Telo použité na potvrdenie totožnosti; keď by sme sa mali trápiť
Od chôdze po tlkot srdca je vaše telo jedinečné a toto chce odvetvie autentifikačných riešení využiť. Dôvodom je, že v posledných rokoch svet zistil, že v online prostredí tradičné spôsoby potvrdzovania identity už nefungujú.
Pre odhodlaného útočníka, ktorý používa zložité nástroje, ale aj pre oportunistu bez veľkých schopností, ktorý si kúpil nejaký malware z temného webu, môže byť prekvapivo ľahké prelomiť online účty a naplniť jeho košík údajmi o karte. a ďalšie informácie. Najmä ak je heslo obete skutočne „heslo“ alebo slovo, ktoré iba za posledný rok použil asi 20-krát.
Riešením nie je ukladanie čoraz zložitejších hesiel. Je to ako dodržiavať zdravú, ale komplikovanú stravu. Viete, že vám robí dobre, ale 20 minút každý deň na čistenie odšťavovača nakoniec preruší vaše nadšenie zo sľubu, že vám dá nevyčerpateľnú energiu.
V priemysle riešení autentifikácie a v oblastiach, kde musí byť proces identifikácie používateľov veľmi jasný (napr. Banky, zdravotnícke organizácie, vládne agentúry), sa teda veľa metód autentifikácie zameriava na informácie produkované našimi orgánmi.
Telo a technológia: v interiéri alebo exteriéri?
Všeobecne existujú dva prístupy: v prvom prípade je technológia mimo tela a využíva jeho jedinečné aspekty, v druhom prípade je technológia umiestnená vo vnútri: mikroprocesory implantované pod kožu. Tu budem hovoriť o prvom prístupe.
Medzi prvky, ktoré potvrdzujú, že ste definitívne vy, najmä v digitálnom svete, patrí napríklad tvár, odtlačky prstov, oči, uši, žily, tlkot srdca, chôdza, spôsob písania a hlas. Technológia tieto problémy prevádza do binárnych údajov, ktoré sa ďalej používajú na autorizáciu prístupu k vašim online účtom, digitálnym zariadeniam alebo v prípade pasov na potvrdenie vašej totožnosti.
Hlavné biologické prvky identifikácie
Oči - Skenovanie dúhovky pochádza prevažne zo sietnicového skenovania (pomocou štruktúry žíl za okom). Rovnako ako väčšina biometrických identifikátorov, aj dúhovka je pre každého človeka jedinečná a časom sa nemení. Náklady a vybavenie potrebné na implementáciu identifikačných techník sa však doteraz používali hlavne v miestach, kde je prístup ľudí prísne kontrolovaný: napríklad v CERN-e, kde je umiestnený generátor častíc alebo v budovách. používaný armádou. V poslednej dobe môžeme vidieť, že sa táto technológia objavuje aj na verejnom priestranstve, a to na smartfónoch: Samsung Galaxy S8, niekoľko telefónov Lumia Windowa a Fujitsu, ako aj niektoré zariadenia so systémom iOS dokážu úspešne skenovať vašu sietnicu. Ale v roku 2015 hacker známy ako Starbug tvrdil, že úspešne replikoval prieskumnú technológiu a podarilo sa mu skopírovať dúhovku z online fotografie nemeckej kancelárky Angely Merkelovej.
výtlačky - Pravdepodobne najpopulárnejšia a najrozšírenejšia metóda autentifikácie, digitálne rozpoznávanie založené na odtlačkoch prstov, sa stalo populárnym po zavedení na mobilné telefóny Apple v roku 2013. Len jeden deň po uvedení na trh ten istý Starbug oznámil, že sa mu to podarilo kompromitovať. funkcia, ktorá vytvorí falošný „prst“ z odtlačkov prstov nájdených v telefóne.
Ruky - Tento aspekt zahŕňa trojrozmernú geometriu prsta alebo ruky, ako aj sieť žíl na ruke alebo prste. Barclays Bank zaviedla pre svojich firemných klientov rozpoznávanie prstových žíl. Okrem toho viac ako 80 000 bankomatov v Japonsku identifikuje svojich majiteľov účtov skenovaním žíl v dlani alebo prstoch. Tvar ucha alebo zložitejšia analýza tvárových prvkov sa používajú okrem iného aj na Microsoft Xbox ONE a Playstation 4. Aj keď nič nenasvedčuje tomu, že by tieto značky boli napadnuté, existujú dôkazy, že začínajú priťahovať pozornosť počítačových zločincov.
Nedávne analýzy trestnej činnosti vykonané spoločnosťou Kaspersky Lab odhalili najmenej dvanásť dodávateľov zberačov kariet, ktorí sú schopní ukradnúť odtlačky prstov obetí. A minimálne tri z nich sú výskumné zariadenia, ktoré by mohli nelegálne získavať údaje zo systémov rozpoznávania založených na žilách dlane a dúhovky. Vedci tiež objavili diskusie na online fórach o vývoji mobilnej aplikácie pre „falošné pleťové masky“. Takáto aplikácia by umožnila útočníkovi odfotiť niekoho z internetu s cieľom oklamať systém rozpoznávania tváre.
Tepy - Tento spôsob identifikácie je relatívne nový. Vyvíja sa niekoľko produktov, jedným z nich je Nymi: náramok, ktorý dokáže potvrdiť vašu identitu pomocou jedinečných elektrických impulzov generovaných srdcovým rytmom. V auguste 2015 spoločnosti Nymi a Mastercard oznámili, že spustili prvé autentizované riešenie mobilných platieb založené na srdcovom rytme. Je však príliš skoro na posúdenie riešenia z hľadiska bezpečnostnej zraniteľnosti.
Hlas - Rozpoznávanie hlasu sa už vo finančných službách bežne používa, zvyčajne v spojení s inými metódami autentifikácie. Je to komplexný proces, ktorý zahŕňa analýzu niekoľkých parametrov a vzorov vrátane intonácie, konkrétnych vád reči, slovosledu a ich porovnania.
Hĺbka analýzy a veľký objem údajov, ktoré sa berú do úvahy pri každom zázname, výrazne znižujú riziko narušenia útočníkov pomocou hlasovej identifikácie. To však nezaručuje, že metóda je bezpečná. Na konci roka 2016 spoločnosť Adobe oznámila novú technológiu hlasových úprav - Voco, ktorá používateľom umožní vytvárať a upravovať hlasové záznamy iba za 20 minút konverzácie. Existujú aj iné podobné riešenia, ktoré sa však nepoužívajú tak ľahko. Ak vezmeme do úvahy aj rastúce hlasové nahrávky zhromaždené novými inteligentnými zariadeniami v našich domácnostiach, ako sú Echo alebo Dot, hypotéza útočníka, ktorý zhromaždí dostatok údajov na to, aby znovu vytvoril niekoho hlas, aby oklamal autentifikačné systémy., stáva sa - zrazu - oveľa realistickejším.
Chôdza, štýl písania a ďalšie prvky biometrie správania - Tieto metódy sú väčšinou kombinované s inými prvkami a poskytujú tak ďalšiu úroveň zabezpečenia. Chôdza okrem iného meria držanie tela, rýchlosť, dĺžku kroku a pohyb chodidla. V poslednej dobe sa upriamuje pozornosť na to, ako ľudia interagujú so svojimi zariadeniami (napr. Štýl písania a pohyby myši).
Naša spoločnosť je jednou z tých, ktoré takéto technológie implementujú. Nové riešenie prevencie cloudových podvodov napríklad obsahuje sledovanie a prehliadanie myší na zisťovanie podvodných aktivít počas relácie online bankovníctva. Každá z nich má jedinečný spôsob pohybu myši po obrazovke. Ak sa niečo zmení, systém vydá poplach, pretože váš účet mohol použiť niekto iný alebo je na vašej stanici nainštalovaný malwarový program. Napríklad, ak systém zistí, že sa myš pohybuje po stránke konštantnou rýchlosťou alebo nedochádza k žiadnemu pohybu myši, existuje veľká šanca, že bol do vášho počítača nainštalovaný automatizovaný malware alebo trójsky kôň. Môže to tiež znamenať, že niekto používa nástroj na vzdialenú správu (RAT).
Prehliadanie online môže tiež o nás veľa povedať. Používatelia majú tendenciu najskôr chodiť na obchodné stránky, aby sa zaoberali faktúrami a inými problémami. Škodlivý softvér alebo podvodní používatelia sa nezaujímajú o zaplatenie vášho účtu za elektrinu, chcú však vedieť, aké máte úverové limity, a zistiť vaše osobné údaje. Idú tam teda prvýkrát a vo svojom zhone zdvihnú otáznik.
Používanie konkrétneho spôsobu písania ako identifikačného prvku sa však stáva menej relevantným, pretože mobilné zariadenia sa čoraz viac používajú na prístup na internet a klávesnica už vôbec nie.
V neposlednom rade sú tu tí, ktorí vás chcú identifikovať pomocou takmer všetkého možného. Nový projekt Abacus overí vašu identitu pomocou „kumulatívneho“ skóre dôveryhodnosti, prostredníctvom ktorého vás telefón neustále sleduje a rozpoznáva konkrétne prvky polohy, spôsob chôdze a písania alebo tvárové prvky. Naše skúsenosti ukazujú, že použitie viacerých biometrických značiek zvyšuje bezpečnosť, ale existuje tiež riziko straty akejkoľvek predstavy o súkromí.
Možné riešenia bezpečnostných rizík
Biometrické markery sú ideálne ako identifikačné prvky, pretože sú jedinečné a časom sa nemenia. Vďaka tomu sú zároveň veľmi zraniteľní. Ak by došlo k ich kompromisu, následky by boli pre obete veľmi vážne.
Biometrické identifikátory sú svojou povahou často verejné - napríklad ktokoľvek si môže kedykoľvek vyfotografovať vaše ucho alebo dúhovku. Navyše, aj napriek tomu, že sa už používajú na overenie identity, je použitie informácií o vašich častiach tela do značnej miery neregulované. Preto musíme prísť s riešením skôr, ako útočníci nájdu spôsob, ako ich zneužiť.
My - a ďalší v odbore - sme si z toho začali robiť starosti pred dvoma rokmi. Okrem nových technológií na prevenciu podvodov vlastníme patent na viacfaktorovú a kontextovú biometrickú autentizáciu a budeme túto oblasť naďalej skúmať z bezpečnostného hľadiska. To všetko potvrdzuje teóriu uznávanú v bezpečnostnom priemysle, že jediný systém merania je príliš zraniteľný. Najefektívnejšia ochrana bude kombinovať minimálne dve z nasledujúcich metód: niečo, čo ste (svoje telo), niečo, čo viete (osobné údaje) a niečo, čo máte (heslo alebo niečo podobné).
Kľúčová bude spolupráca: medzi vývojármi biometrických autentifikačných a identifikačných technológií, bezpečnostným priemyslom a organizáciami, ktoré budú implementovať konečné produkty. Našou misiou je vyvíjať vysokovýkonné bezpečnostné riešenia, ktoré uľahčujú a zabezpečujú život používateľov, a zločincom sťažujú, ba dokonca úplne znemožňujú život.
Problém je v tom, že si nemôžeme dovoliť zlyhať. Každý z nás prichádza s jedným telom. Ak môžete nahradiť ukradnutú kreditnú kartu alebo číslo účtu, nehovoriac o tom, že môžete nastaviť nové heslo, ako vymeníte sietnicu, ucho alebo dokonca poškodené odtlačky prstov? Nemôžete len začiarknuť políčko a namiesto toho dostať e-mail s odkazom na vytvorenie nového úderu srdca.