A test, amelyet a személyazonosság megerősítésére használnak; amikor aggódnunk kellene
A gyaloglástól a szívverésig a tested egyedi, és a hitelesítési megoldások ipara ezt szeretné használni. Ennek oka az, hogy az elmúlt években a világ felfedezte, hogy az online környezetben az identitás megerősítésének hagyományos módjai már nem működnek.
Egy határozott támadó számára, aki összetett eszközöket használ, de még egy opportunista számára is, aki nem rendelkezik nagy képességekkel, aki rosszindulatú programokat vásárolt a sötét webről, meglepően könnyű lehet online számlákat törni és kosarát kártyaadatokkal kitölteni. és egyéb információk. Különösen, ha az áldozat jelszava valójában "jelszó", vagy egy szó, amelyet csak az elmúlt évben körülbelül 20 alkalommal használt.
A megoldás nem az egyre összetettebb jelszavak tárolása. Ez olyan, mintha egészséges, de bonyolult étrendet követne. Tudod, hogy ez jót tesz neked, de minden nap 20 perc a facsaró megtisztítására végül el fogja vágni a lelkesedést az ígéret iránt, hogy kimeríthetetlen energiát ad neked.
Így a hitelesítési megoldások iparban és azokon a területeken, ahol a felhasználói azonosítási folyamatnak nagyon világosnak kell lennie (pl. Bankok, egészségügyi szervezetek, kormányzati szervek), sok hitelesítési módszer a testünk által előállított információkra összpontosít.
Test és technika: beltéren vagy szabadban?
Általánosságban két megközelítés létezik: az első esetben a technológia a testen kívül esik, és annak egyedi szempontjait használja, a másodikban pedig a technológiát helyezik el: a bőr alá beültetett mikroprocesszorokat. Itt beszélek az első megközelítésről.
Azok az elemek, amelyek megerősítik, hogy határozottan te vagy, főleg a digitális világban, az arc, az ujjlenyomatok, a szem, a fül, az erek, a szívverés, a járás, a gépelés módja és a hang. A technológia ezeket a szempontokat bináris adatokká alakítja, amelyeket tovább felhasználnak az online fiókokhoz, digitális eszközökhöz való hozzáférés engedélyezéséhez, vagy útlevelek esetén a személyazonosságának megerősítéséhez.
Az azonosítás fő biológiai elemei
A szemek - Az írisz-pásztázás nagyrészt a retina vizsgálatából származik (a szem mögötti vénák szerkezetének felhasználásával). A legtöbb biometrikus azonosítóhoz hasonlóan az írisz is minden ember számára egyedi, és idővel nem változik. Az azonosítási technikák megvalósításához szükséges költségeket és felszereléseket azonban eddig elsősorban olyan helyeken használták fel, ahol az emberekhez való hozzáférést rendkívül szigorúan ellenőrzik: például a CERN-ben, ahol a részecskegenerátor található, vagy épületekben. a hadsereg használta. Újabban láthatjuk, hogy a technológia megjelenik a nyilvános térben, okostelefonokon is: a Samsung Galaxy S8, néhány Lumia Windowa és Fujitsu telefon, valamint néhány iOS-eszköz sikeresen be tudja vizsgálni a retináját. De 2015-ben egy Starbug néven ismert hacker azt állította, hogy sikeresen megismételte a felderítési technológiát, és sikerült az írisst lemásolni Angela Merkel német kancellár online fotójáról.
ujjlenyomatok - Valószínűleg a legnépszerűbb és legelterjedtebb hitelesítési módszer, az ujjlenyomat-alapú digitális felismerés akkor vált népszerűvé, miután 2013-ban bemutatták az Apple mobiltelefonjainak. Alig egy nappal az indulás után ugyanaz a Starbug bejelentette, hogy sikerült ezt kompromittálnia funkció, hamis "ujj" létrehozása a telefonon található ujjlenyomatokból.
Kezek - Ez a szempont magában foglalja az ujj vagy a kéz háromdimenziós geometriáját, valamint a kéz vagy az ujj vénás hálózatát. A Barclays Bank bevezette ujjér-felismerését vállalati ügyfelei számára. Ezenkívül Japánban több mint 80 000 ATM azonosítja fióktulajdonosait a tenyér vagy az ujj vénáinak átvizsgálásával. A fül alakját vagy az arcvonások összetettebb elemzését használják többek között a Microsoft Xbox ONE és a Playstation 4 készülékeken. Bár semmi nem utal arra, hogy ezek a markerek veszélybe kerültek volna, vannak bizonyítékok arra, hogy ezek kezdik magára vonni a kiberbűnözők figyelmét.
A Kaspersky Lab néhány, a bűncselekményekkel kapcsolatos elemzéséből kiderült, hogy legalább tizenkét kártyaközvetítő szolgáltató képes ellopni az áldozatok ujjlenyomatát. Közülük legalább három olyan kutatási eszköz, amely illegálisan tudna adatokat szerezni a tenyér és az írisz vénáin alapuló felismerő rendszerekből. A kutatók az online fórumokon vitákat fedeztek fel a "hamis arcmaszkok" mobilalkalmazásának fejlesztéséről is. Egy ilyen alkalmazás lehetővé tenné, hogy a támadó lefényképezzen valakit az internetről az arcfelismerő rendszer trükkje érdekében.
Szívdobbanások - Ez az azonosítási módszer viszonylag új. Számos termék fejlesztése folyamatban van, az egyik a Nymi: egy karkötő, amely egyedi, a szívverés által generált elektromos impulzusokon keresztül igazolhatja személyazonosságát. 2015 augusztusában a Nymi és a Mastercard bejelentette, hogy piacra dobták az első, szívverésen alapuló hitelesített mobil fizetési megoldást. Még korai értékelni a megoldást a biztonsági rés szempontjából.
A hang - A hangfelismerést már széles körben használják a pénzügyi szolgáltatásokban, általában más hitelesítési módszerekkel együtt. Ez egy összetett folyamat, amely több paraméter és mintázat elemzését foglalja magában, beleértve az intonációt, a specifikus beszédhibákat, a szórendet és azok összehasonlítását.
Az elemzés mélysége és az egyes felvételek során figyelembe vett nagy adatmennyiség nagyban csökkenti annak kockázatát, hogy a támadók veszélyeztetik a hangalapú azonosítást. Ez azonban nem garantálja, hogy a módszer biztonságos. 2016 végén az Adobe bejelentette az új hangszerkesztési technológiát - a Voco-t, amely lehetővé teszi a felhasználók számára, hogy csupán 20 perc beszélgetés során hozzanak létre és szerkesszenek hangfelvételeket. Vannak más hasonló megoldások, de nem olyan könnyű használni. Ha figyelembe vesszük az otthonunkban lévő új intelligens eszközök, például az Echo vagy a Dot által gyűjtött növekvő hangfelvételeket is, akkor egy olyan támadó hipotézise, amely szerint a hitelesítési rendszerek becsapása érdekében elegendő adat gyűlik össze valakinek a hangjának újrateremtéséhez., hirtelen sokkal reálisabbá válik.
Gyaloglás, gépelési stílus és a viselkedési biometria egyéb elemei - Legtöbbször ezeket a módszereket kombinálják más elemekkel, további biztonsági szintet biztosítva. A gyaloglás többek között a testtartást, a sebességet, a lépés hosszát és a talp mozgását méri. Az utóbbi időben felhívták a figyelmet arra, hogy az emberek hogyan lépnek kapcsolatba eszközeikkel (pl. Gépelési stílus és egérmozgások).
Cégünk egyike azoknak, amelyek ilyen technológiákat alkalmaznak. Az új felhőalapú csalásmegelőzési megoldás például egérkövetést és böngészést tartalmaz az online banki munkamenet során elkövetett csalárd tevékenységek felderítésére. Mindegyiknek egyedi módja van az egér mozgatásának a képernyőn. Ha valami megváltozik, a rendszer riasztást ad, mert valaki más használhatja az Ön fiókját, vagy esetleg rosszindulatú program van telepítve az állomásra. Például, ha a rendszer azt észleli, hogy az egér állandó sebességgel mozog az oldalon, vagy nincs egérmozgás, jó eséllyel automatizált kártékony programot vagy trójai programot telepítettek a számítógépére. Ez azt is jelezheti, hogy valaki távoli adminisztrációs eszközt (RAT) használ.
Az online böngészés is elég sokat mondhat rólunk. A felhasználók általában a kereskedési oldalakra mennek, hogy számlákkal és egyéb kérdésekkel foglalkozzanak. A rosszindulatú programokat vagy a csaló felhasználókat nem érdekli a villanyszámla kifizetése, de szeretnék tudni, hogy milyen hitelkerete van, és megtudhatják személyes adatait. Tehát először mennek oda, sietségükben kérdőjelet emelve.
A gépelés egyedi módjának használata azonosítóként azonban kevésbé releváns, mivel a mobil eszközöket egyre inkább használják az internet elérésére, a billentyűzet pedig kevésbé.
Végül, de nem utolsósorban vannak, akik szinte minden lehetséges módon fel akarják azonosítani. Az új Abacus projekt egy „kumulatív” bizalmi pontszámmal igazolja személyazonosságát, amelyen keresztül a telefon folyamatosan figyelemmel kíséri Önt, és felismeri a hely adott elemeit, a járás és a gépelés módját vagy az arcvonásokat. Tapasztalataink azt mutatják, hogy több biometrikus marker használata növeli a biztonságot, ugyanakkor fennáll annak a veszélye is, hogy elveszítik a magánélet fogalmát.
Lehetséges megoldások a biztonsági kockázatokra
A biometrikus markerek ideálisak az elemek azonosítására, mivel egyediek és az idő múlásával nem változnak. Ez egyszerre teszi őket nagyon sebezhetővé. Ha veszélybe kerülnének, a következmények nagyon súlyosak lennének az áldozatok számára.
Jellegüknél fogva a biometrikus azonosítók gyakran nyilvánosak - például bárki bármikor lefényképezheti a fülét vagy az íriszét. Sőt, annak ellenére, hogy már használják a személyazonosság igazolására, a testrészekre vonatkozó információk felhasználása nagyrészt nem szabályozott. Ezért megoldást kell találnunk, mielőtt a támadók megtalálnák a kiaknázásuk módját.
Mi - és az ipar többi tagja - két évvel ezelőtt kezdtünk aggódni emiatt. Az új csalásmegelőzési technológiák mellett szabadalommal is rendelkezünk a többtényezős és a kontextus szerinti biometrikus hitelesítésről, és továbbra is tanulmányozzuk ezt a területet biztonsági szempontból. Mindez megerősíti a biztonsági iparban elismert elméletet, miszerint egyetlen mérőrendszer túl sebezhető. A leghatékonyabb védelem a következő módszerek közül legalább kettőt ötvöz: valami, ami vagy (a tested), valami, amit tudsz (személyes adatok), és valami, ami van (jelszó vagy valami hasonló).
Az együttműködés kulcsfontosságú lesz: a biometrikus hitelesítési és azonosítási technológiák fejlesztői, a biztonsági ipar és a végtermékeket megvalósító szervezetek között. Küldetésünk nagy teljesítményű biztonsági megoldások kifejlesztése, a felhasználók életének egyszerűbbé és biztonságosabbá tétele, valamint a bűnözők számára, hogy megnehezítsük, ha egyenesen lehetetlen.
A probléma az, hogy nem engedhetjük meg magunknak a kudarcot. Mindannyian egy testtel érkezünk. Ha lecserélheti az ellopott hitelkártyát vagy számlaszámot, arról nem is beszélve, hogy új jelszót állíthat be, hogyan cserélheti ki a retina, a fül, vagy akár a sérült ujjlenyomatokat? Nem csak bejelölheti a jelölőnégyzetet, és ehelyett kap egy e-mailt egy linkkel egy új szívdobbanás létrehozásához.