8. Đánh giá lỗ hổng 1 Tổng quan
8.3.7. Đặc trưng sinhtrắc học đặc biệt 1 Tổng quan
8.3.7.1. Tổng quan
Các hệ thống sinh trắc học thường được thiết kế để cung cấp tối đa mức độ phân biệt giữa những đối tượng thu nạp khác nhau, đồng thời giảm thiểu mức độ khác biệt giữa các mẫu khác nhau thu thập được từ cùng một đối tượng thu nạp. Tuy nhiên đối với mỗi hệ thống có thể có các cá thể với các đặc trưng sinh trắc học đặc biệt nằm ngoài phạm vi thiết kế bình thường của hệ thống và do đó mang lại tỷ lệ lỗi cao hơn đáng kể so với bình thường.
Các đặc trưng sinh trắc học đặc biệt có thể dẫn đến lỗ hổng nếu chúng tạo ra kết quả các tỷ lệ lỗi cao hơn so với kết quả đo lường bằng kiểm thử hiệu suất thống kê thông thường của điều 7. Lưu ý rằng những đặc trưng sinh trắc học đặc biệt này không phải là kết quả của bất kỳ sự điều chỉnh có chủ ý các đặc trưng như mô tả trong 8.3.4.
Người sử dụng có các tỷ lệ lỗi cao hơn hoặc thấp hơn so với bình thường đối với một hệ thống sinh trắc học đôi khi được gọi là các “goat”, “lamb” hay “wolf”, tùy thuộc vào tỷ lệ lỗi bị ảnh hưởng và chiều hướng hiệu quả. Mặc dù các nhãn này được gắn với các đối tượng, điều quan trọng là nhận ra rằng hiệu quả là một hàm số của sự tương tác giữa người sử dụng và hệ thống. Người sử dụng được phân loại là “wolf” trong một hệ thống sinh trắc học có thể sẽ không là wolf trong hệ thống khác đang sử dụng phương thức tương tự nhưng được thực hiện với công nghệ khác.
8.3.7.2. Đánh giá
Lỗ hổng tiềm ẩn này có thể được điều tra bằng cách kiểm tra các kết quả của kiểm thử hiệu suất được mô tả trong điều 7 để xác định, đối với mỗi lỗi có liên quan đến an toàn, liệu có một số người dùng nào đó có các tỷ lệ lỗi lớn hơn đáng kể so với giá trị bình thường của toàn thể nhóm kiểm thử.
Nếu lỗ hổng này được phát hiện trong quá trình đánh giá thì lỗ hổng phải được báo cáo. Người triển khai và chủ sở hữu hệ thống tương lai sẽ cần phải xác định, như một phần của phân tích rủi ro hệ thống tổng thể, đến mức độ nào thì lỗ hổng có thể là một mối đe dọa thực tế. Cần xem xét tính khả thi cho đối tượng tấn công đạt được những kiến thức cần thiết về sự tồn tại của lỗ hổng và có thể khai thác nó.
Các quá trình kiểm toán hoạt động có thể là một biện pháp đối phó chống lại lỗ hổng này. Ví dụ kiểmtra cơ sở dữ liệu thu nạp ngoại tuyến để tìm ra lỗ hổng đối tượng thu nạp (những đối tượng thu nạp có sự trùng khớp gần với các đối tượng thu nạp khác mà có thể là mục tiêu mạo danh) hoặc kiểm tra trực tuyến sự trùng khớp gần (tức là trường hợp trùng khớp gần giữa các cá thể khác nhau để phân biệt với FRR cho cùng một cá thể). Điều này đặc biệt quan trọng trong trường hợp của các hệ thống định danh sinh trắc học không cần yêu cầu về danh tính.