Biometric Security: ফিঙ্গারপ্রিন্ট এবং ফেস আনলক সিস্টেম কতটা সাইবার-প্রুফ?

Biometric Authentication হলো একজন ব্যক্তির শারীরিক বা আচরণগত বৈশিষ্ট্যের ভিত্তিতে তার পরিচয় যাচাই করার পদ্ধতি। শারীরিক বৈশিষ্ট্যের মধ্যে রয়েছে Fingerprint, Face Geometry, Iris Pattern, Retina Pattern, Voice, Hand Geometry, এমনকি DNA। আচরণগত বৈশিষ্ট্যের মধ্যে রয়েছে Typing Pattern, Mouse Movement, Gait বা হাঁটার ধরন, এবং Signature Dynamics।

প্রতিটি Biometric System-এ দুটি প্রধান Phase থাকে— Enrollment এবং Verification। Enrollment-এ User-এর Biometric Sample সংগ্রহ করে একটি Template তৈরি হয় যা Database-এ সংরক্ষিত থাকে। Verification-এর সময় নতুন Sample নিয়ে এটি Template-এর সাথে তুলনা করা হয়।

গুরুত্বপূর্ণ বিষয় হলো Biometric Template কখনো Raw Image হিসেবে সংরক্ষিত হওয়া উচিত নয়। বরং Mathematical Feature Vector হিসেবে সংরক্ষিত হয় যা থেকে মূল Image পুনর্গঠন করা কঠিন। তবে সাম্প্রতিক গবেষণায় দেখা গেছে কিছু পুরোনো System-এর Template থেকে Approximate Image পুনর্গঠন সম্ভব।

Biometric System-এর দুটি গুরুত্বপূর্ণ Metric— False Acceptance Rate বা FAR এবং False Rejection Rate বা FRR। FAR হলো ভুল ব্যক্তিকে সঠিক হিসেবে গ্রহণ করার সম্ভাবনা, FRR হলো সঠিক ব্যক্তিকে ভুল হিসেবে প্রত্যাখ্যান করার সম্ভাবনা। Apple Face ID-র FAR ১:১,০০০,০০০, Touch ID-র ১:৫০,০০০। এই দুটির ভারসাম্য বিভিন্ন ব্যবহারের প্রসঙ্গে আলাদা হতে পারে।

Fingerprint হলো সবচেয়ে পুরোনো এবং বহুল ব্যবহৃত Biometric। তিন ধরনের Sensor প্রচলিত— Optical, Capacitive, এবং Ultrasonic। Optical Sensor আঙুলের ছবি তোলে আলোর সাহায্যে। Capacitive Sensor আঙুলের Ridge এবং Valley-র মধ্যে Electrical Capacitance-এর পার্থক্য মাপে। Ultrasonic Sensor শব্দ তরঙ্গ ব্যবহার করে ত্বকের নিচের স্তরের 3D Map তৈরি করে।

Fingerprint আক্রমণের সবচেয়ে পরিচিত পদ্ধতি হলো Spoofing বা Fake Finger তৈরি। Chaos Computer Club ২০১৩ সালে iPhone 5s-এর Touch ID Bypass করেছিল মাত্র ৪৮ ঘণ্টার মধ্যে। একটি High-Resolution Camera দিয়ে আঙুলের ছাপের ছবি তুলে, Photoshop-এ Enhance করে, একটি Laser Printer-এ Transparency Sheet-এ Print করে, তারপর Wood Glue বা Latex দিয়ে Fake Finger তৈরি করা সম্ভব।

Ultrasonic Sensor অনেক বেশি নিরাপদ কারণ এটি ত্বকের নিচের স্তরের তথ্য নেয়, কিন্তু এটিও Bypass করা গেছে। ২০২২ সালে গবেষকরা MasterPrint Concept উপস্থাপন করেছেন— Machine Learning দিয়ে তৈরি একটি Synthetic Fingerprint যা অনেক ব্যক্তির Print-এর সাথে Match করে। DeepMasterPrint Research Paper-এ দেখা গেছে এটি Commercial System-এর প্রায় ২৩% Account-এ কাজ করেছিল।

আরেকটি বিপজ্জনক আক্রমণ হলো Latent Fingerprint Lifting— মানুষ যেখানেই স্পর্শ করে সেখানে আঙুলের ছাপ রেখে যায়। ছাপ Lift করে তা থেকে Spoofing Material তৈরি সম্ভব। জার্মান প্রতিরক্ষা মন্ত্রী Ursula von der Leyen-এর Fingerprint একটি Press Conference-এর Photo থেকে Recreate করা হয়েছিল।

Facial Recognition-এ মুখের Geometric Feature বিশ্লেষণ করা হয়— চোখের মধ্যকার দূরত্ব, নাকের আকার, চোয়ালের গঠন। 2D Face Recognition-এ সাধারণ Photo দিয়ে আক্রমণ সম্ভব ছিল। তাই Apple Face ID এবং Microsoft Windows Hello-তে 3D Structured Light Sensor ব্যবহার করা হয়। এটি মুখের উপর ৩০,০০০ Infrared Dot Project করে 3D Depth Map তৈরি করে।

Liveness Detection আরেকটি গুরুত্বপূর্ণ স্তর। Sensor চেক করে আসলে একটি জীবন্ত মুখ আছে কিনা, নাকি একটি ছবি বা Mask। চোখের পলক, ত্বকের রঙের সূক্ষ্ম পরিবর্তন, মাথার Micro Movement— এসব বিবেচনায় নেওয়া হয়।

২০১৭ সালে Bkav একটি ৩-D Printed Mask দিয়ে Face ID Bypass করেছিল, কিন্তু এর জন্য মুখের পরিমাপ এবং প্রায় ১৫০ ডলারের সরঞ্জাম প্রয়োজন ছিল। Apple-এর পরবর্তী Update-এ এই দুর্বলতা সংশোধন হয়েছে।

DeepFake প্রযুক্তি Facial Recognition-এর জন্য নতুন চ্যালেঞ্জ। AI-Generated Video যা একজন ব্যক্তির মুখকে অন্য কারো শরীরে বসিয়ে দেয়, এটি Identity Verification System-এর জন্য বিপজ্জনক। ব্যাংক এবং Fintech কোম্পানিগুলো এখন DeepFake Detection প্রযুক্তি যুক্ত করছে।

Adversarial Examples আরেকটি আধুনিক হুমকি। বিশেষভাবে ডিজাইন করা Eyeglass Frame বা Makeup Pattern দিয়ে Face Recognition Algorithm-কে বিভ্রান্ত করা যায়। Carnegie Mellon-এর গবেষকরা দেখিয়েছেন কিভাবে একটি Specially Designed Eyeglass পরে এক ব্যক্তি অন্য ব্যক্তি হিসেবে Identify হতে পারে।

Iris Recognition Biometric-এর মধ্যে সবচেয়ে নির্ভুল প্রযুক্তিগুলোর একটি। প্রতিটি ব্যক্তির Iris Pattern সম্পূর্ণ Unique— এমনকি একই ব্যক্তির বাম এবং ডান চোখের Pattern আলাদা। FAR সাধারণত ১:১০,০০০,০০০ পর্যন্ত পৌঁছায়।

Iris Scanner Near-Infrared Light ব্যবহার করে Iris-এর High-Resolution Image তোলে। তারপর Daugman Algorithm-এর মাধ্যমে IrisCode নামক একটি ২,০৪৮-বিট Template তৈরি হয়। দুটি IrisCode-এর মধ্যে Hamming Distance তুলনা করে Match নির্ধারিত হয়।

২০১৫ সালে Chaos Computer Club Samsung Galaxy S8-এর Iris Scanner Bypass করেছিল একটি High-Resolution Iris Photo এবং একটি Contact Lens দিয়ে। তবে এই আক্রমণের জন্য High-Quality Image এবং Skill প্রয়োজন।

Retinal Scan আরও নিরাপদ কিন্তু কম প্রচলিত কারণ এটি Invasive— চোখের ভেতরের Retina-র Blood Vessel Pattern স্ক্যান করতে Subject-কে স্ক্যানারের কাছে দীর্ঘ সময় চোখ রাখতে হয়।

Voice Recognition Call Center, Smart Speaker এবং Phone Banking-এ ব্যবহৃত হয়। কিন্তু DeepFake Voice প্রযুক্তি— মাত্র কয়েক সেকেন্ডের অডিও Sample থেকে কারো কণ্ঠস্বর Clone করার সক্ষমতা— Voice Biometric-এর জন্য বিপজ্জনক।

২০১৯ সালে একটি UK ভিত্তিক Energy Firm-এর CEO-র Voice Clone ব্যবহার করে আক্রমণকারীরা ২,৪০,০০০ ডলার Transfer করিয়ে নিয়েছিল। ২০২৪ সালে এই ধরনের Attack বহুগুণ বেড়েছে।

Behavioral Biometric নতুন একটি ক্ষেত্র যেখানে Typing Pattern, Mouse Movement, Phone Hold Angle-এর মতো বৈশিষ্ট্য Continuous Authentication-এর জন্য ব্যবহৃত হয়। ব্যাংকিং অ্যাপ্লিকেশন BehavioSec, BioCatch-এর মতো প্রযুক্তি ব্যবহার করে Background-এ User-এর আচরণ পর্যবেক্ষণ করে।

ব্যবহারকারীর জন্য Best Practice

Biometric Authentication ব্যবহার করার সময় কিছু মৌলিক নীতি অনুসরণ করুন। প্রথমত, Biometric-কে কখনো একমাত্র Authentication Factor হিসেবে ব্যবহার করবেন না। Multi-Factor Authentication-এ Biometric-কে Possession (ফোন) বা Knowledge (PIN)-এর সাথে Combine করুন।

দ্বিতীয়ত, ফোনের Security Setting সঠিকভাবে কনফিগার করুন। iOS-এ "Require Attention for Face ID" সক্রিয় রাখুন যা নিশ্চিত করে User জাগ্রত এবং স্ক্রিনের দিকে তাকিয়ে আছে। Android-এ Trusted Face এড়িয়ে চলুন কারণ এটি 2D Face Recognition ব্যবহার করে।

তৃতীয়ত, Sensitive Application-এ Biometric Lock যুক্ত করুন। Banking App, Password Manager, Encrypted Messenger-এ অতিরিক্ত Biometric Authentication সক্রিয় করুন।

চতুর্থত, Public Place-এ সতর্ক থাকুন। আঙুলের ছাপ অপরাধী Lift করতে পারে। Face ID ব্যবহারের সময় Shoulder Surfing-এর ঝুঁকি কম, কিন্তু ফোন কেড়ে নিয়ে মুখের দিকে ধরে Unlock করার ঘটনা ঘটেছে। তাই Lock Screen-এ Sensitive Notification Hide রাখুন।

সংস্থাগত প্রতিরোধ

সংস্থা পর্যায়ে Biometric ব্যবহারের সময় কিছু কঠোর নিয়ম অনুসরণ করুন। Biometric Template কখনো Plain Text-এ সংরক্ষণ করবেন না। Secure Enclave বা Trusted Execution Environment-এ Template রাখুন। iPhone-এর Secure Enclave, Android-এর StrongBox, Windows-এর VBS-এ Biometric Data কখনো Main OS-এর কাছে যায় না।

Template Protection প্রযুক্তি ব্যবহার করুন— Fuzzy Vault, Cancelable Biometric, Homomorphic Encryption। এই Technique-গুলো Template-কে Mathematically Transform করে রাখে যাতে চুরি হলেও Original Biometric পুনরুদ্ধার করা না যায়।

GDPR-এর মতো Privacy Regulation মেনে চলুন। Biometric Data Special Category Personal Data হিসেবে বিবেচিত এবং এর Processing-এ Explicit Consent প্রয়োজন। Illinois-এর BIPA-র অধীনে অনেক বড় কোম্পানিকে কোটি ডলার Settlement দিতে হয়েছে।

Liveness Detection বাধ্যতামূলক করুন। Active Liveness যেখানে User-কে নির্দিষ্ট Action যেমন চোখ পলকানো, মাথা ঘোরানো করতে বলা হয়, আর Passive Liveness যা Background-এ Spoofing Detection চালায়— উভয়ের সংমিশ্রণ ব্যবহার করুন।

Regular Penetration Testing করুন। NIST PAD বা Presentation Attack Detection Standard অনুযায়ী System Test করুন। iBeta-র মতো Independent Lab-এর Certification নিন।