Традиционная защита паролем давно стала слабым местом систем безопасности, и биометрию все чаще используют для защиты личных устройств и корпоративных систем. Поскольку биологические и поведенческие характеристики человека уникальны, этот способ кажется надежным. Но многие опасаются использовать биометрические данные в качестве единственного средства идентификации личности.
Специалисты по кибербезопасности стремятся уменьшить риски, связанные с этим мощным средством аутентификации, которое превращает в средство защиты наше тело и поведенческие особенности.
В этой статье мы рассмотрим базовые принципы использования биометрических данных для кибербезопасности. Для начала ответим на несколько общих вопросов.
Начнем по порядку.
Вот простейшее определение: биометрия – это биологические параметры или физические характеристики, с помощью которых можно идентифицировать человека. Самые известные примеры биометрических технологий: скан отпечатка пальца, распознавание лиц и скан сетчатки глаза.
Исследователи также считают уникальными идентификаторами форму ушной раковины, походку, манеру сидеть, запах, рисунок вен на руках и даже мимику человека. Это тоже биометрические данные.
Биометрия применяется в разных областях, но особенно часто – в сфере безопасности. Есть три основных типа биометрии:
Биологическая биометрия основана на генетических и молекулярных признаках. Это может быть состав крови или ДНК. Для этого берутся пробы биологических жидкостей.
Морфологическая биометрия основана на физических особенностях человеческого тела. Такие характерные черты, как рисунок радужной оболочки глаза, отпечатки пальцев или форма лица преобразуются в код, с которым работают сканеры систем безопасности.
Поведенческая биометрия основана на шаблонах поведения, уникальных для каждого человека. Идентификатором может стать походка, манера говорить или манера печатать на клавиатуре. Достаточно лишь выявить характерные особенности.
Мы все чаще используем биометрическую аутентификацию в повседневной жизни. Физические характеристики человека относительно постоянны и индивидуальны, даже если речь идет о близнецах. Мы используем свои уникальные биометрические идентификаторы вместо пароля или вместе с ним на компьютерах, в телефонах или для входа в здания и помещения с ограниченным доступом.
Биометрические данные собираются, преобразуются в код и хранятся. Затем их используют для сопоставления при аутентификации. В основном эти данные хранятся в зашифрованном виде на устройстве или на удаленном сервере.
Биометрические сканеры – это устройства для снятия биометрических показателей с целью идентификации личности. Эти показатели сравниваются с имеющейся базой данных, после чего мы получаем или доступ к системе, или отказ.
Другими словами, биометрия означает, что ключом к доступу становится наше собственное тело.
Использование биометрии имеет два важных преимущества.
И хотя эти технологии небезупречны, они несут в себе большие возможности для развития кибербезопасности.
Вот самые распространенные примеры биометрической защиты.
Биометрическую защиту уже эффективно используют во многих отраслях экономики.
С помощью продвинутых методов биометрии защищают конфиденциальные документы и ценные активы. Citibank уже использует распознавание голоса, а британский банк Halifax тестирует устройства мониторинга сердечных сокращений для идентификации клиентов. Компания Ford даже рассматривает возможность установки биометрических датчиков на свои автомобили.
Биометрические паспорта давно используются по всему миру. В США биометрические паспорта оснащены чипом, содержащим цифровую фотографию владельца, скан его пальца или радужной оболочки глаза, а также технологией защиты от несанкционированного считывания информации и копирования данных.
По мере того как эти технологии получают все большее развитие, мы можем наблюдать все их преимущества и недостатки в режиме реального времени.
Биометрические сканеры становятся все более совершенными. Биометрические данные используются даже для защиты мобильных телефонов. Например, устройство для распознавания лиц в iPhone X от Apple проецирует на лицо 30 000 точек в инфракрасном диапазоне, а затем анализирует данные для аутентификации владельца. По утверждению компании, вероятность того, что система ошибется, – один случай на миллион.
В смартфоне LG V30 используются как технологии распознавания лиц и голоса, так и скан отпечатка пальца. Все данные хранятся на устройстве для большей безопасности. Компания – производитель датчиков CrucialTec для двухфакторной аутентификации объединила датчик сердечного ритма и сканер отпечатков пальцев. Таким образом компания защищает свою систему от попытки доступа с помощью клона отпечатка пальца.
Проблема в том, что биометрические сканеры, в том числе систему распознавания лиц, можно обмануть. Исследователи из университета Северной Каролины в Чапел-Хилл, США, загрузили фото двадцати волонтеров из аккаунтов в социальных сетях и создали 3D-модели их лиц. С помощью этих 3D-моделей исследователи успешно взломали четыре из пяти протестированных систем защиты.
Примеры клонирования отпечатков пальцев мы видим повсеместно. Один из примеров, представленных на конференции по компьютерной безопасности Black Hat, показал, что отпечаток пальца можно надежно клонировать примерно за 40 минут с помощью полимерной глины или парафина стоимостью всего 10 долларов.
Немецкое сообщество хакеров Chaos Computer Club смогло обмануть устройство TouchID на iPhone уже на второй день после его релиза. Хакеры просто сфотографировали отпечаток пальца на стеклянной поверхности и с помощью этой фотографии разблокировали iPhone 5s.
Биометрическая аутентификация удобна, однако ревнители безопасности считают, что она несет угрозу для частной жизни. Их беспокоит то, как легко и бесконтрольно могут собираться личные данные.
Технология распознавания лиц стала частью повседневной жизни в китайских городах, где с ее помощью делают рутинные покупки. Лондон просто увешан уличными камерами. Нью-Йорк, Чикаго и Москва подключают городские камеры наблюдения к информационным базам распознавания лиц, чтобы помочь полиции бороться с уличной преступностью. Американский университет Карнеги-Меллона сейчас разрабатывает камеру, которая сможет сканировать радужные оболочки глаз людей в толпе с расстояния 10 метров.
В 2018 году система распознавания лиц была установлена в аэропорту Дубая, где пассажиров, проходящих через тоннель виртуального аквариума, фотографирует 80 камер одновременно.
Камеры с функцией распознавания лиц установлены и в других аэропортах по всему миру: в Хельсинки, Амстердаме, аэропорту Сент-Пол в Миннеаполисе и Тампа во Флориде. И все эти данные должны где-то храниться, а это как раз и подпитывает страхи по поводу постоянной слежки и неправомерного использования информации.
Более серьезная проблема – это то, что базы персональных данных представляют большой интерес для хакеров. Например, когда в 2015 году хакеры взломали Управление кадровой службы США, в их распоряжении оказались отпечатки пальцев 5,6 млн правительственных чиновников, что поставило их под угрозу кражи идентификационных данных.
Хранение биометрических данных на устройстве пользователя (как в случае с TouchID или FaceID для iPhone) считается более безопасным, чем на серверах провайдера, даже если данные зашифрованы.
Риск того, что хакеры взломают систему и похитят недостаточно хорошо защищенные данные, сравним с риском взлома базы, где хранятся пароли. Однако последствия будут совершенно другими. Если хакеры узнали пароль, его можно изменить. Биометрические данные изменить нельзя, они вечные.
Учитывая риски, связанные с безопасностью и конфиденциальностью, биометрические системы необходимо защищать особенно надежно.
Чтобы предотвратить неавторизованный доступ к системе, нужно установить многофакторную аутентификацию, в том числе индикаторы движения (например, моргания), позволяющие системе определить, что перед ней живой человек. Сопоставление данных пользователей с закодированными образцами должно происходить в зашифрованных доменах.
В некоторых системах безопасности для биометрической аутентификации используются дополнительные параметры, такие как возраст, пол и рост человека. Это также создает препятствия для хакеров.
Хороший пример – индийская система биометрической идентификации и аутентификации Aadhaar, запущенная в 2009 году. Идентификация пользователей происходит в несколько этапов и включает сканирование радужной оболочки и всех десяти пальцев рук, а также распознавание лиц.
Эта информация привязана к уникальной идентификационной карте, которую может получить каждый из 1,2 млрд жителей Индии. Скоро такую карту будет обязан иметь каждый человек, который обращается за социальными услугами.
Биометрические данные могут использоваться вместо имени пользователя как элемент двухфакторной аутентификации. Двухфакторная аутентификация включает:
Учитывая, как быстро входит в нашу жизнь интернет вещей, использование двухфакторной аутентификации – это мощный защитный ход. Устанавливая многоуровневую защиту подключенных к интернету устройств, мы делаем их менее уязвимыми для утечки данных.
В качестве дополнительной защиты для хранения традиционных паролей можно использовать менеджер паролей.
Биометрия становится все более популярным способом подтверждения личности в системах кибербезопасности.
На сегодняшний день самая надежная защита – это комбинация биологической или поведенческой биометрии с другими способами аутентификации. Это намного лучше, чем использовать в качестве подтверждения только лишь состоящий из символов пароль.
Биометрические технологии предлагают очень привлекательные решения для обеспечения безопасности. И хотя тут есть свои риски, эти решения весьма удобны и их сложно дублировать. К тому же, они будут постоянно развиваться и займут свое место в мире будущего.
Статьи по теме:
Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее. Продолжая находиться на сайте, вы соглашаетесь с этим. Подробную информацию о файлах cookie можно прочитать здесь.