Securitate biometrică – Cheia pentru autentificarea fără parolă sau un moft?

Publicat: 2022-03-11

Autentificarea fără parolă a fost Sfântul Graal al securității de ani de zile, dar progresul a fost dureros de lent. Acest lucru nu înseamnă că nu s-au făcut progrese uriașe, dar, din păcate, majoritatea acestor dezvoltări au fost relegate în laboratoarele de cercetare sau nișele profesionale. Până acum câțiva ani, tehnologia de implementare a autentificării fără parolă la scară largă pur și simplu nu era disponibilă.

biometrie și securitate biometrică

Cu toate acestea, magistrala industriei schimbă încet, dar sigur acest lucru. Există câteva considerații tehnice, legale și chiar etice de luat în considerare, dar, oricum ar fi, securitatea biometrică și autentificarea fără parolă sunt aici pentru a rămâne.

Biometria schimbă deja jocul și vor continua să facă acest lucru.

De ce să rămâneți fără parolă în primul rând?

Deoarece acesta este un blog de inginerie, nu simt nevoia să explic unui grup de dezvoltatori care se gândesc la securitate avantajele conectărilor rapide. Nu trebuie să privim problema din perspectiva consumatorului – toți suntem obligați să folosim o multitudine de servicii online și un număr din ce în ce mai mare de dispozitive. Acest lucru nu se va schimba în curând și, dacă este ceva, numărul de servicii și dispozitive la care va trebui să ne conectăm va continua să crească.

Desigur, există o mulțime de moduri prin care parolele sunt renunțate, inclusiv autentificarea biometrică. Din perspectiva utilizatorului, utilizarea conturilor Google, Microsoft și Facebook pentru a vă conecta la servicii terțe funcționează, deoarece utilizatorul poate evita umflarea parolei și nu trebuie să creeze conturi pentru fiecare serviciu și dispozitiv.

OAuth și OpenID au fost folosite de ani de zile pentru a consolida identitățile digitale, iar standardele sunt folosite de unele dintre cele mai mari nume din industria tehnologiei.

Din punct de vedere tehnic, aceasta nu este cu adevărat o abordare fără parolă, dar este posibil ca utilizatorul obișnuit să nu vadă distincția.

Avantajele și dezavantajele utilizării acestei abordări sunt:

Pro:

  • Comoditate
  • Ușor de implementat
  • Securitate bună
  • Liniște sufletească cu numele mărcii

Contra:

  • Dependența de un serviciu centralizat
  • Toate ouăle într-un singur coș – prin compromiterea unui cont, un atacator poate obține acces la alții
  • Potențialele vulnerabilități de securitate, dincolo de controlul tău, pot fi folosite împotriva ta
  • Oamenii pot fi reticenți în a utiliza astfel de servicii din cauza preocupărilor legate de confidențialitate

Multe dintre acestea sunt valabile pentru soluțiile alternative, deși nu se aplică certificatelor de securitate care sunt de obicei relegate utilizatorilor de afaceri, mai degrabă decât consumatorilor. Avantajele depășesc dezavantajele, prin urmare ne putem conecta deja la nenumărate servicii terță parte folosind conturile noastre existente.

Cum pot ajuta biometria și securitatea biometrică?

Utilizarea sistemelor de autentificare biometrică abordează multe probleme; nu se bazează pe serviciile centralizate, confidențialitatea nu este o problemă și experiența utilizatorului nu este compromisă – cu condiția să fie făcută corect. Deci, să aruncăm o privire la argumentele pro și contra.

Pro:

  • Scanarea amprentei este rapidă, ieftină și relativ sigură
  • Recunoașterea vocii este ușor de utilizat și greu de manipulat
  • Scanările irisului sunt foarte sigure și potenţial mai convenabile decât scanarea amprentelor digitale
  • Tehnologia electrocardiogramei oferă autentificare „întotdeauna activată”.
  • Toate metodele de securitate biometrică abordează problemele legate de confidențialitate, oferind în același timp o bună securitate

Contra:

  • Biometria nu este potrivită pentru toate aplicațiile
  • Costul implementării securității biometrice este adesea prohibitiv
  • Asistența este limitată la anumite platforme și nu este disponibilă pe majoritatea
  • Unele tehnologii sunt încă imature
  • Biometria nu este un glonț de argint - securitatea poate fi încă compromisă

Biometria nu este un concept nou sau o tehnologie nouă. Securitatea biometrică a fost folosită în multe industrii de zeci de ani și a fost un element de bază al scenariștilor de la Hollywood și mai mult timp. Sunt sigur că mulți cititori au avut șansa de a se juca cu recunoașterea facială și scanerele de amprentă de pe caietele lor cu ani în urmă – știu că am făcut-o și știu că nu am fost impresionat; cele mai multe dintre aceste soluții timpurii au fost trucuri ieftine.

Cu toate acestea, am parcurs un drum lung de atunci. Este disponibilă mai multă putere de procesare, împreună cu senzori de imagine superioare, iar totul este susținut de software din ce în ce mai sofisticat. Acesta este motivul pentru care unele dintre aceste tehnologii revin, ceea ce o fac cu răzbunare.

Industria oferă scanerelor de amprente

Touch ID-ul Apple este probabil cea mai recunoscută soluție de autentificare cu amprentă de pe piață, dar nu este în niciun caz singura. Apple a deschis Touch ID pentru dezvoltatori terți în iOS 8 și a continuat să integreze tehnologia în noile iPhone și iPad-uri, precum și în serviciul său Apple Pay.

Acesta este motivul pentru care iOS are un avantaj clar față de Android și alte platforme; fiecare iPhone și iPad nou va fi livrat cu Touch ID până când Cupertino va veni cu ceva mai bun.

securitate biometrică a amprentei

Acest lucru nu înseamnă că Android ar trebui anulat deoarece un număr tot mai mare de telefoane Android sunt livrate cu scanere de amprente. Primele dispozitive de autentificare biometrică prezentau scanere mici care solicitau utilizatorului să treacă degetul peste scaner, dar unitățile de scanare tactilă, similare cu cele ale Apple, devin din ce în ce mai comune. Este important de remarcat faptul că această caracteristică nu este rezervată produselor emblematice scumpe – chiar și telefoanele de 200 USD comercializate de vânzătorii chinezi dispun de astfel de scanere.

Cu toate acestea, există încă o considerație; Google nu a integrat un scaner de amprentă pe niciunul dintre dispozitivele sale Nexus, deși se zvonește că inițial a intenționat să îl includă pe smartphone-ul Nexus 6. De fapt, Android Open Source Project (AOSP) a oferit dovezi că suportul pentru amprentă a fost eliminat de pe dispozitiv. Aceasta nu este o veste bună pentru dezvoltatorii de Android, deoarece Google prezintă de obicei noi tehnologii pe dispozitivele Nexus și continuă cu documentație și API-uri, așa cum a fost cazul cu suportul NFC pe Nexus S sau cu senzorul barometru pe Galaxy Nexus.

Totuși, acest lucru nu a împiedicat vânzătorii să-și folosească propriul cod, cu câteva tipuri de scanere. Dar, aceasta este o veste proastă pentru dezvoltatorii ale căror mâini sunt legate, deoarece nu există un standard care să elimine fragmentarea și să asigure interoperabilitatea. Samsung a încercat să depășească problema permițând dezvoltatorilor să se joace cu API-ul său Pass, dar aceasta nu este încă o soluție ideală. Motorola a încercat să facă același lucru în urmă cu patru ani cu vechile sale dispozitive Atrix.

O serie de producători și dezvoltatori de hardware au lansat, de asemenea, SDK-uri care le permit dezvoltatorilor să integreze suport pentru diverse scanere de amprente, dar lipsa unui mediu standardizat care să reducă sau să elimine fragmentarea este încă o problemă mare.

Poate dura ceva timp până când vedem scanere de amprentă pe majoritatea telefoanelor, dar se fac multe progrese. Am trecut de la niciun scaner pe telefoanele emblematice la scanere relativ fiabile pe telefoane de 200 de dolari în decurs de câțiva ani.

scanere de amprente

Dar cât de utile sunt? Sunt doar trucuri precum scanerele de amprentă de prima generație pe notebook-uri vechi?

Tehnologia funcționează, nu există nicio îndoială, dar deocamdată aplicațiile sunt limitate. Dezvoltarea software trebuie să ajungă din urmă cu hardware-ul, avem nevoie de mai multe servicii care pot folosi o astfel de soluție și avem nevoie de mai multe API-uri și standarde și linii directoare de la liderii din industrie (și anume, Google). În acest moment, scanerele de amprente de pe multe dispozitive Android sunt trucuri, nimic mai mult.

În general, scanerele de amprente sunt convenabile, dar nu sunt o soluție ideală. Deși fiecare amprentă digitală este unică, există încă unele preocupări de securitate. Multe scanere pot fi păcălite, deși devine din ce în ce mai dificil să reușiți acest lucru cu o simplă imagine. Există totuși alternative, inclusiv imprimarea 3D și câteva modalități morbide de a face acest lucru, așa cum a subliniat un expert în securitate în urmă cu câțiva ani.

Inutil să spun că nu poți folosi cititoarele de amprente cu mănuși, cu degetul mare rănit sau în alte situații extreme. Dar acestea sunt dezavantaje relativ minore.

Microsoft vrea să te privească în ochi

Deci, să rezumam. Android și iOS pot utiliza deja scanere de amprentă pentru securitate biometrică, iar în prezent sunt subutilizate. Dar ce zici de mediile desktop? Ne putem debloca telefoanele și autentifica plățile folosind datele biometrice, dar încă lucrăm pe desktop-uri, așa că ce zici să le facem cu adevărat fără parolă?

Microsoft a anunțat recent Windows Hello și, în cazul în care ați ratat-o, consultați blogul oficial Windows pentru o prezentare cuprinzătoare a acestei inițiative.

Iată cum își explică Microsoft viziunea pentru Windows Hello:

În loc să folosească un secret partajat sau care poate fi partajat, cum ar fi o parolă, Windows 10 ajută la autentificarea în siguranță la aplicații, site-uri web și rețele în numele dvs., fără a trimite o parolă. Astfel, nu există o parolă partajată stocată pe serverele lor pentru ca un hacker să o compromită.

Windows 10 vă va cere să verificați dacă aveți în posesia dispozitivului înainte de a se autentifica în numele dvs., cu un PIN sau Windows Hello pe dispozitivele cu senzori biometrici. Odată autentificat cu „Pașaport”, veți putea accesa instantaneu un set tot mai mare de site-uri web și servicii dintr-o gamă largă de industrii – site-uri comerciale preferate, servicii de e-mail și rețele sociale, instituții financiare, rețele de afaceri și multe altele._

Windows Hello este un sistem de autentificare biometrică care va permite utilizatorilor să-și acceseze instantaneu dispozitivele Windows 10, utilizând scanarea amprentei, scanarea irisului sau recunoașterea facială. Microsoft spune că „o mulțime” de noi dispozitive Windows 10 vor suporta Windows Hello, dar, personal, mi se pare o tehnică deosebit de interesantă.

Scanarea irisului este una dintre metodele acceptate de Microsoft și are câteva avantaje față de alternative. Ar trebui să fie mai fiabil și, potențial, mai convenabil decât scanarea amprentelor digitale. În cazul în care vă întrebați, acest lucru nu va fi gestionat de camerele noastre web sau camerele telefonului – Microsoft dorește să folosească „o combinație de hardware și software special” pentru a se asigura că sistemul nu poate fi învins.

scanarea irisului și biometrie

Scanerul irisului se va baza pe tehnologia infraroșu (potențial, în infraroșu apropiat). Aceasta înseamnă că va putea funcționa în toate condițiile de iluminare și va putea vedea irisul prin ochelari, chiar și ochelari colorați. Designerii de hardware nu vor trebui să aloce mult spațiu pe un dispozitiv pentru a integra scanerul; ar putea fi integrat chiar lângă camera selfie de pe telefoanele noastre mobile sau ca o completare la camerele web autonome folosite astăzi pe multe aparate de birou. Aceasta înseamnă că ar putea fi ușor de adaptat la computerele desktop existente.

Pe lângă scanerele cu infraroșu, Microsoft va folosi și măsuri de securitate biometrice tradiționale, cum ar fi recunoașterea facială, bazându-se pe tehnologia camerei Intel RealSense. Acest lucru ar trebui să facă Windows Hello mai prolific, mai ales pe măsură ce utilizatorii fac upgrade la noi notebook-uri și hibrizi bazați pe platforme Intel.

Pe partea mobilă, o scanare a irisului oferă mai multe avantaje față de autentificarea cu amprentă; poate funcționa cu mănuși, leziunile irisului sunt mult mai puțin frecvente decât leziunile degetului mare și ar trebui să fie mult mai dificil să depășiți un scaner de iris de calitate pentru consumatori decât un scaner de amprente.

Există un alt unghi al abordării Microsoft – gigantul software nu va stoca datele biometrice ale utilizatorilor. Semnătura biometrică va fi securizată local pe dispozitive și partajată cu nimeni, în afară de utilizator. Semnătura va fi folosită doar pentru deblocarea dispozitivului și a pașaportului, deci nu va fi folosită pentru autentificarea utilizatorilor prin rețea.

Juriul este încă în discuție cu planurile de biometrice ale Microsoft și va trebui să așteptăm Windows 10 pentru a-l vedea în acțiune.

Dar autentificarea permanentă?

În timp ce toate aceste tehnologii ar putea face o treabă bună în înlocuirea parolelor tradiționale, există concepte în curs de dezvoltare care le-ar putea oferi inginerilor mai multă libertate. Ce se întâmplă dacă am renunța în întregime la proces, fără parole, fără scanări ale amprentelor - nimic?

„Autentificarea permanentă” este următoarea frontieră și au fost deja propuse o serie de modalități de a ajunge acolo. Cu toate acestea, trebuie făcută o distincție importantă. Autentificarea permanentă se referă de obicei la autentificarea de la mașină la mașină, cum ar fi un sistem de autentificare SSL „în permanență activă”, conexiuni SHH, acreditări NFC și diverse tehnologii de rețea. Acestea sunt de obicei dezvoltate pentru a monitoriza și autentifica tranzacțiile financiare, reducând astfel riscul fraudei online.

Există relativ puține soluții pentru autentificarea utilizatorului permanent. Un astfel de exemplu este brățara Nymi a lui Bionym. Este un dispozitiv purtabil care seamănă mult cu trackerul tău de fitness obișnuit, dar este mai inteligent decât atât.

mereu pe autentificare

Nymi scanează electrocardiograma (ECG) unică a utilizatorului. Aceasta înseamnă că trebuie doar să aveți dispozitivul la încheietura mâinii pentru a oferi autentificare permanentă. Atâta timp cât inima îți bate în continuare, vei fi conectat.

Dacă te gândești să încerci același truc pe ceasurile Apple Watch sau Android Wear, ține-ți caii, nu suntem încă acolo. Nymi nu urmărește doar ritmul cardiac al utilizatorului ca un ceas inteligent, ci analizează de fapt forma undei ECG a utilizatorului, care utilizează un senzor mai sensibil. Ceasurile inteligente sună ca platforma hardware ideală pentru această aplicație și, mai devreme sau mai târziu, vor putea face același lucru.

Imaginați-vă că vă deblocați telefonul, mașina, biroul și computerul pur și simplu fiind acolo și având puls? Conectați-vă fără probleme la orice cont, apoi plătiți prânzul, faceți niște cumpărături în drum spre casă și poate retrageți numerar de la un bancomat, totul fără a fi nevoie să jonglați cu alimentele și cardurile de credit. Nu suntem încă acolo, dar ajungem încet acolo.

Ce înseamnă toate acestea pentru dezvoltatorii și utilizatorii de software?

Deocamdată, dezvoltatorii de software pot folosi middleware și tokenizarea standard pentru a implementa soluții fără parolă. Un astfel de exemplu este Passwordless, un cadru open-source bazat pe token pentru Node.js și Express. În cazul în care sunteți interesat de modul în care este implementat, Mozilla are o postare cuprinzătoare pe blog care o explică.

Va dura ceva timp, dar blocurile biometrice se instalează încet. Gama actuală de tehnologii fără parolă va fi mărită și în cele din urmă înlocuită cu autentificare biometrică.

Mulți sceptici în domeniul securității biometrice, inclusiv mulți dintre colegii mei, nu cred că acest lucru se va întâmpla în curând, dar sunt un optimist incorigibil; Cred că securitatea fără parolă va fi standard până la sfârșitul deceniului și acesta este motivul pentru care: dacă observăm doar un anumit domeniu, fie el software sau hardware, vom găsi nenumărate probleme cu biometria, multe dintre ele pe care le-am subliniat deja. Cu toate acestea, dacă luăm câțiva pași înapoi și privim imaginea de ansamblu, dacă aruncăm o privire asupra noilor tendințe din industrie și a accentului din ce în ce mai mare pe securitatea personală și corporativă, încălcările de securitate foarte mediatizate, preocupările legate de confidențialitate - suntem obligați să vedem lucrurile din o perspectivă diferită.

Chiar și așa, elefantul din cameră nu este confidențialitate sau securitate B2B, ci plăți mobile.

Volumul tranzacțiilor mobile din SUA este de așteptat să se dubleze mai mult în acest an, până la 10 miliarde de dolari. Până în 2018, Bloomberg se așteaptă ca volumul să ajungă la 110 miliarde de dolari. Pe cap de locuitor, consumatorul american mediu va face aproximativ 30 de dolari în tranzacții în acest an, dar până în 2018 numărul va ajunge la 330 de dolari pe cap de locuitor, pentru fiecare bărbat, femeie și copil. Presupunând aceeași rată de creștere anuală compusă în 2019 și 2020, am putea privi la patru cifre pe cap de locuitor până în 2021.

Cu asemenea bani în joc, ce crezi?