Биометрическая безопасность – ключ к беспарольной аутентификации или причуда?

Опубликовано: 2022-03-11

Аутентификация без пароля была Святым Граалем безопасности в течение многих лет, но прогресс был мучительно медленным. Это не означает, что не было сделано огромных успехов, но, к сожалению, большинство этих разработок было отнесено к исследовательским лабораториям или профессиональным нишам. Еще несколько лет назад технология широкомасштабной реализации беспарольной аутентификации была просто недоступна.

биометрия и биометрическая безопасность

Тем не менее, гигантская индустрия медленно, но верно меняет ситуацию. Есть несколько технических, юридических и даже этических соображений, которые необходимо учитывать, но, как бы то ни было, биометрическая безопасность и аутентификация без пароля никуда не денутся.

Биометрия уже меняет правила игры и будет продолжать это делать.

Зачем вообще отказываться от пароля?

Поскольку это технический блог, я не чувствую необходимости объяснять группе разработчиков, заботящихся о безопасности, преимущества быстрого входа в систему. Нам не нужно смотреть на проблему с точки зрения потребителя — все мы вынуждены использовать множество онлайн-сервисов и постоянно растущее количество устройств. Это не изменится в ближайшее время, и, во всяком случае, количество сервисов и устройств, в которые нам придется входить, будет продолжать расти.

Конечно, существует множество способов обхода паролей, включая биометрическую аутентификацию. С точки зрения пользователя, использование учетных записей Google, Microsoft и Facebook для входа в сторонние службы работает, поскольку пользователь может избежать раздувания паролей и не создавать учетные записи для каждой службы и устройства.

OAuth и OpenID уже много лет используются для консолидации цифровых удостоверений, и эти стандарты используются некоторыми из крупнейших имен в технологической отрасли.

Технически это не подход без пароля, но обычный пользователь может не заметить разницы.

Плюсы и минусы использования этого подхода:

Плюсы:

  • Удобство
  • Легко реализовать
  • Хорошая безопасность
  • Спокойствие от имени бренда

Минусы:

  • Зависимость от централизованного сервиса
  • Все яйца в одной корзине — скомпрометировав один аккаунт, злоумышленник может получить доступ к другим
  • Потенциальные уязвимости системы безопасности, не зависящие от вас, могут быть использованы против вас.
  • Люди могут неохотно пользоваться такими услугами из соображений конфиденциальности.

Многое из этого относится к альтернативным решениям, хотя и не относится к сертификатам безопасности, которые обычно предназначены для бизнес-пользователей, а не для потребителей. Плюсы перевешивают минусы, поэтому мы уже можем входить в бесчисленное множество сторонних сервисов, используя наши существующие учетные записи.

Как биометрия и биометрическая безопасность могут помочь?

Использование систем биометрической аутентификации решает многие проблемы; нет никакой зависимости от централизованных служб, конфиденциальность не вызывает беспокойства, а пользовательский опыт не подвергается риску — при условии, что все сделано правильно. Итак, давайте взглянем на плюсы и минусы.

Плюсы:

  • Сканирование отпечатков пальцев быстро, дешево и относительно безопасно
  • Распознавание голоса легко использовать и сложно манипулировать
  • Сканирование радужной оболочки очень безопасно и потенциально более удобно, чем сканирование отпечатков пальцев.
  • Технология электрокардиограммы предлагает «постоянную» аутентификацию
  • Все методы биометрической безопасности решают проблемы конфиденциальности, обеспечивая при этом хорошую безопасность.

Минусы:

  • Биометрия подходит не для всех приложений
  • Стоимость развертывания биометрической защиты часто непомерно высока.
  • Поддержка ограничена некоторыми платформами и недоступна на большинстве
  • Некоторые технологии все еще незрелые
  • Биометрия — не серебряная пуля — безопасность все еще может быть скомпрометирована

Биометрия не является новой концепцией или новой технологией. Биометрическая безопасность использовалась во многих отраслях на протяжении десятилетий, и еще дольше она была основным продуктом голливудских сценаристов. Я уверен, что многие читатели имели возможность поиграть с распознаванием лиц и сканерами отпечатков пальцев на своих ноутбуках много лет назад — я знаю, что да, и я также знаю, что не был впечатлен; большинство из этих ранних решений были дешевыми уловками.

Однако с тех пор мы прошли долгий путь. Доступна большая вычислительная мощность, а также значительно улучшенные датчики изображения, и все поддерживается все более сложным программным обеспечением. Вот почему некоторые из этих технологий возвращаются, и делают это с удвоенной силой.

Промышленность отдает предпочтение сканерам отпечатков пальцев

Touch ID от Apple, вероятно, является самым узнаваемым решением для аутентификации по отпечаткам пальцев на рынке, но ни в коем случае не единственным. Apple открыла Touch ID для сторонних разработчиков в iOS 8 и приступила к интеграции этой технологии в новые iPhone и iPad, а также в свой сервис Apple Pay.

Вот почему iOS имеет явное преимущество перед Android и другими платформами; каждый новый iPhone и iPad будет поставляться с Touch ID, пока в Купертино не придумают что-то получше.

биометрическая защита отпечатков пальцев

Это не означает, что Android следует списать со счетов, потому что все больше телефонов Android поставляются со сканерами отпечатков пальцев. Первые устройства биометрической аутентификации представляли собой небольшие сканеры, которые требовали от пользователя проведения пальцем по сканеру, но устройства сенсорного сканирования, подобные устройствам Apple, становятся все более распространенными. Важно отметить, что эта функция не зарезервирована для дорогих флагманских продуктов — даже некоторые телефоны за 200 долларов, продаваемые китайскими производителями, имеют такие сканеры.

Тем не менее, есть еще соображение; Google не интегрировал сканер отпечатков пальцев ни в одно из своих устройств Nexus, хотя ходят слухи, что изначально он намеревался включить его в смартфон Nexus 6. Фактически, Android Open Source Project (AOSP) предоставил доказательства того, что с устройства удалена поддержка отпечатков пальцев. Это не очень хорошая новость для разработчиков Android, поскольку Google обычно демонстрирует новые технологии на устройствах Nexus и дополняет документацию и API, как это было в случае с поддержкой NFC на Nexus S или датчиком барометра на Galaxy Nexus.

Тем не менее, это не помешало поставщикам использовать собственный код с несколькими типами сканеров. Но это плохая новость для разработчиков, у которых связаны руки, поскольку нет стандарта, который устранил бы фрагментацию и обеспечил интероперабельность. Samsung попыталась решить эту проблему, позволив разработчикам поиграть со своим API Pass, но это все еще не идеальное решение. Motorola пыталась сделать то же самое четыре года назад со своими старыми устройствами Atrix.

Ряд производителей и разработчиков оборудования также выпустили SDK, позволяющие разработчикам интегрировать поддержку различных сканеров отпечатков пальцев, но отсутствие стандартизированной среды, которая уменьшила бы или устранила фрагментацию, по-прежнему остается большой проблемой.

Может пройти некоторое время, прежде чем мы увидим сканеры отпечатков пальцев на большинстве телефонов, но уже достигнут значительный прогресс. Мы перешли от отсутствия сканеров на флагманских телефонах к относительно надежным сканерам на телефонах за 200 долларов всего за пару лет.

сканеры отпечатков пальцев

Но насколько они полезны? Это просто уловки вроде сканеров отпечатков пальцев первого поколения на старых ноутбуках?

Технология работает, в этом нет сомнений, но пока возможности ее применения ограничены. Разработка программного обеспечения должна идти в ногу с аппаратным обеспечением, нам нужно больше сервисов, которые могут использовать такое решение, и нам нужно больше API, стандартов и руководств от лидеров отрасли (а именно, от Google). На данный момент сканеры отпечатков пальцев на многих устройствах Android — это уловки, не более того.

В целом, сканеры отпечатков пальцев удобны, но не являются идеальным решением. Хотя каждый отпечаток пальца уникален, все же существуют некоторые проблемы с безопасностью. Многие сканеры можно обмануть, хотя сделать это с простым изображением становится все труднее. Однако есть альтернативы, в том числе 3D-печать, и некоторые болезненные способы сделать это, как указал один эксперт по безопасности пару лет назад.

Излишне говорить, что вы не можете использовать считыватели отпечатков пальцев в перчатках, с травмированным большим пальцем или в других экстремальных ситуациях. Но это относительно небольшие недостатки.

Microsoft хочет посмотреть вам в глаза

Итак, подведем итоги. Android и iOS уже могут использовать сканеры отпечатков пальцев для биометрической защиты, и в настоящее время они используются недостаточно. Но как насчет среды рабочего стола? Мы можем разблокировать наши телефоны и аутентифицировать платежи с помощью биометрии, но мы все еще работаем на настольных компьютерах, так как насчет того, чтобы сделать их по-настоящему беспарольными?

Microsoft недавно анонсировала Windows Hello, и, если вы пропустили ее, ознакомьтесь с официальным блогом Windows, чтобы получить исчерпывающий обзор этой инициативы.

Вот как Microsoft объясняет свое видение Windows Hello:

Вместо использования общего или общего секрета, такого как пароль, Windows 10 помогает безопасно аутентифицировать приложения, веб-сайты и сети от вашего имени — без отправки пароля. Таким образом, на их серверах не хранится общий пароль, который хакер мог бы скомпрометировать.

Windows 10 попросит вас подтвердить, что вы владеете своим устройством, прежде чем оно пройдет аутентификацию от вашего имени с помощью PIN-кода или Windows Hello на устройствах с биометрическими датчиками. После аутентификации с помощью «Passport» вы сможете мгновенно получить доступ к растущему набору веб-сайтов и услуг в различных отраслях — к любимым коммерческим сайтам, службам электронной почты и социальных сетей, финансовым учреждениям, бизнес-сетям и многому другому._

Windows Hello — это система биометрической аутентификации, которая позволит пользователям мгновенно получать доступ к своим устройствам с Windows 10, используя сканирование отпечатков пальцев, сканирование радужной оболочки глаза или распознавание лиц. Microsoft говорит, что «множество» новых устройств с Windows 10 будут поддерживать Windows Hello, но лично я нахожу один метод особенно интересным.

Сканирование радужной оболочки — один из методов, поддерживаемых Microsoft, и у него есть несколько преимуществ перед альтернативами. Это должно быть надежнее и потенциально удобнее, чем сканирование отпечатков пальцев. Если вам интересно, с этим не справятся наши веб-камеры или камеры телефонов — Microsoft хочет использовать «комбинацию специального оборудования и программного обеспечения», чтобы гарантировать, что систему невозможно победить.

сканирование радужной оболочки и биометрия

Сканер радужной оболочки будет полагаться на инфракрасную технологию (потенциально, ближнюю инфракрасную). Это означает, что он сможет работать в любых условиях освещения и видеть вашу радужную оболочку через очки, даже затемненные. Разработчикам аппаратного обеспечения не придется выделять много места на устройстве для интеграции сканера; его можно интегрировать рядом с селфи-камерой на наших мобильных телефонах или в качестве дополнения к автономным веб-камерам, используемым сегодня во многих офисных машинах. Это означает, что его можно легко установить на существующие настольные ПК.

Помимо инфракрасных сканеров Microsoft также будет использовать более традиционные биометрические меры безопасности, такие как распознавание лиц, опираясь на технологию камеры Intel RealSense. Это должно помочь сделать Windows Hello более продуктивной, особенно когда пользователи переходят на новые ноутбуки и гибриды на базе платформ Intel.

С точки зрения мобильных устройств сканирование радужной оболочки имеет несколько преимуществ по сравнению с аутентификацией по отпечатку пальца; он может работать в перчатках, травмы радужной оболочки гораздо реже, чем травмы большого пальца, и должно быть намного сложнее победить сканер радужной оболочки потребительского уровня, чем сканер отпечатков пальцев.

У подхода Microsoft есть еще один аспект: софтверный гигант не будет хранить биометрические данные пользователей. Биометрическая подпись будет защищена локально на устройствах и не будет передана никому, кроме пользователя. Подпись будет использоваться только для разблокировки устройства и паспорта, поэтому она не будет использоваться для аутентификации пользователей в сети.

Жюри по биометрическим планам Microsoft все еще не принято, и нам придется дождаться Windows 10, чтобы увидеть его в действии.

Как насчет постоянной аутентификации?

Хотя все эти технологии могут хорошо заменить традиционные пароли, появляются новые концепции, которые могут дать инженерам больше свободы. Что, если бы мы могли полностью обойтись без этого процесса, без паролей, без сканирования отпечатков пальцев — без всего?

«Постоянная аутентификация» — это следующий рубеж, и уже было предложено несколько способов его достижения. Однако необходимо сделать важное различие. Постоянная аутентификация обычно относится к межмашинной аутентификации, такой как система «постоянной» SSL-аутентификации, соединения SHH, учетные данные NFC и различные сетевые технологии. Обычно они разрабатываются для мониторинга и проверки подлинности финансовых транзакций, что снижает риск онлайн-мошенничества.

Существует относительно немного решений для постоянной аутентификации пользователей. Одним из таких примеров является браслет Nymi компании Bionym. Это носимое устройство, очень похожее на обычный фитнес-трекер, но более умное.

всегда на аутентификации

Nymi сканирует уникальную электрокардиограмму (ЭКГ) пользователя. Это означает, что вам нужно только иметь устройство на запястье, чтобы обеспечить постоянную аутентификацию. Пока ваше сердце продолжает биться, вы будете в системе.

Если вы думаете о том, чтобы попробовать тот же трюк на часах Apple Watch или Android Wear, придержите лошадей, мы еще не пришли. Nymi не просто отслеживает частоту сердечных сокращений пользователя, как умные часы, он фактически анализирует форму волны ЭКГ пользователя, для чего используется более чувствительный датчик. Умные часы кажутся идеальной аппаратной платформой для этого приложения, и рано или поздно они смогут делать то же самое.

Представьте, что вы разблокируете свой телефон, машину, офис и компьютер, просто находясь там и имея пульс? Беспрепятственный вход в любую учетную запись, затем оплата обеда, покупки по дороге домой и, возможно, снятие наличных в банкомате, и все это без необходимости жонглировать своими продуктами и кредитными картами. Мы еще не там, но мы медленно приближаемся к этому.

Что все это значит для разработчиков программного обеспечения и пользователей?

В настоящее время разработчики программного обеспечения могут использовать готовое промежуточное ПО и токенизацию для развертывания решений без пароля. Одним из таких примеров является Passwordless, платформа с открытым исходным кодом на основе токенов для Node.js и Express. Если вам интересно, как это развертывается, у Mozilla есть подробный пост в блоге, который объясняет это.

Это займет некоторое время, но строительные блоки биометрии постепенно становятся на свои места. Нынешний урожай беспарольных технологий будет дополнен и в конечном итоге заменен биометрической аутентификацией.

Многие скептики биометрической безопасности, включая многих моих коллег, не верят, что это произойдет в ближайшее время, но я неисправимый оптимист; Я думаю, что к концу десятилетия безопасность без пароля станет стандартной, и вот почему: если мы просто проследим за одной конкретной областью, будь то программное или аппаратное обеспечение, мы обнаружим бесчисленные проблемы с биометрией, многие из которых я уже описал. Однако, если мы сделаем несколько шагов назад и посмотрим на картину в целом, если мы посмотрим на новые отраслевые тенденции и растущий акцент на личную и корпоративную безопасность, получившие широкую огласку нарушения безопасности, проблемы конфиденциальности, мы обязательно увидим вещи из другая перспектива.

Тем не менее, слон в комнате — это не конфиденциальность или безопасность B2B, а мобильные платежи.

Ожидается, что в этом году объем мобильных транзакций в США вырастет более чем вдвое и составит 10 миллиардов долларов. К 2018 году Bloomberg ожидает, что объем достигнет 110 миллиардов долларов. В расчете на душу населения средний американский потребитель в этом году заработает около 30 долларов, но к 2018 году эта цифра вырастет до 330 долларов на душу населения на каждого мужчину, женщину и ребенка. Предполагая одинаковые совокупные годовые темпы роста в 2019 и 2020 годах, к 2021 году мы могли бы рассчитывать на четырехзначное число на душу населения.

С такими деньгами в игре, что вы думаете?