Параллельно с ростом популярности и доступности информационных технологий растет и количество угроз, связанных с их использованием. Основной из них является угроза утечки критически важной информации — как персональной, так и корпоративной. Поэтому защита данных — сегодня важнейшее направление работы специалистов по компьютерной безопасности.
Чтобы не допустить несанкционированного использования какой-либо важной информации, следует прежде всего пристально следить за легитимностью пользователей, получающих доступ к ней. Современный уровень развития технологий позволяет достаточно эффективно решать эту задачу. Все чаще используется двухфакторная аутентификация, когда обычные логин и пароль — лишь первый шаг к удостоверению подлинности, а в качестве дополнительного шага для подтверждения личности пользователя используются одноразовые пароли. Но, чтобы поставить непреодолимый заслон на пути охотников за данными, необходим один обязательный компонент: желание пользователей применять наработки специалистов и следовать их рекомендациям. С этим же порой возникают проблемы. Нынешний пользователь хочет, чтобы средства аутентификации были не только надежными, но и легкими в применении.
Одним из таких “волшебных” средств стала в последнее время биометрическая аутентификация. Казалось бы, что может быть проще и надежнее? Каждый человек обладает уникальными отпечатками пальцев, голосом, чертами лица. Эти идентификаторы всегда с нами, их невозможно потерять. А современная техника легко позволяет осуществлять их считывание и анализ.
Биометрической магии поддались не только простые пользователи, но и серьезные организации. Британские банки ввели для входа в аккаунты клиентов биометрию по отпечатку пальца. Разблокирование смартфонов Apple уже давно происходит с помощью тех же отпечатков. Теперь и в новые модели устройств на Android внедряется это средство. Master Card во всю работают над внедрением метода аутентификации с помощью селфи. К другим достаточно популярным методам биометрической аутентификации относятся также сканирование сетчатки или радужной оболочки глаза, аутентификация по венозному рисунку пальца или ладони, по голосу, пульсу или даже селфи.
Биометрическая аутентификация — это безусловно удобно? Но надежно ли? Вопрос!
Какие опасности таит в себе биометрическая аутентификация?
Несовершенство техники. Поскольку “предъявление” для проверки какого-либо биометрического параметра происходит, как правило, с помощью обычного смартфона, а качество их бывает разным, то вероятны ложноотрицательные результаты. Система может отказаться признать подлинность истинного хозяина учетной записи — например, из-за пореза на пальце сочтет этот отпечаток “чужим”. В случае, когда используется мультифакторная аутентификация и биометрические данные служат лишь одним из ее компонентов, идентификация сможет осуществиться с помощью OTP. Если же применяется вариант 2FA, при котором не одноразовые пароли, а именно биометрия является вторым фактором, то пользователь так и не сможет войти в аккаунт из-за этого ложного срабатывания.
- Плодами технического прогресса пользуются не только законопослушные граждане. Злоумышленники быстро осваивают последние технологические новинки. Например, несколько лет назад появилась программа, позволяющая наложить на видео виртуальный слепок с фотографии человека в режиме реального времени. С ее помощью можно предоставить сканеру не просто статичное фото объекта, в чей аккаунт осуществляется вход, а динамичный, движущийся клон. С отпечатками пальцев — та же беда. Их несложно подделать, изготовив объемный латексный слепок или перчатку. Для исходного образца достаточно даже фотографии ладони потенциальной жертвы в высоком разрешении.
- Скомпрометированные данные очень трудно восстановить. Если перехвачен пароль — его можно поменять за пару минут. Украденную кредитку или OTP токен восстановить будет чуть дольше, но тоже возможно. В том же случае, когда скомпрометированными оказываются биометрические параметры, присущие человеку от рождения, практически происходит похищение личности. А ее не поменяешь так же легко, как пароль или электронную карту.
Стоит ли применять биометрию при аутентификации?
Как дополнительный параметр для мультифакторной аутентификации, либо в случаях, не связанных с доступом к особенно важным данным, использование биометрии вполне уместно. К примеру, если отпечаток пальца выступает в роли “пропуска” в спортивный клуб, то это довольно удобно — не потребуется постоянно носить с собой членскую карточку.
Когда же это не спортзал, а банковский аккаунт, то более надежно использовать другие способы аутентификации. Такие проверенные средства как токены (компания Protectimus предоставляет несколько их разновидностей) или получение временного пароля по SMS гораздо лучше защитят важную информацию, чем новомодное сканирование сетчатки глаза.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!