Biyometrik kimlik doğrulama, parmak izlerinden seslere ve yüz taramalarına doğru ilerledi ancak bir araştırma ekibi, bir sonraki adımın kulağın içinde olabileceğine inanıyor. Yeni araştırma, kulak kanalının benzersiz akustik özelliklerinin, kablosuz kulaklıklar aracılığıyla kimliği doğrulamak için nasıl kullanılabileceğini araştırıyor. EarID adı verilen sistemleri, kulak kanalı taramasının bir gün mobil cihazlar için pratik bir güvenlik yöntemi haline gelebileceğini gösteriyor.
Kulak kanalı tarama/algılamanın çizimi. Kullanıcı, biyometrik kullanıcı kimlik doğrulaması için kulak kanalı taramasını çalıştırmak, benzersiz kulak kanalı yapısını akustik olarak algılamak için kulaklıkları takar.
Kulak kanalını güvenlik anahtarına dönüştürüyoruz
Her kişinin kulak kanalı farklı bir akustik imza üretir; bu nedenle EarID’in arkasındaki araştırmacılar, kulaklıkların kullanıcıyı ses kullanarak tanımasına olanak tanıyan bir yöntem tasarladı. Kulaklıklar, kullanıcının kulak kanalına akustik sinyaller yayar ve bu sesten gelen yansımalar, kulağın yapısı tarafından şekillendirilen desenleri ortaya çıkarır.
Bu çalışmayı öne çıkaran şey, kimlik doğrulama işleminin tamamen kulaklıkların kendisinde gerçekleşmesidir. Cihaz, kullanıcının kulak kanalı şekline göre benzersiz bir ikili anahtar çıkarır ve ardından bu anahtarı eşleştirilen mobil cihazda doğrular. Sistem, ham biyometrik veriler yerine ikili anahtarlarla çalışarak hassas bilgilerin Bluetooth üzerinden gönderilmesini önler. Bu, biyometrik verileri açığa çıkarabilecek müdahale veya tekrar oynatma saldırılarının önlenmesine yardımcı olur.
Makine öğrenimine daha basit bir alternatif
Kulak kanalı biyometrisine ilişkin önceki çalışmalar, kullanıcıları birbirinden ayırmak için kulak taraması verileri üzerine eğitilmiş makine öğrenimi modellerine dayanıyordu. Doğru olmasına rağmen bu yaklaşımlar, sınırlı bilgi işlem gücü ve pil ömrüne sahip olan kulaklıklar için zorludur. EarID farklı bir yol izliyor. Bir sınıflandırıcıyı eğitmek yerine öğrenme gerektirmeyen bir anahtar çıkarma işlemi kullanır.
Kulaklıklar ses yansımalarını analiz eder, bunları frekans ve sepstral özelliklere dönüştürür ve ardından bu özellikleri kısa bir ikili anahtara dönüştürür. Bu anahtar, kullanıcının benzersiz kulak modelini temsil eder. Mobil cihazdaki doğrulama, bulanık taahhüt adı verilen gizliliği koruyan bir teknikle gerçekleştirilir. Bu kurulumda, kulaklıklar mobil cihaza kodlu bir mesaj gönderir ve telefon, bunun kayıtlı kullanıcı anahtarıyla eşleşip eşleşmediğini kontrol eder. Ham veriler asla kulaklıklardan ayrılmaz.
Bu hafif tasarım, doğruluğu yüksek tutarken bilgi işlem yükünü azaltır. EarID, testlerde yaklaşık yüzde 98,7’lik bir kimlik doğrulama doğruluğu elde etti.
Gerçek dünya testleri ve performansı
Sistemi doğrulamak için araştırmacılar, ticari kulaklıkların henüz kulak içi mikrofon verilerine erişime izin vermemesi nedeniyle özel bir test ortamı oluşturdu. Kulak kanalı yansımalarını toplamak için normal kulaklıklara minyatür mikrofonlar yerleştirdiler ve ardından EarID’nin kullanıcıları birbirinden ne kadar iyi ayırt edebildiğini değerlendirdiler.
Deneyler bir üniversite kampüsünden 44 katılımcıyı içeriyordu. Sistem, sahte kabul oranını yüzde 1’in altında tuttu; bu, sahtekarlara neredeyse hiçbir zaman erişim izni verilmediği anlamına geliyordu. İşlem süreleri kısaydı: mobil kayıt için yaklaşık 160 milisaniye ve kulaklık kimlik doğrulaması için 226 milisaniye. Çalışma aynı zamanda yöntemin, sentetik kulak modelleri ve anahtar tahmin de dahil olmak üzere farklı saldırı senaryolarına karşı dayanıklılığını da test etti ve bunların tümü, saldırganlar için çok düşük başarı oranlarıyla sonuçlandı.
Küçük cihazlar için tasarlandı
Araştırmanın önemli bir kısmı, kulaklıkların büyük donanım veya bulut desteği olmadan biyometrik işlemleri gerçekleştirebildiğini gösteriyor. EarID, ticari kulaklıklarda bulunanlara benzer küçük bir mikro denetleyici üzerinde çalışır. Araştırmacılar, 80 MHz çipli bir Arduino platformunun performansını ölçtüler ve anahtar çıkarma işlemini saniyenin üçte birinden daha kısa bir sürede gerçekleştirebildiğini buldular.
Karşılaştırma yapmak gerekirse, geleneksel makine öğrenimi sınıflandırıcılarının verileri eğitmesi ve işlemesi üç ila doksan kat daha uzun sürdü. Kullanıcılar hızlı ve kusursuz kimlik doğrulaması beklediğinden, kulak kanalı kimlik doğrulaması tüketici cihazlarına ulaşırsa bu fark gerçek bir etki yaratabilir.
Gizlilik ve kullanılabilirliğin ele alınması
EarID’nin tasarımı biyometrik gizliliği korumayı amaçlamaktadır. Kulaklıklar hiçbir zaman ham kulak kanalı verilerini göndermediğinden, ele geçirilen Bluetooth trafiği tanımlanabilir bilgileri açığa çıkarmaz. Bu yaklaşım aynı zamanda biyometrik verilerin yetkisiz erişim için yeniden kullanılması riskini de azaltır.
Makalenin ortak yazarlarından Ph.D. Chenpei Huang, kullanıcıların korunmasının, kulaklıklar kulak içi mikrofonları açığa çıkardığında geliştiricilere ne kadar erişim verildiğine bağlı olacağını söyledi. “Kulak içi mikrofonlar geliştiricilere açıldığında, herkes potansiyel olarak kulak kanalının akustik tepkisine erişebilir ve bu da kişisel bilgileri açığa çıkarabilir” dedi. “Kullanıcıları korumak için akıllı cihazların, ön kameralarda halihazırda kullanılana benzer şekilde sıkı erişim kontrolüne ihtiyacı olacak. Yalnızca gerçekten kulak içi verilere ihtiyaç duyan güvenilir uygulamaların bunlara erişmesine izin verilmelidir.”
Ham biyometrik verilerin hiçbir zaman üçüncü taraf uygulamalara maruz kalmaması gerektiğini ekledi. “Koruma, yalnızca gerçek, mevcut insan kullanıcıların kimliğinin doğrulanabilmesini sağlamak için canlılık tespiti gibi diğer katmanlardan da gelmelidir” dedi. “EarID tarafından oluşturulan anahtarlar ise Apple’ın güvenli bölgesi gibi donanımla korunan alanlarda güvenli bir şekilde saklanmalıdır.”
Çalışma aynı zamanda kullanıcı deneyimini de inceledi. Ekip, psikoakustik modelleri ve katılımcı anketlerini kullanarak kimlik doğrulama sesinin ne kadar fark edilebilir olduğunu ölçtü. Yaklaşık bir saniye süren sinyaller, hafif fark edilebilir ancak rahatsız edici değil olarak derecelendirildi. Araştırmacılar sesli sinyalleri test ederken, yöntemin duyulamayan frekanslarda da çalışabileceğini ve bunun sürekli kimlik doğrulama için faydalı olabileceğini kaydetti.
Günlük hayatın gürültüsüne uyum sağlamak
Kontrollü testlerde EarID iyi çalıştı ancak gerçek dünya ortamları yeni zorluklar getiriyor. Huang, hareketin, konuşmanın ve arka plan gürültüsünün akustik sinyali etkileyebileceğini kabul etti. “Kullanıcı konuşurken veya etrafta dolaşırken kulak içi ses gerçekten değişebilir çünkü kendi sesiniz ve vücut sesleriniz kapalı kulaklık tarafından güçlendirilir” dedi. “Uygulamada kimlik doğrulama yalnızca bir ila iki saniye sürüyor, bu nedenle kullanıcılar oturum açma sırasında müziklerini duraklatabilir veya kısa bir süre konuşmayı bırakabilirler.”
Gelecekteki tasarımlarda sistemin dinamik olarak ayarlanabileceğini ekledi. Huang, “Sistem ayrıca sesi kısarak ve kimlik doğrulama zamanı geldiğinde kısa bir bildirim çalarak bu konuda otomatik olarak yardımcı olabilir” dedi. “Kullanıcılar sıklıkla sürekli olarak kulaklık taktıkları için sistem, ortam gürültülü olduğunda kısmi erişim de sağlayabilir ve koşullar stabil hale geldiğinde tam erişim sağlayabilir.”
Bu nereye varabilir
EarID hâlâ bir araştırma prototipi ancak konsept, giyilebilir güvenlik konusunda yeni yönlere işaret ediyor. Ekip, farklı kullanıcılardan daha fazla kulak kanalı verisi toplamanın doğruluğu artırmak açısından önemli olacağını belirtiyor. Ayrıca alternatif hata düzeltme kodlarının test edilmesi ve yaklaşımın diğer kulak içi algılama uygulamalarına genişletilmesi gibi gelecekteki iyileştirmeleri de öneriyorlar.
Bu araştırma, biyometrik inovasyonun nasıl daha kişiselleştirilmiş ve daha az müdahaleci yöntemlere doğru ilerlediğini vurguluyor. Gizliliğin korunması, düşük güç kullanımı ve neredeyse anında işlemenin birleşimi, kolaylık ve güvenliğin bir arada olması gereken ortamlarda kulak tabanlı kimlik doğrulamayı çekici hale getirebilir.
Ticari kulaklıklar sonunda kulak içi mikrofonlarını geliştiricilerin kullanımına sunacak olursa, EarID gibi sistemler mobil kimlik doğrulama için yeni bir biyometrik katman ekleyebilir. Kullanıcılar, şifre yazmak veya parmak izi taramak yerine kulaklıklarını takabiliyor ve cihaz, kendi kulak kanalının sesinden onların kim olduğunu öğrenebiliyor. Her zaman Apple AirPods Pro takan biri olarak bu tür bir teknolojinin içeride olması harika olurdu.