The Register plukket forleden opp en sak fra New Scientist som er noen måneder gammel, men kanskje litt mer aktuell nå enn i vinter. Spørsmålet er hvor sikre fingeravtrykk egentlig er som identifikasjon. Tidligere var dette spørsmålet mest interessant for dem som var mistenkt eller dømt for straffbare forhold. Med biometrisk identifikasjon, enten i identifikasjonspapirer som pass eller brukt i alt fra betalingstjenester til grensekontroll, så er spørsmålet om hvor sikre fingeravtrykk er som identifikasjon blitt aktuelt for oss alle.
Det er opplest og vedtatt at alle mennesker har forskjellige mønstre på fingrene. Selv ikke eneggede tvillinger er helt like på det området. Dessverre er ikke et fingeravtrykk det samme som en finger, avtrykket er ikke alltid komplett og uskadd. Eksperter eller programvare som sammenligner avtrykk ser etter særskilte likhetstrekk i mønstre og et viktig spørsmål er hvor stor grad av sikker identifikasjon som knytter seg til et gitt antall sammenfallende trekk.
Nå går ikke artikkelen i New Scientist særlig i dybden, og jeg anefaler å lese kommentaren til Michael C. Dorf som ble publisert i FindLaw for et par år siden. Den inneholder henvisninger til noen av de aktuelle sakene.
Det er flere som har påpekt at det er en svakhet at det finnes få undersøkelser på dette området til tross for at fingeravtrykk har blitt brukt som bevis i rettssaker svært lenge. Når vi etter hvert tar i bruk en rekke forskjellige elektroniske skannere og ditto programvare for å sammenligne fingeravtrykk så minsker ikke behovet for god dokumentasjon med kjente feilrater.
Jeg har en liten fingeravtrykkskanner montert på en USB-plugg. Det punktet i dokumentasjonen jeg stusset litt over var at jeg skulle skanne fingeravtrykkene mine om igjen omtrent hvert halvår. Jeg lurer litt på hvorfor. Er det teknologi laget for en art med hyppig hamskifte eller stråling fra skanneren som forårsaker mutering?
Jeg får innrømme at jeg ikke er særlig bekymret, for sikkerhet basert på personlige fingeravtrykklesere har jeg ikke så stor tro på. Noe sier meg at det er nokså lett å glemme å tørke bort sitt eget fingeravtrykk etter bruk, og glemmer man dette blir sikkerheten avhengig at det ikke er mulig å lage en falsk finger.
Gode poeng, Håkon. Men jeg må si at det for meg virker som både bedre sikkerhet og mer lettvint å logge seg på PC-en og gud veit hva slags andre dingser, med fingeren fremfor én — eller hundre — forskjellige brukernavn, koder og passord.
Nå vil det vel sikkert i en lang tid bli slik at fingeravtrykket ikke erstatter andre sikkerhetsmekansimer, men kun blir lagt oppå for å sikre enda mer. Men fingeravtrykk er sikrere på den måten at man må være i nærheten av en skanner for å kunne mate inn et godkjent avtrykk.
Det blir vanskeligere å brute-force seg inn i et system 100 kilometer unna om man må avgi et godkjent fingeravtrykk, enn om man bare må gjette seg til et riktig passord. Begge deler er fortsatt mulig, men jeg tror at fingeravtrykk allikevel er hakket tryggere enn passord. Og ikke minst; det er så ulidelig mye enklere for brukerne å huske.
Joda, det er en vanlig oppfatning at fingeravtrykk er langt sikrere enn passord, og når erfaringen er at gjennomsnittsbrukeren slurver veldig med valg og fornyelse av passord så skal det kanskje ikke så mye til for at noe annet er bedre.
Det jeg peker på er at det er en viss mangel på vitenskapelig dokumentasjon av hvor god metode fingeravtrykk egentlig er. I tillegg er det nødvendig å se på hvordan de enkelte systemene bruker data fra fingeravtrykk. Hva er f.eks. konsekvensene for sikkerheten dersom systemet gir fra seg fingeravtrykkdata til uvedkommende?
Jeg skjønner og er enig i skepsisen og spørsmålene du stiller. Jeg lurer også på dette. Det virker som om fingeravtrykk bare sånn uten videre er avgjort og bestemt den beste autentiseringsmekanismen som finnes, og slike nokså grunnløse konklusjoner gjør at også jeg hever øyenbrynet noen millimeter.
Jeg tror DNA-profilering har mer for seg, men skjønner at det ligger ganske mange flere år frem i tid. Nå trenger man jo ikke nødvendigvis blodprøve for å avgjøre DNA lenger, men prosessen tar vel for lang tid enda til at man kan innføre det som en mekanisme til allment bruk.
Har du sett Gattaca forresten? (http://www.imdb.com/title/tt0119177/)
Ja, jeg har sett filmen Gattaca, og for den saks skyld har jeg også sett filmen Minority Report. Det som antagelig er viktigere er at jeg har også sett en del på fingeravtrykksanalyse i virkelige anvendelser.
Både når det gjelder fingeravtrykk og DNA, og for den saks skyld en del andre biometriske metoder, er det en vesentlig problemstilling at prøven, avtrykket eller hva det nå er som utgjør datagrunnlaget er tatt fra personen selv. I mange situasjoner er det også et relevant spørsmål om personen er i live og utfører en frivillig handling.
Teknologi og metoder som benyttes til identifikasjon bør settes under et særdeles kritisk lys ettersom identitetstyveri kan ha den meget uheldige egenskapen at offeret er skyldig til det motsatte er bevist. Dermed blir dette fort et spørsmål om rettssikkerhet.
Jepp. Det er vel ingen tvil, uansett, om at rettsapparatet som vanlig ikke er forberedt på slike teknologiske nyvinninger, så det kan hende at revolusjonen som trengs før dette kan ta skikkelig av er nettopp i lovverket, og ikke på skrivebordet eller i PC-en til Jon Bruker.
Sånn rent bortsett fra dette, synes jeg det er besnærende å tenke på å bare kunne trykke på en eller annen dings for å logge meg på diverse terminaler (PC-en, mobiltelefonen, kjøleskapet — you name it), samt kanskje for å betale på nettbanker og nettbutikker, ta ut penger i minibank, osv, osv.
Aller helst vil jeg ikke måtte ta ut penger i det hele tatt, men jeg tror at fantasiene jeg kaster ut av meg ovenfor er mer nærliggende enn et papirpengeløst samfunn.