Тялото, използвано за потвърждаване на самоличността; когато трябва да се притесняваме

От ходене до сърдечен ритъм тялото ви е уникално и индустрията за решения за удостоверяване иска да използва това. Причината е, че през последните години светът откри, че в онлайн средата традиционните начини за потвърждаване на самоличността вече не работят.

тялото

За решителен нападател, който използва сложни инструменти, но дори и за опортюнист, без големи умения, закупил малко злонамерен софтуер от тъмната мрежа, може да бъде изненадващо лесно да разбие онлайн акаунти и да напълни кошницата си с данни от карти. и друга информация. Особено ако паролата на жертвата всъщност е „парола“ или дума, която той е използвал около 20 пъти само през последната година.

Решението не е да се съхраняват все по-сложни пароли. Все едно да спазвате здравословна, но сложна диета. Знаете, че това е добре за вас, но прекарването на 20 минути всеки ден в почистване на сокоизстисквачката в крайна сметка ще прекъсне ентусиазма ви за обещанието за неизчерпаема енергия.

По този начин в индустрията за решения за удостоверяване и в области, където процесът на идентификация на потребителя трябва да бъде много ясен (напр. Банки, здравни организации, държавни агенции), много методи за удостоверяване се фокусират върху информацията, получена от нашите органи.

Тяло и технология: на закрито или на открито?

Като цяло има два подхода: в първия случай технологията е извън тялото и използва нейни уникални аспекти, а във втория технологията е поставена вътре: микропроцесори, имплантирани под кожата. Тук ще говоря за първия подход.

Елементите, които потвърждават, че определено сте вие, особено в цифровия свят, включват лицето, пръстовите отпечатъци, очите, ушите, вените, сърдечния ритъм, походката, начина, по който пишете, и гласа. Технологията превръща тези аспекти в двоични данни, които допълнително се използват за разрешаване на достъпа до вашите онлайн акаунти, цифрови устройства или, в случай на паспорти, за потвърждаване на вашата самоличност.

Основните биологични елементи на идентификацията

Очите - Сканирането на ириса идва предимно от сканирането на ретината (използвайки структурата на вените зад окото). Подобно на повечето биометрични идентификатори, ирисът е уникален за всеки човек и не се променя с течение на времето. Досега обаче разходите и оборудването, необходими за прилагане на техниките за идентификация, се използват главно на места, където достъпът до хора се контролира изключително строго: например в ЦЕРН, където се намира генераторът на частици или в сгради. използвани от армията. Съвсем наскоро можем да видим, че технологията се появява и в публичното пространство, на смартфони: Samsung Galaxy S8, няколко телефона Lumia Windowa и Fujitsu, както и някои iOS устройства могат успешно да сканират ретината ви. Но през 2015 г. хакер, известен като Starbug, твърди, че успешно е възпроизвел технологията за разпознаване, успявайки да копира ириса от онлайн снимка на германския канцлер Ангела Меркел.

пръстови отпечатъци - Вероятно най-известният и широко разпространен метод за удостоверяване, цифровото разпознаване въз основа на пръстови отпечатъци стана популярно, след като беше въведено на мобилните телефони на Apple през 2013 г. Само един ден след стартирането му, същата Starbug обяви, че е успяла да компрометира това функция, създаваща фалшив „пръст“ от пръстови отпечатъци, намерени в телефона.

Ръце - Този аспект включва триизмерната геометрия на пръст или ръка, както и мрежата от вени на ръката или пръста. Barclays Bank въведе разпознаване на вени на пръстите за своите корпоративни клиенти. Освен това повече от 80 000 банкомата в Япония идентифицират притежателите на своите акаунти, като сканират вените на дланта или пръста. Формата на ухото или по-сложен анализ на чертите на лицето се използват, наред с други, в Microsoft Xbox ONE и Playstation 4. Въпреки че няма индикации, че тези маркери са били компрометирани, има доказателства, че те започват да привличат вниманието на киберпрестъпниците.

Някои неотдавнашни анализи на Лабораторията на Касперски на престъпна дейност разкриха поне дванадесет доставчици на скимери за карти, способни да откраднат пръстовите отпечатъци на жертвите. И поне три от тях са изследователски устройства, които биха могли незаконно да получават данни от системи за разпознаване, базирани на вените на дланта и ириса. Изследователите също така откриха дискусии на онлайн форуми за разработването на мобилно приложение за "фалшиви маски за лице". Такова приложение би позволило на нападателя да направи снимка на някого от интернет, за да измами системата за разпознаване на лица.

Сърдечни удари - Този метод за идентификация е сравнително нов. Разработват се няколко продукта, единият от които Nymi: гривна, която може да потвърди вашата самоличност чрез уникални електрически импулси, генерирани от сърдечния ритъм. През август 2015 г. Nymi и Mastercard обявиха, че са пуснали първото удостоверено решение за мобилни плащания, базирано на сърдечен ритъм. Все още е рано да се оцени решението от гледна точка на уязвимостта на сигурността.

Гласът - Гласовото разпознаване вече се използва широко във финансовите услуги, обикновено заедно с други методи за удостоверяване. Това е сложен процес, който включва анализ на няколко параметъра и модели, включително интонация, специфични дефекти на речта, ред на думите и тяхното сравнение.

Дълбочината на анализа и големият обем данни, взети предвид при всеки запис, значително намаляват риска гласовата идентификация да бъде компрометирана от нападателите. Това обаче не гарантира, че методът е безопасен. В края на 2016 г. Adobe обяви нова технология за редактиране на глас - Voco - която ще позволи на потребителите да създават и редактират гласови записи само за 20 минути разговор. Има и други подобни решения, но не толкова лесни за използване. Ако вземем предвид и нарастващите гласови записи, събрани от новите интелигентни устройства в домовете ни, като Echo или Dot, хипотезата на нападател, който събира достатъчно данни, за да пресъздаде нечий глас, за да подведе системите за удостоверяване., става - изведнъж - много по-реалистично.

Ходене, стил на писане и други елементи на поведенческата биометрия - През повечето време тези методи се комбинират с други елементи, осигурявайки допълнително ниво на сигурност. Ходенето измерва позата, скоростта, дължината на крачката и движението на ходилата, наред с други. Напоследък се обръща внимание на това как хората взаимодействат със своите устройства (напр. Стил на писане и движения на мишката).

Нашата компания е една от тези, които прилагат подобни технологии. Новото решение за предотвратяване на измами в облак например включва проследяване и сърфиране с мишка за откриване на измамна дейност по време на сесията за онлайн банкиране. Всеки от тях има уникален начин за преместване на мишката по екрана. Ако нещо се промени, системата ще издаде аларма, защото някой друг може да използва акаунта ви или може да е инсталирана програма за злонамерен софтуер на вашата станция. Например, ако системата открие, че мишката се движи по страницата с постоянна скорост или няма движение на мишката, има голяма вероятност на вашия компютър да е инсталиран автоматичен злонамерен софтуер или троянски кон. Това също е потенциална индикация, че някой използва отдалечен административен инструмент (RAT).

Сърфирането онлайн може също да каже доста за нас. Потребителите обикновено отиват на страниците за търговия, за да се справят с фактури и други проблеми. Потребителите на зловреден софтуер или измами не се интересуват от плащането на сметката ви за електричество, но те искат да знаят какви кредитни лимити имате и да разберат личната ви информация. Така те отиват там за първи път, повдигайки въпросителен знак в бързината си.

Използването на специфичния начин на въвеждане като елемент за идентификация обаче става по-малко подходящо, тъй като мобилните устройства все повече се използват за достъп до Интернет, а клавиатурата по-малко.

Не на последно място има и такива, които искат да ви идентифицират, използвайки почти всичко възможно. Новият проект Abacus ще провери вашата самоличност с „кумулативен“ резултат на доверие, чрез който телефонът ви постоянно ви наблюдава и разпознава конкретни елементи от местоположението, начина, по който ходите и пишете, или чертите на лицето. Нашият опит показва, че използването на множество биометрични маркери носи допълнителна сигурност, но съществува и риск от загуба на понятие за поверителност.

Възможни решения за рискове за сигурността

Биометричните маркери са идеални като идентифициращи елементи, защото са уникални и не се променят с течение на времето. Това ги прави много уязвими едновременно. Ако те бяха компрометирани, последиците ще бъдат много сериозни за жертвите.

По своята същност биометричните идентификатори често са публични - например, всеки може да снима ухото или ириса ви по всяко време. Освен това, въпреки факта, че те вече се използват за проверка на самоличността, използването на информация за частите на тялото ви е до голяма степен нерегламентирано. Затова трябва да измислим решение, преди нападателите да намерят начин да ги експлоатират.

Ние - и други в бранша - започнахме да се тревожим за това преди две години. В допълнение към новите технологии за предотвратяване на измами, ние притежаваме и патент за многофакторно и контекстно биометрично удостоверяване и ще продължим да изучаваме тази област от гледна точка на сигурността. Всичко това потвърждава теорията, призната в индустрията за сигурност, че една система за измерване е твърде уязвима. Най-ефективната защита ще комбинира поне два от следните методи: нещо, което сте (вашето тяло), нещо, което знаете (лична информация) и нещо, което имате (парола или нещо подобно).

Сътрудничеството ще бъде ключово: между разработчиците на биометрични технологии за удостоверяване и идентификация, индустрията за сигурност и организациите, които ще внедрят крайните продукти. Нашата мисия е да разработим високоефективни решения за сигурност, да направим живота на потребителите по-опростен и по-сигурен, а за престъпниците да го направим по-труден, ако не и направо невъзможен.

Проблемът е, че не можем да си позволим да се провалим. Всеки от нас идва с едно тяло. Ако можете да замените откраднат номер на кредитна карта или акаунт, да не говорим, че можете да зададете нова парола, как да замените ретината, ухото или дори компрометирани пръстови отпечатъци? Не можете просто да поставите отметка в квадратчето и вместо това да получите имейл с връзка, за да създадете нов сърдечен ритъм.