Тіло, що використовується для підтвердження особи; коли ми повинні хвилюватися
Від ходьби до серцебиття ваше тіло є унікальним, і індустрія рішень для аутентифікації хоче використовувати це. Причина полягає в тому, що в останні роки світ виявив, що в Інтернет-середовищі традиційні способи підтвердження особи більше не працюють.
Для рішучого зловмисника, який використовує складні інструменти, але навіть для опортуніста, не маючи великих навичок, який купив шкідливе програмне забезпечення з темної мережі, може бути напрочуд легко зламати онлайнові акаунти та заповнити свою корзину даними карт. та іншу інформацію. Особливо, якщо паролем жертви є насправді "пароль" або слово, яке він вживав близько 20 разів лише за останній рік.
Рішення не в тому, щоб зберігати дедалі складніші паролі. Це як дотримання здорової, але складної дієти. Ви знаєте, що це робить вам добре, але 20 хвилин щоденного чищення соковижималки з часом зникнуть з вашого ентузіазму обіцянкою дати вам невичерпну енергію.
Таким чином, у галузі рішень з аутентифікації та в областях, де процес ідентифікації користувачів повинен бути дуже чітким (наприклад, банки, організації охорони здоров’я, державні установи), багато методів автентифікації зосереджуються на інформації, яку отримують наші органи.
Корпус та технологія: всередині приміщення або на відкритому повітрі?
Загалом існує два підходи: у першому випадку технологія знаходиться поза тілом і використовує його унікальні аспекти, а в другому технологія розміщується всередині: мікропроцесори, імплантовані під шкіру. Тут я розповім про перший підхід.
Елементи, які підтверджують, що ви точно ви, особливо в цифровому світі, включають обличчя, відбитки пальців, очі, вуха, вени, серцебиття, ходу, спосіб друку та ваш голос. Технологія перекладає ці проблеми у двійкові дані, які надалі використовуються для авторизації доступу до ваших облікових записів в Інтернеті, цифрових пристроїв або, у випадку паспортів, для підтвердження вашої особи.
Основні біологічні елементи ідентифікації
Очі - Сканування райдужної оболонки здебільшого відбувається через сканування сітківки (з використанням структури вен за оком). Як і більшість біометричних ідентифікаторів, райдужка є унікальною для кожної людини і не змінюється з часом. Однак вартість та обладнання, необхідні для впровадження методів ідентифікації, досі використовувались переважно в місцях, де доступ до людей надзвичайно суворо контролюється: наприклад, у ЦЕРНі, де знаходиться Генератор частинок, або в будівлях. використовується армією. Зовсім недавно ми бачимо, що ця технологія також з'являється у публічному просторі на смартфонах: Samsung Galaxy S8, декількох телефонах Lumia Windowa та Fujitsu, а також деяких пристроях iOS можуть успішно сканувати вашу сітківку ока. Але в 2015 році хакер, відомий як Starbug, заявив, що успішно відтворив розвідувальну технологію, зумівши скопіювати райдужну оболонку з Інтернет-фото канцлера Німеччини Ангели Меркель.
відбитки пальців - Мабуть, найпопулярніший і найпоширеніший метод автентифікації, цифрове розпізнавання на основі відбитків пальців стало популярним після того, як було представлено мобільним телефонам Apple у 2013 році. Лише через день після запуску, той же Starbug оголосив, що йому вдалося скомпрометувати функція, що створює підроблений "палець" із відбитків пальців, знайдених на телефоні.
Руки - Цей аспект включає тривимірну геометрію пальця або кисті, а також мережу жилок на кисті або пальці. Barclays Bank представив розпізнавання вен пальців для своїх корпоративних клієнтів. Крім того, понад 80 000 банкоматів в Японії ідентифікують власників своїх рахунків, скануючи вени на долоні або пальці. Форма вуха або більш складний аналіз рис обличчя використовуються, серед іншого, на Microsoft Xbox ONE та Playstation 4. Хоча немає жодних ознак того, що ці маркери були скомпрометовані, є дані, що вони починають привертати увагу кіберзлочинців.
Нещодавні аналізи злочинної діяльності "Лабораторії Касперського" виявили щонайменше дванадцять постачальників скиммерів, здатних викрасти відбитки пальців жертв. І принаймні три з них є дослідницькими пристроями, які могли б незаконно отримувати дані із систем розпізнавання на основі вен пальми та райдужки. Також дослідники виявили дискусії на форумах в Інтернеті щодо розробки мобільного додатку для "підроблених масок для обличчя". Така програма дозволить зловмисникові сфотографувати когось із Інтернету, щоб обдурити систему розпізнавання обличчя.
Серцебиття - Цей спосіб ідентифікації є відносно новим. Розробляється кілька продуктів, одним з них є Nymi: браслет, який може підтвердити вашу особу за допомогою унікальних електричних імпульсів, що генеруються серцебиттям. У серпні 2015 року Nymi та Mastercard оголосили, що запустили перше аутентифіковане рішення для мобільних платежів на основі серцебиття. Однак зарано оцінювати рішення з точки зору вразливості системи безпеки.
Голос - Розпізнавання голосу вже широко використовується у фінансових послугах, як правило, разом з іншими методами автентифікації. Це складний процес, який включає аналіз кількох параметрів і закономірностей, включаючи інтонацію, специфічні дефекти мови, порядок слів та їх порівняння.
Глибина аналізу та великий обсяг даних, що враховуються при кожному записі, значно зменшують ризик ідентифікації на основі голосу, яка може бути порушена зловмисниками. Однак це не гарантує безпечності методу. Наприкінці 2016 року Adobe анонсувала нову технологію редагування голосу - Voco - яка дозволить користувачам створювати та редагувати записи голосу лише за 20 хвилин розмови. Є й інші подібні рішення, але не настільки прості у використанні. Якщо ми також врахуємо зростаючі голосові записи, зібрані новими розумними пристроями в наших будинках, такими як Echo або Dot, гіпотеза зловмисника, який збирає достатньо даних, щоб відтворити чийсь голос, щоб обдурити системи автентифікації., це стає - раптом - набагато реалістичнішим.
Ходьба, стиль друку та інші елементи поведінкової біометрії - Здебільшого ці методи поєднуються з іншими елементами, забезпечуючи додатковий рівень безпеки. Ходьба, серед іншого, вимірює поставу, швидкість, довжину кроку та рух підошви. Останнім часом увагу звертали на те, як люди взаємодіють зі своїми пристроями (наприклад, стиль друку та рухи миші).
Наша компанія є однією з тих, що впроваджують такі технології. Наприклад, нове рішення щодо запобігання шахрайству у хмарі включає відстеження та перегляд миші для виявлення шахрайської діяльності під час сеансу онлайн-банкінгу. Кожен має унікальний спосіб переміщення миші по екрану. Якщо щось зміниться, система подасть сигнал тривоги, оскільки хтось інший може скористатися вашим обліковим записом або, можливо, на вашій станції встановлена шкідлива програма. Наприклад, якщо система виявляє, що миша рухається по сторінці з постійною швидкістю або рух миші не існує, є велика ймовірність того, що на вашому комп’ютері встановлено автоматичне шкідливе програмне забезпечення або троянський контент. Це також може свідчити про те, що хтось використовує віддалений адміністративний інструмент (RAT).
Перегляд Інтернету також може сказати про нас дуже багато. Користувачі, як правило, переходять на торгові сторінки, щоб розглянути рахунки-фактури та інші проблеми. Зловмисне програмне забезпечення або шахрайські користувачі не зацікавлені в оплаті рахунку за електроенергію, але вони хочуть знати, які кредитні ліміти у вас є, і дізнатися вашу особисту інформацію. Тож вони їдуть туди вперше, поспіхом ставлячи знак питання.
Однак використання конкретного способу друку як елемента ідентифікації стає менш актуальним, оскільки мобільні пристрої все частіше використовуються для доступу до Інтернету, а клавіатура менше.
І останнє, але не менш важливе: є ті, хто хоче ідентифікувати вас, використовуючи майже все можливе. Новий проект Abacus підтвердить вашу особу за допомогою “сукупного” показника довіри, за допомогою якого ваш телефон постійно контролює вас і розпізнає конкретні елементи місцезнаходження, як ви ходите та набираєте текст, або риси обличчя. Наш досвід показує, що використання безлічі біометричних маркерів додає безпеки, але існує також ризик втратити будь-яке поняття конфіденційності.
Можливі рішення для ризиків безпеки
Біометричні маркери ідеально підходять для ідентифікації елементів, оскільки вони унікальні і не змінюються з часом. Це робить їх дуже вразливими одночасно. Якби вони були скомпрометовані, наслідки були б дуже серйозними для жертв.
За своєю природою біометричні ідентифікатори часто є загальнодоступними - наприклад, кожен міг сфотографувати вам вухо чи райдужку в будь-який час. Більше того, незважаючи на те, що вони вже використовуються для перевірки особи, використання інформації про частини вашого тіла в основному є нерегульованим. Тому ми повинні знайти рішення, перш ніж зловмисники знайдуть спосіб їх експлуатувати.
Ми - та інші в галузі - почали турбуватися про це два роки тому. На додаток до нових технологій запобігання шахрайству, ми також маємо патент на багатофакторну та контекстну біометричну аутентифікацію і будемо продовжувати вивчати цю сферу з точки зору безпеки. Все це підтверджує теорію, визнану в галузі безпеки, що одна система вимірювання є надто вразливою. Найефективніший захист буде поєднувати принаймні два з наступних методів: те, що ти є (твоє тіло), те, що ти знаєш (особиста інформація), і те, що ти маєш (пароль або щось подібне).
Співпраця буде ключовою: між розробниками технологій біометричної автентифікації та ідентифікації, галуззю безпеки та організаціями, які впроваджуватимуть кінцеві продукти. Наша місія - розробити високоефективні рішення безпеки, зробити життя користувачів простішим та безпечнішим, а злочинцям - ускладнити, а то й зовсім неможливо.
Проблема в тому, що ми не можемо дозволити собі невдачу. Кожен з нас приходить з одним тілом. Якщо ви можете замінити викрадену номер кредитної картки або рахунку, не кажучи вже про те, що ви можете встановити новий пароль, як замінити сітківку ока, вуха або навіть скомпрометовані відбитки пальців? Ви не можете просто встановити прапорець і замість цього отримати електронне повідомлення із посиланням, щоб створити нове серцебиття.