(eigentlich: anthropometrische Authentisierung)
Ziel: Ablösung der PIN oder des Passworts, um die bekannten Probleme zu vermeiden.
Seit 11. September 2001 politischer Druck: Personalausweise mit biometrischen Merkmalen einführen.
(Computer-Zeitung Ende 1998 (!))
Einer der vielen Durchbrüche im Gebiet der IT-Sicherheit, die bisher nicht stattgefunden haben.
Merkmal: | Hardware: | spezielle Probleme: |
---|---|---|
Fingerabdruck | Sensor | Verschmutzung, Verletzung |
Struktur der Iris | Kamera | Kontaktlinsen |
Gesicht | Kamera | Feldversuch in Florida abgebrochen |
Mimik (z. B. Lippenbewegung) | Kamera | Software aufwendig |
Stimme | Mikrofon | Heiserkeit, Hintergrundgeräusche |
Handgeometrie | Scanner | Platzbedarf |
Unterschriftsdynamik | Spezielle Unterlage | Platzbedarf |
Tipprhythmus | Tastatur | Viel Text nötig (1 Zeile) |
DNA | (Spucknapf? :-) | Datenschutz (EU-Richtlinie genetische Daten) |
... sind als Qualitätsmaße aus einer kontrollierten Studie statistisch schätzbar.
Aus einer konkreten Beobachtungsreihe entsteht eine Vierfeldertafel:
akzeptiert | abgewiesen | |
---|---|---|
berechtigt | a | b |
unberechtigt | c | d |
Dabei ist also
a+b | = Anzahl der Berechtigten |
c+d | = Anzahl der Unberechtigten |
a+c | = Anzahl der Akzeptierten |
b+d | = Anzahl der Abgewiesenen |
n = a+b+c+d | = Gesamtzahl der Vorgänge |
Die Sensitivität wird geschätzt durch a/(a+b), das ist die Akzeptanzrate für Berechtigte.
Die Spezifität wird geschätzt durch d/(c+d), das ist die Abweisungsrate für Unberechtigte.
Bei einem guten Verfahren sind beide Werte hoch.
Durch Festlegung des Grenzwertes (für ein Übereinstimmungsmaß) kann man Sensitivität und Spezifität gegenläufig beeinflussen:
Grenzwert niedrig | hoch --------------------|--------------------> | Übereinstimmung
Senkung des Grenzwerts erhöht die Sensitivität und senkt die Spezifität.
Erhöhung des Grenzwerts erhöht die Spezifität und senkt die Sensitivität.
(Analog werden in einem mehrdimensionalen Merkmalsraum Akzeptanz- und Abweisungsbereiche festgelegt.)
Typische Werte:
Die Fehlalarmrate (Abweisungsrate für Berechtigte) ist der Anteil der Berechtigten unter den Abgewiesenen: b/(b+d).
Sie kann sehr hoch sein, wenn der Anteil der Berechtigten hoch, d. h. die Anzahl der unbefugten Akzeptanzgesuche gering ist - auch bei guten Verfahren. (Das ist ein sehr praxisrelevantes Szenario!)
Ein Zahlenbeispiel mit Sensitivität 99% und Spezifität 98% und 100 unberechtigten Zugangsversuchen unter insgesamt 100000:
akzeptiert | abgewiesen | |
---|---|---|
berechtigt | 98900 | 1000 |
unberechtigt | 2 | 98 |
Die Fehlalarmrate ist 1000/1098 » 91%. D. h., 91% der Abgewiesenen wurden zu Unrecht abgewiesen.
Wer den Film »Wie klaut man eine Million« gesehen hat, weiß, was passiert, wenn Wächter durch ständige Fehlalarme genervt werden. Genau das ist in Florida passiert, wo die öffentliche Überwachung mit Gesichtserkennung wieder abgeschaltet wurde.
Der gegenwärtige »Biometrie-Hype« basiert auf der Verwechslung von Identifikation mit Authentisierung.
Übungsaufgabe: Wie sind in diesem Zusammenhang biometrische Merkmale in Personalausweisen zu beurteilen?
Biometrie ist kein Ersatz für Kryptographie.
Biometrische Merkmale sind geeignet in Situationen, wo der Weg vom Sensor zum Verifikator vertrauenswürdig ist. Damit scheidet jedes Datenbank-basierte Verfahren aus.
Beispiele:
Gegenbeispiele:
Quelle: Positionspapier zum Antiterrorgesetz der Bundesregierung, erhältlich online beim Unabhängigen Landeszentrum für den Datenschutz Schleswig-Holstein, www.datenschutzzentrum.de.