også kan være tale om, at en registreret bruger fejlagtigt bliver låst ude eller nægtet adgang. Dette kunne fx ske, hvis en bruger skulle bevise, at vedkommende ikke tidligere havde fået en bestemt ydelse, men det biometriske system alligevel forveksler personen med en tidligere registreret bruger.

7 Hvor ofte et biometrisk system kommer med et forkert match-resultat, der afviser en person, som burde være accepteret kaldes også for false rejection rate (FRR). Der kan dog også være tale om, systemet ikke accepterer en person, som burde være accepteret.

8 Teknologierne bliver hele tiden forbedret. Dog bliver bliver de personer, som ønsker at omgå de biometriske systemer samtidig dygtigere og dygtigere.