О роли и месте биометрической аутентификации в системах безопасности
Бум цифровых технологий сопровождается растущими рисками для корпоративных и персональных данных. Чем глубже человечество погружается в виртуальный мир, тем острее встает вопрос об аутентификации личности, пишет Джим Дюкарм в онлайновом издании Security Week, June, 03, 2019.
Особенно много вопросов вызывают биометрические средства аутентификации. Насколько они надежны? Соответствуют ли они правилам и нормам прайвиси? Не является ли их реклама искусственно надуваемым мыльным пузырём?
Когда Apple предложил лицевую аутентификацию в смартфоне iPhone X, сложилось впечатление, что биометрия прочно заняла главенствующее место среди существующих на сегодняшний день способов аутентификации. Но так ли это? И надолго ли?
В реальности, пишет автор, биометрическая аутентификация не является «серебряной пулей» и никогда для этого не предназначалась. Как и любые другие методы аутентификации, биометрия хороша и надежна только в сочетании с разными способами проверки. Именно так, считает Дюкарм, надо ее оценивать.
Когда технология распознавания лиц стала завоевывать мир мобильных дивайсов, коды-пароли никуда не исчезли. Доминирующим трендом стала двухфакторная аутентификация. Более того – все другие известные способы, например, смс пароли, продолжают успешно применяться во множестве случаев, включая такую чувствительную сферу как онлайн банкинг.
Может показаться, что защита вашей банковской карты заключается в пин-коде из четырех цифр. На самом деле, защита многоуровневая. Всякий раз, когда вы оплачиваете покупку или осуществляете иную операцию с картой, помимо пин-кода в защите вашего банковского счета участвуют несколько технологий – искусственная разведка, аналитика данных, машинное обучение. Конечно, нет 100% гарантии от мошеннических взломов. Но если бы ваша банковская карта имела в арсенале защиты только пин-код, то количество успешных хакерских атак возрастало бы в геометрической форме.
Точно так же и биометрия не может рассматриваться как универсальная панацея от всех рисков. Но это мощное оружие на страже интересов организаций и человека. Автор публикации полагает важным для компаний не ограничиваться одним только способом аутентификации, но использовать многофактурные технологии, позволяющие проверять личность пользователя, его местонахождение, тип дивайса и характер поведения.
Как можно обмануть биометрическую аутентификацию? Ответ, в частности, дает веб-сайт withsecurity.ru:
В случае со сканером отпечатков пальцев, обмануть можно путем изготовления трехмерной модели пальца из специального материала, использования пальцев спящего человека, без сознания или мертвого. Сканеры радужной оболочки и сетчатки глаза можно обмануть качественной фотографией человека, распечатанной на цветной бумаге. Голосовые сканеры также имеют свои слабые места, которые возникают в результате применения искусственного интеллекта и нейронных сетей, способных имитировать голоса людей (такие системы имеют возможность скопировать любой человеческий голос и воспроизвести его за считанные секунды). Сканеры лица человека не уступают по степени уязвимости, поскольку некоторые из таких систем злоумышленник может обмануть с помощью фотографии человека.
Явный недостаток биометрии – невозможность изменить параметры (отпечаток пальца или рисунок радужной оболочки) в отличие от пароля или ПИН-кода. Если данными овладеет злоумышленник, мы подвергаем себя серьезным рискам.
Встает большой вопрос: стоит ли использовать биометрию, если ни один из методов биометрической идентификации не гарантирует 100% защиты?
Как отмечается в материале «Биометрия от «А» до «Я» фундаментальное руководство», подготовленном компанией «Интемс» (см. securityrussia.com), «смысл систем безопасности, в том числе и биометрических, — максимально усложнить задачу негодяям, задрать стоимость успешной атаки до потолка, сделать эту атаку экономически невыгодной. Вторая одновременная задача - совершенствование системы защиты не должно увеличивать время и сложность прохождения системы безопасности для рядового пользователя. Более того, стоит задача уменьшения времени и сложности. И в одновременном решении этих задач биометрии нет равных».
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|