Bezpieczeństwo biometryczne — klucz do uwierzytelniania bez hasła czy fanaberia?

Opublikowany: 2022-03-11

Uwierzytelnianie bez hasła od lat jest Świętym Graalem bezpieczeństwa, ale postęp jest boleśnie powolny. Nie oznacza to, że nie poczyniono ogromnych postępów, ale niestety większość tych osiągnięć została przeniesiona do laboratoriów badawczych lub profesjonalnych nisz. Jeszcze kilka lat temu technologia implementacji uwierzytelniania bez hasła na wielką skalę po prostu nie była dostępna.

biometria i bezpieczeństwo biometryczne

Jednak moloch branży powoli, ale pewnie to zmienia. Należy wziąć pod uwagę kilka kwestii technicznych, prawnych, a nawet etycznych, ale tak czy inaczej, bezpieczeństwo biometryczne i uwierzytelnianie bez hasła nie znikną.

Biometria już zmienia zasady gry i nadal będzie to robić.

Dlaczego w pierwszej kolejności nie korzystać z hasła?

Ponieważ jest to blog inżynierski, nie czuję potrzeby wyjaśniania grupie programistów dbających o bezpieczeństwo zalet szybkiego logowania. Nie musimy patrzeć na problem z perspektywy konsumenta – wszyscy jesteśmy zmuszeni do korzystania z niezliczonych usług online i coraz większej liczby urządzeń. W najbliższym czasie to się nie zmieni, a jeśli już, to liczba usług i urządzeń, do których będziemy musieli się logować, będzie stale rosła.

Oczywiście istnieje wiele sposobów rezygnacji z haseł, w tym uwierzytelnianie biometryczne. Z perspektywy użytkownika korzystanie z kont Google, Microsoft i Facebook do logowania się do usług innych firm działa, ponieważ użytkownik może uniknąć nadmiernego hasła i nie musi tworzyć kont dla każdej usługi i urządzenia.

OAuth i OpenID są używane od lat do konsolidacji tożsamości cyfrowych, a standardy są stosowane przez niektóre z największych nazwisk w branży technologicznej.

Technicznie rzecz biorąc, nie jest to podejście bez hasła, ale przeciętny użytkownik może nie zauważyć różnicy.

Plusy i minusy korzystania z tego podejścia to:

Plusy:

  • Wygoda
  • Łatwy do wdrożenia
  • Dobre bezpieczeństwo
  • Marka spokój ducha

Cons:

  • Zależność od scentralizowanej usługi
  • Wszystkie jajka w jednym koszyku – włamując się na jedno konto, atakujący może uzyskać dostęp do innych
  • Potencjalne luki w zabezpieczeniach, na które nie masz wpływu, mogą zostać wykorzystane przeciwko Tobie
  • Ludzie mogą niechętnie korzystać z takich usług ze względu na obawy dotyczące prywatności

W dużej mierze dotyczy to rozwiązań alternatywnych, chociaż nie dotyczy to certyfikatów bezpieczeństwa, które zwykle są przekazywane użytkownikom biznesowym, a nie konsumentom. Zalety przeważają nad wadami, dzięki czemu możemy już logować się do niezliczonych usług stron trzecich za pomocą naszych istniejących kont.

Jak biometria i zabezpieczenia biometryczne mogą pomóc?

Korzystanie z systemów uwierzytelniania biometrycznego rozwiązuje wiele problemów; nie ma polegania na scentralizowanych usługach, prywatność nie jest problemem, a wrażenia użytkownika nie są zagrożone – pod warunkiem, że jest to zrobione prawidłowo. Przyjrzyjmy się więc zaletom i wadom.

Plusy:

  • Skanowanie linii papilarnych jest szybkie, tanie i stosunkowo bezpieczne
  • Rozpoznawanie głosu jest łatwe w użyciu i trudne do manipulowania
  • Skanowanie tęczówki oka jest bardzo bezpieczne i potencjalnie wygodniejsze niż skanowanie odcisków palców
  • Technologia elektrokardiogramu zapewnia uwierzytelnianie „zawsze włączone”
  • Wszystkie metody bezpieczeństwa biometrycznego rozwiązują problemy związane z prywatnością, oferując jednocześnie dobre zabezpieczenia

Cons:

  • Biometria nie nadaje się do wszystkich zastosowań
  • Koszt wdrożenia zabezpieczeń biometrycznych jest często zaporowy
  • Wsparcie jest ograniczone do niektórych platform i niedostępne na większości
  • Niektóre technologie są jeszcze niedojrzałe
  • Biometria nie jest srebrną kulą – bezpieczeństwo wciąż może być zagrożone

Biometria nie jest nową koncepcją ani nową technologią. Bezpieczeństwo biometryczne jest używane w wielu branżach od dziesięcioleci, a jeszcze dłużej było podstawą hollywoodzkich scenarzystów. Jestem pewien, że wiele lat temu wielu czytelników miało okazję pobawić się rozpoznawaniem twarzy i skanerami linii papilarnych w swoich notebookach – wiem, że tak i wiem, że nie byłem pod wrażeniem; większość z tych wczesnych rozwiązań była tanimi sztuczkami.

Jednak od tego czasu przeszliśmy długą drogę. Dostępna jest większa moc obliczeniowa, a także znacznie lepsze czujniki obrazowania, a wszystko jest wspierane przez coraz bardziej zaawansowane oprogramowanie. Dlatego niektóre z tych technologii powracają, co robią z nawiązką.

Przemysł daje kciuki do skanerów linii papilarnych

Touch ID firmy Apple jest prawdopodobnie najbardziej rozpoznawalnym rozwiązaniem uwierzytelniania odciskiem palca na rynku, ale w żadnym wypadku nie jest jedynym. Firma Apple otworzyła Touch ID dla zewnętrznych programistów w iOS 8 i przystąpiła do integracji tej technologii z nowymi iPhone'ami i iPadami, a także z usługą Apple Pay.

Dlatego iOS ma wyraźną przewagę nad Androidem i innymi platformami; każdy nowy iPhone i iPad będzie dostarczany z Touch ID, dopóki Cupertino nie wymyśli czegoś lepszego.

bezpieczeństwo biometryczne odcisków palców

Nie oznacza to, że Android powinien być spisany na straty, ponieważ coraz więcej telefonów z Androidem jest sprzedawanych ze skanerami linii papilarnych. Pierwsze biometryczne urządzenia uwierzytelniające zawierały małe skanery, które wymagały od użytkownika przesuwania palca po skanerze, ale jednostki skanowania dotykowego, podobne do urządzeń Apple, stają się coraz bardziej powszechne. Należy zauważyć, że ta funkcja nie jest zarezerwowana dla drogich, flagowych produktów – nawet niektóre telefony o wartości 200 USD sprzedawane przez chińskich dostawców są wyposażone w takie skanery.

Jednak nadal istnieje kwestia; Google nie zintegrował skanera linii papilarnych z żadnym ze swoich urządzeń Nexus, chociaż podobno pierwotnie zamierzał umieścić go w smartfonie Nexus 6. W rzeczywistości projekt Android Open Source Project (AOSP) dostarczył dowodów na to, że obsługa odcisków palców została usunięta z urządzenia. Nie jest to dobra wiadomość dla programistów Androida, ponieważ Google zwykle prezentuje nową technologię na urządzeniach Nexus i śledzi dokumentację oraz interfejsy API, tak jak miało to miejsce w przypadku obsługi NFC w Nexusie S lub czujnika barometru w Galaxy Nexus.

Mimo to nie przeszkodziło to dostawcom w używaniu własnego kodu z kilkoma rodzajami skanerów. Jest to jednak zła wiadomość dla programistów, którzy mają związane ręce, ponieważ nie ma standardu, który eliminowałby fragmentację i zapewniał interoperacyjność. Samsung próbował rozwiązać ten problem, pozwalając programistom bawić się swoim Pass API, ale nadal nie jest to idealne rozwiązanie. Motorola próbowała zrobić to samo cztery lata temu ze swoimi starymi urządzeniami Atrix.

Wielu producentów sprzętu i programistów udostępniło również pakiety SDK umożliwiające programistom zintegrowanie obsługi różnych skanerów linii papilarnych, ale brak znormalizowanego środowiska, które zmniejszyłoby lub wyeliminowałoby fragmentację, jest nadal dużym problemem.

Może minąć trochę czasu, zanim zobaczymy skanery linii papilarnych na większości telefonów, ale robi się duży postęp. W ciągu kilku lat przeszliśmy od braku skanerów w flagowych telefonach do stosunkowo niezawodnych skanerów w telefonach o wartości 200 USD.

skanery linii papilarnych

Ale jak bardzo są przydatne? Czy to tylko sztuczki, takie jak skanery linii papilarnych pierwszej generacji w starych notebookach?

Technologia działa, nie ma co do tego wątpliwości, ale na razie zastosowania są ograniczone. Tworzenie oprogramowania musi dorównać sprzętowi, potrzebujemy więcej usług, które mogą korzystać z takiego rozwiązania, potrzebujemy więcej API oraz standardów i wytycznych od liderów branży (czyli Google). W tym momencie skanery linii papilarnych na wielu urządzeniach z Androidem to sztuczki, nic więcej.

Ogólnie rzecz biorąc, skanery linii papilarnych są wygodne, ale nie są idealnym rozwiązaniem. Chociaż każdy odcisk palca jest unikalny, nadal istnieją pewne obawy dotyczące bezpieczeństwa. Wiele skanerów można oszukać, chociaż coraz trudniej jest to zrobić za pomocą prostego obrazu. Istnieją jednak alternatywy, w tym drukowanie 3D i niektóre chorobliwe sposoby na robienie tego, jak zauważył kilka lat temu jeden z ekspertów ds. Bezpieczeństwa.

Nie trzeba dodawać, że nie można używać czytników linii papilarnych w rękawiczkach, zranionym kciukiem lub w innych ekstremalnych sytuacjach. Ale są to stosunkowo niewielkie wady.

Microsoft chce spojrzeć Ci w oczy

Więc podsumujmy. Android i iOS mogą już używać skanerów linii papilarnych do bezpieczeństwa biometrycznego, a obecnie nie są one w pełni wykorzystywane. Ale co ze środowiskami desktopowymi? Możemy odblokowywać nasze telefony i uwierzytelniać płatności za pomocą biometrii, ale nadal pracujemy na komputerach stacjonarnych, więc co powiesz na uczynienie ich naprawdę bezhasłowymi?

Microsoft niedawno ogłosił Windows Hello, a jeśli go przegapiłeś, sprawdź oficjalny blog Windows, aby uzyskać wyczerpujący przegląd tej inicjatywy.

Oto jak Microsoft wyjaśnia swoją wizję Windows Hello:

Zamiast używać udostępnionego lub udostępnianego klucza tajnego, takiego jak hasło, system Windows 10 pomaga bezpiecznie uwierzytelniać się w aplikacjach, witrynach internetowych i sieciach w Twoim imieniu — bez wysyłania hasła. W związku z tym na ich serwerach nie jest przechowywane wspólne hasło, które haker mógłby potencjalnie narazić na szwank.

System Windows 10 poprosi Cię o zweryfikowanie posiadania urządzenia, zanim zostanie ono uwierzytelnione w Twoim imieniu, za pomocą kodu PIN lub funkcji Windows Hello na urządzeniach z czujnikami biometrycznymi. Po uwierzytelnieniu za pomocą „Paszportu” będziesz mieć natychmiastowy dostęp do rosnącego zestawu witryn i usług z różnych branż — ulubionych witryn handlowych, poczty e-mail i serwisów społecznościowych, instytucji finansowych, sieci biznesowych i nie tylko._

Windows Hello to biometryczny system uwierzytelniania, który umożliwi użytkownikom natychmiastowy dostęp do urządzeń z systemem Windows 10 za pomocą skanowania linii papilarnych, skanowania tęczówki oka lub rozpoznawania twarzy. Microsoft twierdzi, że „wiele” nowych urządzeń z systemem Windows 10 będzie obsługiwać Windows Hello, ale osobiście uważam, że jedna technika jest szczególnie interesująca.

Skanowanie tęczówki oka jest jedną z metod obsługiwanych przez firmę Microsoft i ma kilka zalet w porównaniu z alternatywami. Powinno być bardziej niezawodne i potencjalnie wygodniejsze niż skanowanie odcisków palców. Jeśli się zastanawiasz, nie poradzą sobie z tym nasze kamery internetowe ani aparaty w telefonie — Microsoft chce użyć „kombinacji specjalnego sprzętu i oprogramowania”, aby mieć pewność, że system nie zostanie pokonany.

skanowanie tęczówki i biometria

Skaner tęczówki będzie opierał się na technologii podczerwieni (potencjalnie bliskiej podczerwieni). Oznacza to, że będzie mógł działać w każdych warunkach oświetleniowych i widzieć tęczówkę przez okulary, nawet przyciemniane. Projektanci sprzętu nie będą musieli poświęcać dużo miejsca na urządzeniu, aby zintegrować skaner; można go zintegrować bezpośrednio z kamerą do selfie w naszych telefonach komórkowych lub jako dodatek do samodzielnych kamer internetowych używanych obecnie w wielu komputerach biurowych. Oznacza to, że można go łatwo doposażyć w istniejące komputery stacjonarne.

Oprócz skanerów na podczerwień Microsoft będzie również stosować bardziej tradycyjne środki bezpieczeństwa biometrycznego, takie jak rozpoznawanie twarzy, opierając się na technologii kamer Intel RealSense. Powinno to zwiększyć wydajność Windows Hello, zwłaszcza gdy użytkownicy przechodzą na nowe notebooki i hybrydy oparte na platformach Intel.

Na froncie mobilnym skanowanie tęczówki ma kilka zalet w porównaniu z uwierzytelnianiem odcisków palców; może pracować w rękawiczkach, urazy tęczówki są znacznie rzadsze niż urazy kciuka, a pokonanie skanera tęczówki klasy konsumenckiej niż skanera linii papilarnych powinno być znacznie trudniejsze.

Podejście Microsoftu jest pod innym kątem – gigant oprogramowania nie przechowuje danych biometrycznych użytkowników. Podpis biometryczny będzie zabezpieczony lokalnie na urządzeniach i udostępniony tylko użytkownikowi. Podpis będzie używany tylko do odblokowania urządzenia i Paszportu, więc nie będzie używany do uwierzytelniania użytkowników w sieci.

Jury wciąż nie bierze udziału w planach biometrycznych Microsoftu i będziemy musieli poczekać, aż system Windows 10 zobaczy go w akcji.

A co z zawsze włączonym uwierzytelnianiem?

Chociaż wszystkie te technologie mogą dobrze zastąpić tradycyjne hasła, pojawiają się nowe koncepcje, które mogą dać inżynierom większą swobodę. Co by było, gdybyśmy mogli całkowicie zrezygnować z tego procesu, bez haseł, bez skanowania odcisków palców – nic?

„Zawsze włączone uwierzytelnianie” to kolejna granica i zaproponowano już wiele sposobów na osiągnięcie tego celu. Należy jednak dokonać ważnego rozróżnienia. Uwierzytelnianie zawsze włączone zwykle odnosi się do uwierzytelniania typu maszyna-maszyna, takiego jak system „zawsze włączonej” uwierzytelniania SSL, połączenia SHH, poświadczenia NFC i różne technologie sieciowe. Są one zwykle opracowywane w celu monitorowania i uwierzytelniania transakcji finansowych, zmniejszając w ten sposób ryzyko oszustw internetowych.

Istnieje stosunkowo niewiele rozwiązań dotyczących ciągłego uwierzytelniania użytkowników. Jednym z takich przykładów jest opaska Nymi firmy Bionym. Jest to urządzenie do noszenia, które wygląda jak przeciętny monitor fitness, ale jest bardziej sprytne.

zawsze na uwierzytelnianiu

Nymi skanuje unikalny elektrokardiogram (EKG) użytkownika. Oznacza to, że wystarczy mieć urządzenie na nadgarstku, aby zapewnić ciągłe uwierzytelnianie. Dopóki twoje serce bije, będziesz zalogowany.

Jeśli myślisz o wypróbowaniu tej samej sztuczki na zegarkach Apple Watch lub Android Wear, trzymaj konie, jeszcze nas tam nie ma. Nymi nie tylko śledzi tętno użytkownika jak smartwatch, ale faktycznie analizuje kształt fali EKG użytkownika, która wymaga bardziej czułego czujnika. Smartwatche brzmią jak idealna platforma sprzętowa dla tej aplikacji i prędzej czy później będą w stanie robić to samo.

Wyobraź sobie odblokowywanie telefonu, samochodu, biura i komputera, po prostu będąc tam i mając puls? Bezproblemowe logowanie na dowolne konto, płacenie za obiad, robienie zakupów w drodze do domu i może wypłata gotówki z bankomatu, a wszystko to bez konieczności żonglowania zakupami i kartami kredytowymi. Jeszcze nas tam nie ma, ale powoli tam docieramy.

Co to wszystko oznacza dla programistów i użytkowników?

Na razie twórcy oprogramowania mogą używać gotowego oprogramowania pośredniczącego i tokenizacji do wdrażania rozwiązań bez haseł. Jednym z takich przykładów jest Passwordless, oparta na tokenach platforma open-source dla Node.js i Express. Jeśli jesteś zainteresowany sposobem wdrożenia, Mozilla ma obszerny wpis na blogu, który to wyjaśnia.

Zajmie to trochę czasu, ale biometryczne elementy konstrukcyjne powoli zaczynają się układać. Obecne zbiory technologii bez haseł zostaną rozszerzone i ostatecznie zastąpione uwierzytelnianiem biometrycznym.

Wielu sceptyków bezpieczeństwa biometrycznego, w tym wielu moich kolegów, nie wierzy, że stanie się to w najbliższym czasie, ale jestem niepoprawnym optymistą; Myślę, że bezpieczeństwo bez hasła stanie się standardem pod koniec dekady i oto dlaczego: jeśli tylko zaobserwujemy jedną konkretną dziedzinę, czy to oprogramowanie, czy sprzęt, znajdziemy niezliczone problemy z biometrią, z których wiele już opisałem. Jeśli jednak cofniemy się o kilka kroków i spojrzymy na szerszy obraz, jeśli przyjrzymy się nowym trendom w branży i rosnącemu naciskowi na bezpieczeństwo osobiste i korporacyjne, szeroko nagłośnione naruszenia bezpieczeństwa, obawy dotyczące prywatności – z pewnością zobaczymy rzeczy z z innej perspektywy.

Mimo to słoń w pokoju to nie prywatność ani bezpieczeństwo B2B, to płatności mobilne.

Oczekuje się, że wolumen transakcji mobilnych w USA wzrośnie w tym roku ponad dwukrotnie, do 10 miliardów dolarów. Bloomberg spodziewa się, że do 2018 r. wolumen sięgnie 110 miliardów dolarów. W przeliczeniu na mieszkańca przeciętny amerykański konsument zarobi w tym roku około 30 dolarów na transakcjach, ale do 2018 r. liczba ta wzrośnie do 330 dolarów na mieszkańca, na każdego mężczyznę, kobietę i dziecko. Zakładając taką samą łączną roczną stopę wzrostu w 2019 i 2020 r., do 2021 r. możemy liczyć na cztery cyfry na mieszkańca.

Z takimi pieniędzmi w grze, co myślisz?