אימות ביומטרי: איפה אנחנו ומה ההשפעות

23 שנים עברו מאז שפיטר שטיינר פרסם את הסרט המצויר הידוע לשמצה "באינטרנט אף אחד לא יודע שאתה כלב" על הניו יורקר, הממחיש ובמידה מסוימת צופה באופן רהוט ופשוט לאתגרים הקשורים לזהות מקוונת.

כיום ארגונים רבים עדיין נאבקים לפתור את הפאזל האם הגישה למידע באופן מקוון היא הפתגם "כלב באינטרנט", זה אם "הם מי שהם אומרים שהם ולא מתיימרים להיות מישהו אחר".

ההשלכות של זה שהפכה למלחמה של ממש משמעותיות: שנה אחר שנה הזהות ממשיכה להיות וקטור ההתקפה המנוצל ביותר במרחב הסייבר.

הבעיה הכי גדולה? פשוט: סיסמאהופרה ללא הרף וזה, למרות הכל, ממשיך לשמש את כולם בכל רחבי העולם, בין אם מדובר על חברות או אנשים פרטיים, כולם מתובלים בעקשנות או חוסר הכרה כרונית ללא הגנה נוספת שיכולה להיות שימוש בפתרונות של גורמי אימות מרובים.. תופעה אחרונה זו יוצאת דופן, אבוי, בחברות.

עולם ההאקרים עוקב אחר טכניקות ודינמיקות הדומות לתעשייה, בהן היצע וביקוש קובעים את מחיר המוצר. אפשר לקנות את הקוד של א לנצל טרם ידוע, רשימת שם משתמש e סיסמא נגנב מכל מקום, מספר כרטיסי אשראי בודדים מובטחים, עדיין תקפים לפחות למספר ימים וכו '. בקיצור, שוק פנטסטי שבו, פשוט על ידי טשטוש זהותו, ניתן לבצע עסקה !!!

מכל התופעות הללו נגזרות כמו "מלית אמיתית" שמבוססת על שניים מהצמתים החלשים ביותר של שרשרת ביטחון שלמה: אנשים ו סיסמא.

הרעיון של "לא להשתמש באותה סיסמה במספר אתרים" ידוע מאוד. אנו שומעים את זה שוב ושוב ועכשיו, אפילו יותר, אפילו כשאנחנו נרשמים לאתר חדש. אבל כמה אנשים באמת משתמשים בראיית הנולד הזו?

ברור שאנחנו לא מדברים על המומחים המשתמשים במנהל של סיסמא או מנגנונים דומים. עלינו לחשוב על הציבור הרחב שלא כל כך התפתח מבחינה IT. בהקשר זה סביר מאוד להניח שמשמשים בזה סיסמא בשני אתרים.

על ידי ניצול של פגיעות מהותית זו, התוקף מתמחה במציאת שילובים של שם משתמש e סיסמא תקפים. השלב הראשון הוא לקנות אינטרנט אפל ארכיון של שם משתמש e סיסמאות גנובות. כאשר בסיס נתונים זה בידיך אתה מתחיל לנסות את כל השילובים באתרים שונים בחיפוש אחר אנשים שהשתמשו בו שוב ושוב התחבר, לעתים קרובות כתובת דוא"ל, וזהה סיסמא. התוצאה הסופית היא תזקיק של שם משתמש e סיסמא תקפות במדיה החברתית, שירותי הדואר האלקטרוני, המסחר האלקטרוני שהערך שלהם גבוה מאוד כמו גם העובדה כי לעיתים קרובות מאוד, האישורים שמשתמשים בהם הם התאגידים. הנה אם כן השימוש בזה סיסמא באתרים מרובים הוא חושף מידע אישי הרבה מעבר לאתר "הכביסה".

האתגר עם סיסמאבשילוב שיטות אימות אחרות שאינן מספקות, הוגברה עם כניסתו של ענן. הסיבה? פשוט: עלייתו של ענן בשילוב עם פיצוץ המכשירים הניידים העושים בהם שימוש כבד, משמעות הדבר היא שיותר ויותר גישה לנתונים נמצאת מחוץ למה שנחשב לרשת של ארגון שעבורו, למרבה הצער, עדיין משתמשים בבדיקות. ביטחון מסורתי.

וכאן אנו חוזרים לנקודת המוצא, כלומר "בענן, השאלה הראשונה שמערכת צריכה לענות עליה היא" אתה מי שאתה אומר שאתה? " אל נשכח זאת לעולם: "אימות הוא" המפתח "לגישה לדלת של כל משאב ענן, וכפי שאני רוצה לומר, אימות הוא לב לבה של כל תשתית ומייצג את התכשיטים המשפחתיים להגן עליהם בכל מחיר ו בכל דרך שהיא.
מול תופעה שהולכת וגדלה ללא הרף, זיהוי ביומטרי נחשב בעיני רבים למערכת המיידית ביותר לניהול גישה הגישה שהיא, בו זמנית, בטוחה למדי ופשוטה למדי למי שצריך להזדהות.

השקת אפל של ה- Apple לגעת מזהה ב- 2013 הרחוק עד כה, שמציע למשתמשים אפשרות לבטל את נעילת הטלפונים באמצעות טביעות האצבע שלהם או באמצעות קוד PIN, הגדיר, למעשה, את ההכרה בטביעות האצבע כגורם אימות חדש, המופץ באופן מסחרי באמצעות סמארטפונים .

חיישני טביעות אצבע הם כיום הצעה בסמארטפונים ובמחשבים ניידים וגם זיהוי פנים צובר קרקע. מלבד הפנים והאצבע, כיום קשתית העין, הקול ופעימות הלב הן שלוש שיטות ביומטריות אחרות העולות על השוק. בינתיים, לאפל הצטרפו יצרנים מובילים ביניהם מיקרוסופט, לנובו, סמסונג, LG ופוג'יטסו בשילוב חיישנים ביומטריים במכשירים.

מבחינת האימות ההשלכות של תופעת "הצרכנות" של הביומטריה משמעותיות: במקום לחייב את המשתמש להכניס סיסמא או הכנס א אסימון, ביומטריה מאפשרת למכשיר פשוט "לזהות" משתמש. אם היא מוגדרת כהלכה, מערכת זו יכולה להוביל לחוויות אימות ללא סיסמא שהרבה יותר קל לשימוש מאשר טכנולוגיות אחרות.

בענן, בו משתמשים מצפים מגישה מיידית וביקוש ליישומים ולנתונים, ביומטריה מציעה אפשרות לפשט את האימות, תוך שיפור ה- פְּרָטִיוּת וביטחון. לא במקרה ביומטריה מסייעת לתעשייה להתגבר על גבולות השימושיות שהקשו על אימוץ אימות הדור הראשון, והעדיפה אימוץ רב יותר של כלי אימות מאובטחים ברחבי השוק.

עם זאת, לא כל הביומטריה זהה וכמה טכנולוגיות ותצורות יכולות ליצור סיכונים משמעותיים לביטחון וביטחון פְּרָטִיוּת כמו גם אתגרי רגולציה והתאמה. יש לטפל בסיכונים אלה על מנת להפיץ את הגורמים הביומטריים בצורה אחראית ובטוחה.

לב הבעיה עומדת העובדה שטכנולוגיות ביומטריות שונות בהתאם לשני עקרונות יסוד:

⦁ אמינות המכשירים ללא קשר לשיטות האימות השונות, כלומר פנים, טביעות אצבעות, איריס וכו '. השוק מגוון מאוד בהקשר זה וישנם פתרונות אמינים ביותר ואחרים שהם פחות פחות. תמיד יש לקחת בחשבון שני גורמים:

• שיעור קבלת שווא (FAR) מה שמציין באיזו תדירות המערכת הביומטרית מקבלת את הביומטריה של האדם הלא נכון;
• שיעור דחיית שווא (FRR) מה שמציין באיזו תדירות המערכת הביומטרית דוחה את הביומטריה של האדם הנכון.

⦁ לאופנים השונים שבהם מעצבים ומפיצים מערכות ביומטריות יכולות להיות השפעה משמעותית על כך שהן מסוגלות לשפר את הבטיחות ואת פְּרָטִיוּת לא להתנגד.

הבדל חשוב בין מצבי אימות מבוססי ביומטריה לבין פתרונות אימות אחרים הוא שהאחרונים, כמו סיסמא e אסימון, ניתן לשנות או לבטל. המשמעות היא שאם הם נגנבים או נפגעים, תמיד יש דרך פשוטה לשחרר פיתרון חדש ולפתור את הבעיה.

לעומת זאת, ביומטריה היא קבועה, ולפיכך לגילוי בלתי רצוני של נתונים ביומטריים יכולות להיות השלכות קשות יותר לתיקון מאשר פשוט סיסמא פר. מסיבה זו, כל יישום של ביומטריה חייב להיעשות בזהירות יתרה על מנת להקטין את האפשרות כי טביעת האצבע או הפנים של מישהו, למשל, עלולים להיפגע.

כדי להקל על סיכוני ה- IT, לעמוד בדרישות הרגולטוריות ולהבטיח גישה למשאבים בצורה פשוטה ובטוחה יותר, דרוש יותר ויותר אימות כדי להגן על זהות המשתמשים מפני איומים ובעקיפין, להגן על פרטיותם. .

השימוש בביומטריה כמנגנון אימות, אם מיושם נכון ובהתאם לתקנים, יכול לאפשר לחברות להגן על זהותן ברמה גבוהה יותר ממה שנעשה כיום בשימוש בסיסמאות.

עדיין קיימות מספר שאלות וספקות רבים לגבי השימוש בביומטריה כמתודולוגיית אימות:

⦁ היכן מאוחסנים הנתונים הביומטריים?

⦁ היכן נוצר השידוך הביומטרי?

⦁ האם הביומטריה היא הגורם היחיד הנדרש לאימות?

⦁ כיצד מוגנים מידע ביומטרי?

אנו משאירים את התשובות ללא מענה כרגע, עם ההבטחה לחקור אותן בקרוב.

_{צילום: רשת / חיל האוויר האמריקני / המשמר הלאומי האמריקני}