Biometria

Metoda uwierzytelniania oparta na unikalnych cechach fizycznych, takich jak odcisk palca, twarz czy tęczówka oka, zamiast tradycyjnego hasła.

Biometria to metoda potwierdzania tożsamości oparta na tym, kim jesteś, a nie na tym, co wiesz (hasło) albo co masz (token, karta). Zamiast wpisywać ciąg znaków, dajesz systemowi do analizy unikalną cechę swojego ciała: odcisk palca, geometrię twarzy, układ naczyń krwionośnych, tęczówkę oka albo brzmienie głosu. To są cechy fizjologiczne. Jest też druga rodzina — biometria behawioralna — czyli to, jak coś robisz: rytm pisania na klawiaturze, sposób trzymania telefonu czy ruch myszką.

Jak to działa

System nie przechowuje zdjęcia twojego palca ani twarzy. Podczas rejestracji (enrollment) czujnik skanuje cechę, a algorytm wyciąga z niej charakterystyczne punkty i zamienia je na matematyczny template (szablon) — zwykle nieodwracalny wektor liczb. Przy logowaniu cały proces powtarza się i nowy odczyt porównywany jest z zapisanym szablonem. Kluczowe: biometria nie działa zero-jedynkowo jak hasło. System liczy stopień podobieństwa i sprawdza, czy przekracza ustalony próg. Stąd dwa parametry, które musisz znać: FAR (False Acceptance Rate — jak często wpuści obcego) i FRR (False Rejection Rate — jak często odbije właściciela). Im ostrzejszy próg, tym bezpieczniej, ale i częściej będziesz przykładać palec trzy razy.

Przykład z praktyki

Na iPhonie i Macu odblokowanie twarzą czy palcem realizuje Secure Enclave — odizolowany koprocesor, do którego nawet system operacyjny nie ma bezpośredniego dostępu. Szablon nie opuszcza urządzenia i nie trafia do chmury. W aplikacjach webowych biometrię spina się dziś przez standard WebAuthn / FIDO2: palec czy twarz odblokowują lokalnie klucz kryptograficzny (passkey), a do serwera leci tylko podpisany challenge. Na Androidzie z linii poleceń podejrzysz zapisane odciski tak:

adb shell dumpsys fingerprint

Częste błędy i mity

Mit numer jeden: „biometria jest nie do podrobienia”. Odcisk da się odtworzyć z fotografii w wysokiej rozdzielczości, a Face ID bez detekcji żywotności (liveness detection) potrafi nabrać się na zdjęcie. Dlatego dobre systemy sprawdzają, czy mają przed sobą żywą osobę, a nie wydruk.

Drugi błąd to traktowanie biometrii jak hasła. Hasło, które wyciekło, zmieniasz w minutę. Twarzy ani odcisku nie zmienisz — masz ich skończoną pulę. Dlatego biometria to jeden składnik uwierzytelniania, najlepiej w połączeniu z drugim (PIN, token), a nie cała ochrona. I pamiętaj o RODO: dane biometryczne to dane szczególnej kategorii, więc zbieranie ich „bo wygodnie” potrafi się skończyć rozmową z prawnikiem.

Pojęcia powiązane: uwierzytelnianie wieloskładnikowe (MFA), WebAuthn/FIDO2, passkey, Secure Enclave, liveness detection, FAR/FRR, RODO.