• Anasayfa
  • Nesne
  • Genel
  • Biyometrik Güvenlik - Parolasız Kimlik Doğrulamanın Anahtarı mı, Bir Moda mı?

Biyometrik Güvenlik - Parolasız Kimlik Doğrulamanın Anahtarı mı, Bir Moda mı?

Yayınlanan: 2022-03-11

Parolasız kimlik doğrulama, yıllardır güvenliğin Kutsal Kâsesi olmuştur, ancak ilerleme çok yavaş olmuştur. Bu, büyük adımlar atılmadığı anlamına gelmez, ancak ne yazık ki, bu gelişmelerin çoğu araştırma laboratuvarlarına veya profesyonel nişlere havale edilmiştir. Birkaç yıl öncesine kadar, büyük ölçekte parolasız kimlik doğrulaması uygulayan teknoloji mevcut değildi.

biyometrik ve biyometrik güvenlik

Ancak, endüstri devleri bunu yavaş ama emin adımlarla değiştiriyor. Göz önünde bulundurulması gereken birkaç teknik, yasal ve hatta etik husus vardır, ancak ne olursa olsun, biyometrik güvenlik ve parolasız kimlik doğrulama kalıcıdır.

Biyometri zaten oyunu değiştiriyor ve değiştirmeye devam edecek.

Neden İlk Etapta Şifresiz Gitmelisiniz?

Bu bir mühendislik blogu olduğundan, bir grup güvenlik odaklı geliştiriciye hızlı oturum açmanın iyi taraflarını açıklamaya gerek duymuyorum. Soruna tüketici perspektifinden bakmamıza gerek yok - hepimiz sayısız çevrimiçi hizmet ve giderek artan sayıda cihaz kullanmaya mecburuz. Bu yakın zamanda değişmeyecek ve herhangi bir şey olursa, oturum açmamız gereken hizmet ve cihaz sayısı artmaya devam edecek.

Elbette, biyometrik kimlik doğrulama da dahil olmak üzere parolalardan vazgeçmenin birçok yolu vardır. Kullanıcı açısından bakıldığında, üçüncü taraf hizmetlerde oturum açmak için Google, Microsoft ve Facebook hesaplarının kullanılması işe yarar, çünkü kullanıcı parola şişmesinden kaçınabilir ve her hizmet ve cihaz için hesap oluşturmak zorunda kalmaz.

OAuth ve OpenID yıllardır dijital kimlikleri birleştirmek için kullanılıyor ve standartlar teknoloji endüstrisindeki en büyük isimlerden bazıları tarafından kullanılıyor.

Teknik olarak, bu gerçekten şifresiz bir yaklaşım değildir, ancak ortalama bir kullanıcı farkı görmeyebilir.

Bu yaklaşımı kullanmanın artıları ve eksileri şunlardır:

Artıları:

  • Kolaylık
  • Uygulaması kolay
  • iyi güvenlik
  • Marka adı huzur

Eksileri:

  • Merkezi bir hizmete bağımlılık
  • Tüm yumurtalar tek sepette – bir hesaptan ödün vererek saldırgan diğerlerine erişim sağlayabilir
  • Kontrolünüz dışındaki potansiyel güvenlik açıkları size karşı kullanılabilir
  • İnsanlar gizlilik endişeleri nedeniyle bu tür hizmetleri kullanmakta isteksiz olabilir

Bunun çoğu, alternatif çözümler için geçerlidir, ancak genellikle tüketicilerden ziyade iş kullanıcılarına verilen güvenlik sertifikaları için geçerli değildir. Artıları eksilerinden daha ağır basıyor, bu nedenle mevcut hesaplarımızı kullanarak sayısız üçüncü taraf hizmetinde oturum açabiliyoruz.

Biyometri ve Biyometrik Güvenlik Nasıl Yardımcı Olabilir?

Biyometrik kimlik doğrulama sistemlerinin kullanılması birçok sorunu çözer; merkezi hizmetlere güvenilmez, gizlilik endişe konusu değildir ve doğru yapıldığında kullanıcı deneyiminden ödün verilmez. Öyleyse, artılarına ve eksilerine bir göz atalım.

Artıları:

  • Parmak izi taraması hızlı, ucuz ve nispeten güvenlidir
  • Ses tanımanın kullanımı kolaydır ve manipüle edilmesi zordur
  • İris taramaları çok güvenlidir ve potansiyel olarak parmak izi taramasından daha uygundur
  • Elektrokardiyogram teknolojisi, "her zaman açık" kimlik doğrulaması sunar
  • Tüm biyometrik güvenlik yöntemleri, iyi güvenlik sunarken gizlilik endişelerini giderir

Eksileri:

  • Biyometri tüm uygulamalar için uygun değildir
  • Biyometrik güvenliği devreye alma maliyeti genellikle engelleyicidir
  • Destek belirli platformlarla sınırlıdır ve çoğu platformda mevcut değildir.
  • Bazı teknolojiler hala olgunlaşmamış
  • Biyometri gümüş bir kurşun değildir - güvenlik hala tehlikeye girebilir

Biyometri yeni bir kavram veya yeni bir teknoloji değildir. Biyometrik güvenlik, onlarca yıldır birçok endüstride kullanılmaktadır ve daha da uzun süredir Hollywood senaryo yazarlarının temel unsurudur. Eminim pek çok okuyucu yıllar önce dizüstü bilgisayarlarında yüz tanıma ve parmak izi tarayıcıları ile oynama şansına sahipti - biliyorum yaptım ve ayrıca etkilenmediğimi de biliyorum; bu erken çözümlerin çoğu ucuz numaralardı.

Ancak o zamandan bu yana çok yol kat ettik. Son derece üstün görüntüleme sensörleriyle birlikte daha fazla işlem gücü mevcuttur ve her şey giderek daha karmaşık yazılımlarla desteklenmektedir. Bu teknolojilerin bazılarının intikam almak için geri dönüş yapmasının nedeni budur.

Endüstri, Parmak İzi Tarayıcılarına Başparmak Verdi

Apple'ın Touch ID'si muhtemelen piyasadaki en çok tanınan parmak izi doğrulama çözümüdür, ancak kesinlikle tek çözüm değildir. Apple, iOS 8'de Touch ID'yi üçüncü taraf geliştiricilere açtı ve teknolojiyi Apple Pay hizmetinin yanı sıra yeni iPhone'lara ve iPad'lere entegre etmeye başladı.

Bu nedenle iOS, Android ve diğer platformlar üzerinde açık bir liderliğe sahiptir; Cupertino daha iyi bir şey bulana kadar her yeni iPhone ve iPad Touch ID ile birlikte gönderilir.

parmak izi biyometrik güvenlik

Bu, giderek artan sayıda Android telefon parmak izi tarayıcılarla gönderildiğinden Android'in silinmesi gerektiği anlamına gelmez. İlk biyometrik kimlik doğrulama cihazları, kullanıcının parmağını tarayıcı üzerinde kaydırmasını gerektiren küçük tarayıcılara sahipti, ancak Apple'ınkine benzer dokunmatik tarama birimleri giderek daha yaygın hale geliyor. Bu özelliğin pahalı, amiral gemisi ürünler için ayrılmadığını not etmek önemlidir - Çinli satıcılar tarafından pazarlanan bazı 200 dolarlık telefonlarda bile bu tür tarayıcılar bulunur.

Ancak yine de bir düşünce var; Google, başlangıçta onu Nexus 6 akıllı telefona dahil etmeyi amaçladığı söylense de, Nexus cihazlarının hiçbirine parmak izi tarayıcısı entegre etmedi. Aslında Android Açık Kaynak Projesi (AOSP), parmak izi desteğinin cihazdan kaldırıldığına dair kanıt sağladı. Bu, Android geliştiricileri için iyi bir haber değil, çünkü Google genellikle Nexus cihazlarında yeni teknolojiler sergiliyor ve Nexus S'deki NFC desteği veya Galaxy Nexus'taki barometre sensöründe olduğu gibi dokümantasyon ve API'leri takip ediyor.

Yine de bu, satıcıların birkaç tarayıcı türüyle kendi kodlarını kullanmasını engellemedi. Ancak bu, parçalanmayı ortadan kaldıracak ve birlikte çalışabilirliği garanti edecek bir standart olmadığı için elleri bağlı olan geliştiriciler için kötü bir haber. Samsung, geliştiricilerin Pass API ile oynamasına izin vererek sorunun üstesinden gelmeye çalıştı, ancak bu hala ideal bir çözüm değil. Motorola aynı şeyi dört yıl önce eski Atrix cihazlarıyla yapmaya çalışmıştı.

Bir dizi donanım üreticisi ve geliştiricisi, geliştiricilerin çeşitli parmak izi tarayıcıları için desteği entegre etmelerini sağlayan SDK'lar da yayınladı, ancak parçalanmayı azaltacak veya ortadan kaldıracak standart bir ortamın olmaması hala büyük bir sorun.

Çoğu telefonda parmak izi tarayıcılarını görmemiz biraz zaman alabilir, ancak çok fazla ilerleme kaydediliyor. Birkaç yıl içinde amiral gemisi telefonlarda tarayıcı yokken, 200 dolarlık telefonlarda nispeten güvenilir tarayıcılara geçtik.

parmak izi tarayıcıları

Ancak, ne kadar faydalılar? Eski dizüstü bilgisayarlardaki birinci nesil parmak izi tarayıcıları gibi numaralar mı?

Teknoloji çalışıyor, buna hiç şüphe yok ama şimdilik uygulamalar sınırlı. Yazılım geliştirmenin donanıma yetişmesi gerekiyor, bu tür bir çözümü kullanabilecek daha fazla hizmete ihtiyacımız var ve endüstri liderlerinden (yani Google) daha fazla API'ye, standartlara ve yönergelere ihtiyacımız var. Bu noktada, birçok Android cihazdaki parmak izi tarayıcıları bir numara, başka bir şey değil.

Genel olarak, parmak izi tarayıcıları kullanışlıdır, ancak ideal bir çözüm değildir. Her parmak izi benzersiz olsa da, hala bazı güvenlik endişeleri var. Basit bir görüntüyle bunu başarmak giderek zorlaşıyor olsa da, birçok tarayıcı kandırılabilir. Yine de, bir güvenlik uzmanının birkaç yıl önce işaret ettiği gibi, 3D baskı ve bunu yapmanın bazı hastalıklı yolları da dahil olmak üzere alternatifler var.

Söylemeye gerek yok, parmak izi okuyucularını eldivenlerle, yaralı bir başparmakla veya diğer aşırı durumlarda kullanamazsınız. Ancak bunlar nispeten küçük dezavantajlardır.

Microsoft Gözlerinize Bakmak İstiyor

Yani, özetleyelim. Android ve iOS, biyometrik güvenlik için parmak izi tarayıcılarını zaten kullanabilir ve şu anda yeterince kullanılmamaktadır. Peki ya masaüstü ortamları? Telefonlarımızın kilidini açabilir ve biyometri kullanarak ödemelerin kimliğini doğrulayabiliriz, ancak yine de masaüstlerinde çalışıyoruz, peki onları gerçekten şifresiz hale getirmeye ne dersiniz?

Microsoft kısa süre önce Windows Hello'yu duyurdu ve kaçırmış olmanız durumunda, bu girişime kapsamlı bir genel bakış için resmi Windows bloguna göz atın.

Microsoft, Windows Hello vizyonunu şöyle açıklıyor:

Windows 10, parola gibi paylaşılan veya paylaşılabilir bir sır kullanmak yerine, sizin adınıza uygulamalarda, web sitelerinde ve ağlarda parola göndermeden güvenli bir şekilde kimlik doğrulaması yapmanıza yardımcı olur. Bu nedenle, bir bilgisayar korsanının potansiyel olarak tehlikeye atması için sunucularında saklanan paylaşılan bir şifre yoktur.

Windows 10, biyometrik sensörlü cihazlarda bir PIN veya Windows Hello ile sizin adınıza kimlik doğrulaması yapmadan önce cihazınızın size ait olduğunu doğrulamanızı isteyecektir. 'Pasaport' ile kimlik doğrulaması yapıldıktan sonra, çeşitli sektörlerde büyüyen bir dizi web sitesine ve hizmete anında erişebileceksiniz - favori ticaret siteleri, e-posta ve sosyal ağ hizmetleri, finans kurumları, iş ağları ve daha fazlası._

Windows Hello, kullanıcıların parmak izi taraması, iris taraması veya yüz tanıma kullanarak Windows 10 cihazlarına anında erişmelerini sağlayacak bir biyometrik kimlik doğrulama sistemidir. Microsoft, "bol miktarda" yeni Windows 10 cihazının Windows Hello'yu destekleyeceğini söylüyor, ancak kişisel olarak, özellikle ilginç bir teknik buluyorum.

İris taraması, Microsoft tarafından desteklenen yöntemlerden biridir ve alternatiflere göre birkaç avantajı vardır. Parmak izi taramasından daha güvenilir ve potansiyel olarak daha kullanışlı olmalıdır. Merak ettiyseniz, bu bizim web kameralarımız veya telefon kameralarımız tarafından gerçekleştirilmeyecek – Microsoft, sistemin yenilmemesini sağlamak için “özel donanım ve yazılımın bir kombinasyonunu” kullanmak istiyor.

iris tarama ve biyometri

İris tarayıcı, kızılötesi teknolojisine (potansiyel olarak yakın kızılötesi) güvenecektir. Bu, tüm aydınlatma koşullarında çalışabileceği ve irisinizi gözlüklerden, hatta renkli camlardan bile görebileceği anlamına gelir. Donanım tasarımcıları, tarayıcıyı entegre etmek için bir cihazda çok fazla alan ayırmak zorunda kalmayacak; cep telefonlarımızdaki selfie kamerasının hemen yanına veya günümüzde birçok ofis makinesinde kullanılan bağımsız web kameralarına ek olarak entegre edilebilir. Bu, mevcut masaüstü bilgisayarlara kolayca uyarlanabileceği anlamına gelir.

Kızılötesi tarayıcıların yanı sıra Microsoft, Intel RealSense kamera teknolojisine dayanan yüz tanıma gibi daha geleneksel biyometrik güvenlik önlemlerini de kullanacak. Bu, özellikle kullanıcılar Intel platformlarına dayalı yeni dizüstü bilgisayarlara ve hibritlere yükseltirken, Windows Hello'yu daha üretken hale getirmeye yardımcı olacaktır.

Mobil cephede, bir iris taraması, parmak izi kimlik doğrulamasına göre çeşitli avantajlar sunar; eldivenlerle çalışabilir, iris yaralanmaları başparmak yaralanmalarından çok daha az yaygındır ve tüketici sınıfı bir iris tarayıcıyı yenmek parmak izi tarayıcısından çok daha zor olmalıdır.

Microsoft'un yaklaşımının başka bir yönü daha var: yazılım devi, kullanıcıların biyometrik verilerini depolamayacak. Biyometrik imza, cihazlarda yerel olarak güvence altına alınacak ve kullanıcı dışında hiç kimseyle paylaşılacak. İmza yalnızca cihazın ve Pasaportun kilidini açmak için kullanılacaktır, dolayısıyla ağ üzerinden kullanıcıların kimliğini doğrulamak için kullanılmayacaktır.

Jüri hala Microsoft'un biyometri planlarında değil ve Windows 10'un eylemde olduğunu görmek için beklememiz gerekecek.

Her Zaman Açık Kimlik Doğrulama Hakkında?

Tüm bu teknolojiler geleneksel şifreleri değiştirmede iyi bir iş çıkarsa da, mühendislere daha fazla özgürlük verebilecek yeni ortaya çıkan kavramlar var. Ya işlemden tamamen vazgeçebilseydik, şifre yok, parmak izi taraması yok - hiçbir şey?

"Her zaman açık kimlik doğrulama" bir sonraki sınırdır ve oraya ulaşmanın bir dizi yolu zaten önerilmiştir. Ancak önemli bir ayrım yapılması gerekmektedir. Her zaman açık kimlik doğrulama genellikle "her zaman açık" SSL kimlik doğrulama sistemi, SHH bağlantıları, NFC kimlik bilgileri ve çeşitli ağ teknolojileri gibi makineler arası kimlik doğrulamasını ifade eder. Bunlar genellikle finansal işlemleri izlemek ve doğrulamak için geliştirilir, böylece çevrimiçi dolandırıcılık riskini azaltır.

Her zaman açık kullanıcı kimlik doğrulaması için nispeten az çözüm vardır. Böyle bir örnek, Bionym'in Nymi bilekliğidir. Ortalama bir fitness takipçinize çok benzeyen giyilebilir bir cihazdır, ancak bundan daha akıllıdır.

her zaman kimlik doğrulamasında

Nymi, kullanıcının benzersiz elektrokardiyogramını (EKG) tarar. Bu, her zaman açık kimlik doğrulaması sağlamak için cihazı yalnızca bileğinizde bulundurmanız gerektiği anlamına gelir. Kalbiniz atmaya devam ettiği sürece, giriş yapacaksınız.

Aynı numarayı Apple Watch veya Android Wear saatlerinde denemeyi düşünüyorsanız, acele edin, henüz orada değiliz. Nymi, bir akıllı saat gibi yalnızca kullanıcının kalp atış hızını izlemekle kalmaz, aslında daha hassas bir sensör alan kullanıcının EKG dalgasının şeklini de analiz eder. Akıllı saatler bu uygulama için ideal donanım platformu gibi görünüyor ve er ya da geç aynı şeyi yapabilecekler.

Telefonunuzun, arabanızın, ofisinizin ve bilgisayarınızın kilidini sadece orada olup nabız atarak açtığınızı hayal edin? Herhangi bir hesaba sorunsuz bir şekilde giriş yapmak, ardından öğle yemeği için ödeme yapmak, eve giderken biraz alışveriş yapmak ve belki de bir ATM'den nakit çekmek, bunların hepsini yiyecek ve kredi kartlarınızı karıştırmak zorunda kalmadan yapabilirsiniz. Henüz orada değiliz, ama yavaş yavaş oraya gidiyoruz.

Tüm bunlar Yazılım Geliştiricileri ve Kullanıcılar İçin Ne Anlama Geliyor?

Şu an için yazılım geliştiriciler, parolasız çözümler dağıtmak için kullanıma hazır ara katman yazılımı ve belirteçleştirmeyi kullanabilir. Böyle bir örnek, Node.js ve Express için belirteç tabanlı, açık kaynaklı bir çerçeve olan Passwordless'tır. Nasıl dağıtıldığıyla ilgileniyorsanız, Mozilla'nın bunu açıklayan kapsamlı bir blog yazısı var.

Biraz zaman alacak ama biyometrik yapı taşları yavaş yavaş yerine oturuyor. Mevcut parolasız teknolojiler artırılacak ve sonunda biyometrik kimlik doğrulama ile değiştirilecektir.

Meslektaşlarımın çoğu da dahil olmak üzere birçok biyometrik güvenlik şüphecisi, bunun yakın zamanda olacağına inanmıyor, ancak ben iflah olmaz bir iyimserim; On yılın sonunda parolasız güvenliğin standart olacağını düşünüyorum ve bu nedenle: Yazılım veya donanım olsun, yalnızca belirli bir alanı gözlemlersek, birçoğunu daha önce ana hatlarıyla belirttiğim, biyometriyle ilgili sayısız sorun bulacağız. Bununla birlikte, birkaç adım geriye gidersek ve büyük resme bakarsak, yeni endüstri trendlerine ve kişisel ve kurumsal güvenliğe artan vurguya, yüksek oranda kamuya açık güvenlik ihlallerine, gizlilik endişelerine bakarsak - bir şeyler görmemiz gerekir. farklı bir bakış açısı.

Öyle olsa bile, odadaki fil mahremiyet veya B2B güvenliği değil, mobil ödemeler.

ABD'deki mobil işlem hacminin bu yıl iki katından fazla artarak 10 milyar dolara ulaşması bekleniyor. Bloomberg, 2018 yılına kadar hacmin 110 milyar dolara ulaşmasını bekliyor. Kişi başına bazda, ortalama bir Amerikalı tüketici bu yıl işlemlerden yaklaşık 30 dolar kazanacak, ancak 2018'e kadar her erkek, kadın ve çocuk için bu sayı kişi başına 330 dolara çıkacak. 2019 ve 2020'de aynı bileşik yıllık büyüme oranını varsayarsak, 2021 yılına kadar kişi başına dört haneli rakamlara bakıyor olabiliriz.

Oyunda bu tür bir para varken, ne düşünüyorsun?