생체 인식 보안 – 암호 없는 인증의 열쇠 또는 ​​유행?

게시 됨: 2022-03-11

암호 없는 인증은 수년 동안 보안의 성배였지만 그 발전은 고통스러울 정도로 더뎠습니다. 이것은 큰 진전이 이루어지지 않았다는 것을 의미하지는 않지만 불행히도 이러한 개발의 대부분은 연구실이나 전문 틈새 시장으로 이관되었습니다. 몇 년 전까지만 해도 대규모로 암호 없는 인증을 구현하는 기술은 불가능했습니다.

생체 인식 및 생체 보안

그러나 업계의 거물은 느리지만 확실하게 이것을 바꾸고 있습니다. 고려해야 할 몇 가지 기술적, 법적, 윤리적 고려 사항이 있지만 생체 인식 보안 및 암호 없는 인증은 그대로 유지됩니다.

생체 인식은 이미 판도를 바꾸고 있으며 계속 그렇게 할 것입니다.

처음에 왜 암호를 사용하지 않습니까?

이것은 엔지니어링 블로그이기 때문에 보안을 염두에 둔 개발자 그룹에게 빠른 로그인의 장점을 설명할 필요를 느끼지 않습니다. 우리는 소비자의 관점에서 문제를 볼 필요가 없습니다. 우리 모두는 무수히 많은 온라인 서비스와 점점 더 많은 수의 장치를 사용해야 합니다. 이것은 곧 변경되지 않을 것이며, 로그인해야 하는 서비스와 장치의 수는 계속 증가할 것입니다.

물론 생체 인증을 포함하여 암호가 생략되는 방법은 많이 있습니다. 사용자 관점에서는 사용자가 암호 팽창을 방지하고 모든 서비스 및 장치에 대해 계정을 만들 필요가 없기 때문에 타사 서비스에 로그인하기 위해 Google, Microsoft 및 Facebook 계정을 사용하는 것이 효과적입니다.

OAuth 및 OpenID는 디지털 ID를 통합하는 데 수년간 사용되어 왔으며 이 표준은 기술 업계의 유명 인사들에 의해 채택되었습니다.

기술적으로 이것은 암호가 없는 접근 방식이 아니지만 일반 사용자는 차이점을 인식하지 못할 수 있습니다.

이 접근 방식을 사용할 때의 장단점은 다음과 같습니다.

장점:

  • 편의
  • 구현하기 쉬움
  • 좋은 보안
  • 브랜드명 안심

단점:

  • 중앙 집중식 서비스에 대한 종속성
  • 한 바구니의 모든 계란 – 한 계정을 손상시켜 공격자가 다른 계정에 액세스할 수 있습니다.
  • 제어할 수 없는 잠재적인 보안 취약점이 사용자에게 사용될 수 있습니다.
  • 사람들은 개인 정보 보호 문제로 인해 이러한 서비스 사용을 꺼릴 수 있습니다.

일반적으로 소비자가 아닌 비즈니스 사용자로 분류되는 보안 인증서에는 적용되지 않지만 대체 솔루션의 경우 대부분이 해당됩니다. 장점이 단점을 능가하므로 기존 계정을 사용하여 이미 수많은 타사 서비스에 로그인할 수 있습니다.

생체 인식 및 생체 인식 보안이 어떻게 도움이 됩니까?

생체 인증 시스템을 사용하면 많은 문제가 해결됩니다. 중앙 집중식 서비스에 대한 의존도가 없고, 개인 정보 보호가 우려되지 않으며, 올바르게 수행된다면 사용자 경험이 손상되지 않습니다. 그럼 장단점을 살펴보도록 하겠습니다.

장점:

  • 지문 스캔은 빠르고 저렴하며 비교적 안전합니다.
  • 음성 인식은 사용하기 쉽고 조작하기 어렵습니다.
  • 홍채 스캔은 지문 스캔보다 매우 안전하고 잠재적으로 더 편리합니다.
  • "항상 켜진" 인증을 제공하는 심전도 기술
  • 모든 생체 인식 보안 방법은 개인 정보 보호 문제를 해결하는 동시에 우수한 보안을 제공합니다.

단점:

  • 생체 인식은 모든 애플리케이션에 적합하지 않습니다.
  • 생체 인식 보안을 배포하는 데 드는 비용은 종종 어마어마합니다.
  • 지원은 특정 플랫폼으로 제한되며 대부분의 플랫폼에서 사용할 수 없습니다.
  • 일부 기술은 아직 미성숙
  • 생체 인식은 만병통치약이 아닙니다. 보안은 여전히 ​​손상될 수 있습니다.

생체 인식은 새로운 개념이나 새로운 기술이 아닙니다. 생체 인식 보안은 수십 년 동안 많은 산업 분야에서 사용되어 왔으며 훨씬 더 오랫동안 헐리우드 대본 작가들의 필수품이었습니다. 나는 많은 독자들이 몇 년 전에 노트북에서 얼굴 인식과 지문 스캐너를 가지고 놀 기회를 가졌을 것이라고 확신합니다. 이러한 초기 솔루션의 대부분은 값싼 장치였습니다.

그러나 그 이후로 우리는 먼 길을 왔습니다. 훨씬 더 우수한 이미징 센서와 함께 더 많은 처리 능력을 사용할 수 있으며 모든 것이 점점 더 정교해지는 소프트웨어에 의해 뒷받침됩니다. 이것이 이러한 기술 중 일부가 복수를 하고 있는 이유입니다.

지문 스캐너에 엄지손가락을 치켜드는 업계

Apple의 Touch ID는 아마도 시장에서 가장 인지도가 높은 지문 인증 솔루션일 것입니다. 그러나 이것이 유일한 것은 아닙니다. Apple은 iOS 8에서 타사 개발자에게 Touch ID를 공개하고 새로운 iPhone 및 iPad와 Apple Pay 서비스에 이 기술을 통합하는 작업을 진행했습니다.

이것이 iOS가 Android 및 기타 플랫폼보다 분명한 우위를 차지하는 이유입니다. 모든 새로운 iPhone 및 iPad는 Cupertino가 더 나은 것을 제공할 때까지 Touch ID와 함께 제공됩니다.

지문 생체 인식 보안

지문 스캐너가 탑재된 Android 휴대전화가 점점 더 많아지고 있기 때문에 Android를 폐기해야 한다는 의미는 아닙니다. 최초의 생체 인증 장치는 사용자가 스캐너 위로 손가락을 스와이프해야 하는 소형 스캐너를 특징으로 했지만 Apple과 유사한 터치 스캔 장치가 점점 보편화되고 있습니다. 이 기능은 고가의 플래그십 제품을 위한 것이 아니라는 점에 유의하는 것이 중요합니다. 중국 공급업체에서 판매하는 일부 200달러 휴대폰에도 이러한 스캐너가 탑재되어 있습니다.

그러나 여전히 고려 사항이 있습니다. Google은 원래 Nexus 6 스마트폰에 지문 스캐너를 포함시키려 했다는 소문이 있지만 Nexus 기기에 지문 스캐너를 통합하지 않았습니다. 실제로 AOSP(Android Open Source Project)는 지문 지원이 기기에서 제거되었다는 증거를 제공했습니다. Google은 일반적으로 Nexus S의 NFC 지원 또는 Galaxy Nexus의 기압계 센서의 경우와 같이 Nexus 기기에서 새로운 기술을 선보이고 문서 및 API를 후속 조치하기 때문에 Android 개발자에게는 좋은 소식이 아닙니다.

그러나 이것이 공급업체가 몇 가지 유형의 스캐너와 함께 자체 코드를 사용하는 것을 막지는 못했습니다. 그러나 단편화를 제거하고 상호 운용성을 보장하는 표준이 없기 때문에 손이 묶인 개발자에게는 나쁜 소식입니다. 삼성은 개발자들이 Pass API를 가지고 놀 수 있도록 하여 문제를 극복하려고 시도했지만 이것은 여전히 ​​이상적인 솔루션이 아닙니다. 모토로라는 4년 전 오래된 Atrix 장치로 동일한 작업을 시도했습니다.

많은 하드웨어 제조업체와 개발자도 개발자가 다양한 지문 스캐너에 대한 지원을 통합할 수 있도록 SDK를 출시했지만 단편화를 줄이거나 제거할 표준화된 환경의 부족은 여전히 ​​큰 문제입니다.

대부분의 휴대폰에서 지문 스캐너를 사용하려면 시간이 걸릴 수 있지만 많은 진전이 이루어지고 있습니다. 우리는 몇 년 만에 플래그십 전화기에 스캐너가 없는 상태에서 200달러짜리 전화기에 비교적 안정적인 스캐너로 바뀌었습니다.

지문 스캐너

그러나 얼마나 유용한가요? 구형 노트북의 1세대 지문 스캐너와 같은 속임수일까요?

기술이 작동한다는 점에는 의심의 여지가 없지만 당분간 응용 프로그램은 제한적입니다. 소프트웨어 개발은 ​​하드웨어를 따라잡아야 하고 그러한 솔루션을 사용할 수 있는 더 많은 서비스가 필요하며 업계 리더(즉, Google)의 더 많은 API와 표준 및 지침이 필요합니다. 이 시점에서 많은 Android 기기의 지문 스캐너 속임수일 뿐 그 이상은 아닙니다.

전반적으로 지문 스캐너는 편리하지만 이상적인 솔루션은 아닙니다. 모든 지문은 고유하지만 여전히 몇 가지 보안 문제가 있습니다. 많은 스캐너가 속일 수 있지만 단순한 이미지로 이를 해결하기가 점점 더 어려워지고 있습니다. 그러나 몇 년 전에 한 보안 전문가가 지적했듯이 3D 프린팅과 이를 수행하는 몇 가지 병적인 방법을 포함한 대안이 있습니다.

말할 필요도 없이 지문 판독기는 장갑을 끼거나 엄지손가락을 다친 경우 또는 기타 극단적인 상황에서 사용할 수 없습니다. 그러나 이것들은 상대적으로 사소한 단점입니다.

Microsoft는 당신의 눈을 보고 싶어합니다

요약하자면. Android 및 iOS는 이미 생체 인식 보안을 위해 지문 스캐너를 사용할 수 있으며 현재 활용도가 낮습니다. 그러나 데스크탑 환경은 어떻습니까? 우리는 휴대전화의 잠금을 해제하고 생체 인식을 사용하여 결제를 인증할 수 있지만 여전히 데스크톱에서 작업하므로 진정한 암호 없는 데스크톱으로 만드는 것은 어떻습니까?

Microsoft는 최근 Windows Hello를 발표했으며 이를 놓친 경우 공식 Windows 블로그에서 이 이니셔티브에 대한 포괄적인 개요를 확인하세요.

Microsoft는 Windows Hello에 대한 비전을 다음과 같이 설명합니다.

Windows 10은 암호와 같은 공유 또는 공유 가능한 비밀을 사용하는 대신 암호를 보내지 않고도 사용자를 대신하여 응용 프로그램, 웹 사이트 및 네트워크에 안전하게 인증할 수 있도록 도와줍니다. 따라서 해커가 잠재적으로 손상시킬 수 있는 공유 암호가 서버에 저장되지 않습니다.

Windows 10은 생체 인식 센서가 있는 장치에서 PIN 또는 Windows Hello를 사용하여 사용자를 대신하여 인증하기 전에 장치를 소유하고 있는지 확인하도록 요청합니다. 'Passport'로 인증되면 즐겨 찾는 상거래 사이트, 이메일 및 소셜 네트워킹 서비스, 금융 기관, 비즈니스 네트워크 등 다양한 산업 분야에서 증가하는 웹사이트 및 서비스에 즉시 액세스할 수 있습니다._

Windows Hello는 지문 스캔, 홍채 스캔 또는 얼굴 인식을 사용하여 사용자가 Windows 10 장치에 즉시 액세스할 수 있도록 하는 생체 인증 시스템입니다. Microsoft는 "많은" 새로운 Windows 10 장치가 Windows Hello를 지원할 것이라고 밝혔지만 개인적으로 한 가지 기술이 특히 흥미롭습니다.

홍채 스캔은 Microsoft에서 지원하는 방법 중 하나이며 대안에 비해 몇 가지 이점이 있습니다. 지문 스캔보다 더 안정적이고 잠재적으로 더 편리해야 합니다. 이 문제는 웹캠이나 전화 카메라에서 처리되지 않는지 궁금하시다면 Microsoft는 시스템을 이길 수 없도록 "특수 하드웨어와 소프트웨어의 조합"을 사용하려고 합니다.

홍채 스캐닝 및 생체 인식

홍채 스캐너는 적외선 기술(잠재적으로, 근적외선)에 의존합니다. 이것은 모든 조명 조건에서 작동할 수 있고 안경을 통해 심지어 착색 안경을 통해 홍채를 볼 수 있음을 의미합니다. 하드웨어 설계자는 스캐너를 통합하기 위해 장치에 많은 공간을 할당할 필요가 없습니다. 휴대폰의 셀카 캠 바로 옆에 통합하거나 오늘날 많은 사무 기기에서 사용되는 독립형 웹 카메라에 추가할 수 있습니다. 이는 기존 데스크탑 PC에 쉽게 개조할 수 있음을 의미합니다.

적외선 스캐너 외에도 Microsoft는 Intel RealSense 카메라 기술을 기반으로 하는 얼굴 인식과 같은 보다 전통적인 생체 인식 보안 수단도 사용할 것입니다. 이것은 특히 사용자가 Intel 플랫폼을 기반으로 하는 새로운 노트북 및 하이브리드로 업그레이드할 때 Windows Hello를 더 많이 만드는 데 도움이 될 것입니다.

모바일 프론트에서 홍채 스캔은 지문 인증에 비해 몇 가지 장점을 제공합니다. 장갑과 함께 사용할 수 있으며 홍채 부상은 엄지 부상보다 훨씬 덜 일반적이며 지문 스캐너보다 소비자 등급 홍채 스캐너를 이기는 것이 훨씬 더 어려울 것입니다.

Microsoft의 접근 방식에는 또 다른 각도가 있습니다. 이 소프트웨어 대기업은 사용자의 생체 인식 데이터를 저장하지 않을 것입니다. 생체 인식 서명은 장치에서 로컬로 보호되고 사용자 외에는 누구와도 공유되지 않습니다. 서명은 장치와 Passport의 잠금을 해제하는 데만 사용되므로 네트워크를 통해 사용자를 인증하는 데는 사용되지 않습니다.

배심원단은 여전히 ​​Microsoft의 생체 인식 계획에 대해 논의 중이며 Windows 10이 실행될 때까지 기다려야 합니다.

Always-On 인증은 어떻습니까?

이러한 모든 기술이 기존 암호를 대체하는 데 효과적일 수 있지만 엔지니어에게 더 많은 자유를 줄 수 있는 새로운 개념이 있습니다. 암호나 지문 스캔 없이 프로세스를 완전히 생략할 수 있다면 어떨까요?

"항상 인증"은 다음 영역이며 이미 여러 가지 방법이 제안되었습니다. 그러나 중요한 구별이 필요합니다. 상시 인증은 일반적으로 "상시 사용" SSL 인증, SHH 연결, NFC 자격 증명 및 다양한 네트워킹 기술 시스템과 같은 기계 간 인증을 나타냅니다. 이들은 일반적으로 금융 거래를 모니터링하고 인증하기 위해 개발되어 온라인 사기의 위험을 줄입니다.

상시 작동 사용자 인증을 위한 솔루션은 비교적 적습니다. 그러한 예로 Bionym의 Nymi 팔찌가 있습니다. 일반적인 피트니스 트래커와 매우 흡사한 웨어러블 기기이지만 그보다 더 똑똑합니다.

항상 인증

Nymi는 사용자의 고유한 심전도(ECG)를 스캔합니다. 즉, 상시 인증을 제공하려면 손목에 장치만 있으면 됩니다. 심장이 계속 뛰는 한 로그인됩니다.

Apple Watch 또는 Android Wear 시계에서 동일한 트릭을 시도할 생각이라면 말을 잘 들어라. 우리는 아직 거기에 있지 않다. Nymi는 단순히 스마트워치처럼 사용자의 심박수를 추적하는 것이 아니라 실제로 사용자의 ECG 파형을 분석하여 보다 민감한 센서를 사용합니다. Smartwatch는 이 애플리케이션을 위한 이상적인 하드웨어 플랫폼처럼 들리며 조만간 동일한 작업을 수행할 수 있게 될 것입니다.

단순히 거기에 있고 맥박을 가지고 전화, 자동차, 사무실 및 컴퓨터의 잠금을 해제하는 것을 상상해보십시오. 아무 계정에나 원활하게 로그인한 다음 점심 식사를 하고 집에 가는 길에 쇼핑을 하고 ATM에서 현금을 인출하는 등 식료품과 신용 카드를 뒤적거리지 않고도 이 모든 것이 가능합니다. 우리는 아직 거기에 없지만 천천히 거기에 도달하고 있습니다.

이 모든 것이 소프트웨어 개발자와 사용자에게 무엇을 의미합니까?

당분간 소프트웨어 개발자는 기성 미들웨어 및 토큰화를 사용하여 암호 없는 솔루션을 배포할 수 있습니다. 그러한 예로 Node.js 및 Express용 토큰 기반 오픈 소스 프레임워크인 Passwordless가 있습니다. 배포 방법에 관심이 있는 경우 Mozilla에 이에 대해 설명하는 포괄적인 블로그 게시물이 있습니다.

시간이 걸리겠지만 생체 인식 빌딩 블록이 서서히 자리를 잡고 있습니다. 암호 없는 기술의 현재 작물은 증대되고 결국 생체 인증으로 대체될 것입니다.

많은 동료들을 포함하여 많은 생체 인식 보안 회의론자들은 이것이 조만간 일어날 것이라고 믿지 않지만 저는 교정할 수 없는 낙관론자입니다. 암호 없는 보안이 10년 말까지 표준이 될 것이라고 생각합니다. 이것이 바로 그 이유입니다. 소프트웨어 또는 하드웨어와 같은 특정 분야를 관찰하기만 해도 생체 인식과 관련된 수많은 문제를 발견하게 될 것입니다. 그 중 많은 부분이 이미 설명했습니다. 그러나 몇 걸음 물러서서 큰 그림을 보고 새로운 산업 동향과 개인 및 기업 보안에 대한 강조 증가, 널리 알려진 보안 침해, 개인 정보 보호 문제를 살펴보면 다음과 같은 사실을 보게 될 것입니다. 다른 관점.

그래도 방 안의 코끼리는 사생활 보호나 B2B 보안이 아니라 모바일 결제다.

미국의 모바일 거래 규모는 올해 두 배 이상 증가한 100억 달러에 이를 것으로 예상됩니다. Bloomberg는 2018년까지 거래량이 1,100억 달러에 이를 것으로 예상합니다. 1인당 기준으로, 평균적인 미국 소비자는 올해 약 $30의 거래를 할 것이지만, 2018년까지 그 수치는 모든 남성, 여성 및 어린이에 대해 1인당 $330까지 증가할 것입니다. 2019년과 2020년에 동일한 복합 연간 성장률을 가정하면 2021년까지 1인당 4자리 숫자가 될 수 있습니다.

그런 종류의 돈을 가지고 놀면서 어떻게 생각하세요?