Obsah
- Co je pasivní biometrie?
- Jak pasivní biometrie funguje
- Proč je to důležité?
- Jak pasivní biometrie pomáhá zabezpečení dat
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Jaký je jeho dopad na bezpečnostní problémy v reálném světě?
- Jsou tradiční metody už užitečné?
- Co je budoucnost?
- Závěr
Zdroj: Dwnld777 / Dreamstime
Odnést:
Pasivní biometrie připravuje cestu pro zabezpečení bez hesla, které může hackerům zmařit.
V době, kdy jsou konvenční opatření v oblasti zabezpečení dat omezena omezeními, jako je příliš velká závislost na uvážení uživatele a jeho přijetí, může pasivní biometrie potenciálně nabídnout rovnováhu mezi bezpečností a přijetím uživatele. Konvenční bezpečnostní mechanismy, jako jsou hesla a kódy SMS, jsou pouze tak silné, jak je uživatel vytváří. Bylo zjištěno, že mnoho uživatelů má tendenci nastavovat slabá hesla, protože je snadno zapamatovatelné. To překonává hlavní účel mechanismů založených na heslech nebo bezpečnostních kódech. Pasivní biometrie nevyžaduje, aby uživatel aktivně poskytoval přihlašovací údaje, pasivně shromažďoval uživatelská data ve formách, jako jsou techniky rozpoznávání tváře, hlasu a duhovky. Přestože pasivní biometrie jako mechanismus zabezpečení IT stále nalézá své místo, lze říci, že nabízí příjemnou rovnováhu mezi pohodlím uživatele a bezpečností dat.
Co je pasivní biometrie?
Pro definování biometrie, marketingové ředitelky biometrické firmy EyeVerify, Tinna Hung vysvětluje: „Biometrie se spoléhá na něco, čím jste, spíše než na něco, co znáte.“
V případě pasivní biometrie se člověk nemusí aktivně účastnit procesu ověřování nebo identifikace a někdy tento proces nevyžaduje ani upozornění uživatele; autentizace jednoduše probíhá během běžných uživatelských činností. V těchto případech nemusí subjekt jednat přímo ani fyzicky. Když systém běží bez znalosti uživatele, poskytuje nejvyšší úroveň autentizace.
Technologicky automatizovaný systém v zásadě měří behaviorální nebo fyziologické vlastnosti člověka s vědomím nebo bez vědomí uživatele. Abychom získali lepší představu o tom, co pasivní biometrie znamená, můžeme se podívat na některé srovnávací příklady tohoto systému v kontrastu s aktivními biometrickými systémy. Například jakákoli technologie geometrie prstu nebo ruky by byla považována za aktivní biometriku, stejně jako rozpoznávání podpisů a skenování sítnice. Je to proto, že uživatel musí položit ruku nebo se podívat do skenovacího zařízení, aby rozpoznal. Pasivní biometrie však zahrnuje systémy rozpoznávání hlasu, obličeje nebo duhovky. (Chcete-li se dozvědět více o biometrii, přečtěte si článek Nové pokroky v biometrice: bezpečnější heslo.)
Jak pasivní biometrie funguje
Výborným vysvětlením toho, jak pasivní biometrie funguje, je Ryan Wilk, ředitel úspěchu zákazníka společnosti NuData. Jeho slovy: „Zjišťujeme, jak uživatel skutečně komunikuje: jak píšou, jak pohybují myší nebo telefonem, kde používají telefon, údaje z akcelerometru. … Protože jednotlivé datové body na sebe nejsou příliš užitečné, ale když je začnete spojovat a spojovat je do profilu toho, kdo je tento uživatel, začnete vytvářet něco, co je opravdu hluboké a skutečně jedinečné, a něco, co je extrémně obtížné spoof. “
Pasivní biometrie poskytuje organizacím příležitost ověřit si identitu svých zákazníků v závislosti na jejich přirozeném chování v technologických interakcích. Neustálý proces tohoto neintruzivního řešení zůstává pro uživatele neviditelný, protože nevyžaduje práci ani registraci na pozadí; nepožaduje zákazníky, aby během svých běžných operací prováděli jakékoli další akce. Analýza behaviorálních dat v reálném čase poskytuje společnostem přesná hodnocení pro oddělení útočníků od autentických klientů. Protože osobní údaje (PII) nejsou zaznamenány, hackeři nikdy nedostanou ruku na důvěrná data, aby narušili identifikaci uživatele. Pasivní biometrie je revolučním pokrokem na cestě ověřování identity, která má schopnost odstranit veškerou šanci na podvod z jádra autentizačního rámce organizace a může přidat novou úroveň důvěry v celý životní cyklus účtu.
Proč je to důležité?
Technologie vždy rodí nové systémy a bezpečnostní bariéry, které chrání celou síť před škodlivými činnostmi. Může však zabránit tomu, aby geniální hackeři a podvodníci navždy našli mezery v systému? Ne. Pokud však nemají žádné znalosti o probíhajícím procesu, jak budou moci absolvovat ověřovací test? Pokud nevědí o pozadí, nepřijmou vůbec žádná opatření. Zde se pasivní biometrie liší od jiných metodik ověřování. Důležitost tedy leží i zde. Když je na začátku důvod vykořenění důvodu zneužití, nemůže dojít k podvodu.
Jak pasivní biometrie pomáhá zabezpečení dat
Požadavek na sofistikovanější a uspokojivější bezpečnostní systémy roste ve vzduchu po dlouhou dobu. Poptávka nyní nutí bezpečnostní sítě k biometrice, a zejména k pasivní technologii, kde uživatelé nemusí být informováni o procesu identifikace, v závislosti na charakteristikách chování. (Více informací o pasivních biometrických údajích naleznete v části Jak velká data mohou zabezpečit ověření uživatele.)
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Hung vysvětlil: „Dobře implementované biometrické řešení bude přirozeně zapadat do pravidelného toku uživatelského chování.“ Pasivní biometrie má klíčovou výhodu v tom, že vytváří profil toho, jak daná osoba stroj používá, a nejen profil samotného stroje. . Jak Wilk vysvětluje, pasivní přístup otevírá knihu pro pochopení uživatele na „téměř podvědomé úrovni“.
Další pasivní přístup vytvořený společností BioCatch funguje tak, že zaznamenává a analyzuje aktivity uživatelů, o kterých si ani neuvědomují, že to dělají. Fyzické vlastnosti, jako je měření prstu na dotykové obrazovce, aktivní ruka (vlevo nebo vpravo) pomocí myši nebo frekvence kmitání uživatelské ruky držící zařízení, poskytují přesnou kombinaci dat pro akutní identifikaci jedinečného zákazníka. Navíc kognitivní rysy, jako je způsob chování webového rolování někoho (šipky, kolečko myši, stránka nahoru a dolů atd.) Nebo technika držení zařízení (horizontální nebo vertikální, úhel náklonu zařízení atd.) pomáhají posílit autentizaci systému.
Podle Orena Kedema, viceprezidenta pro správu produktů v BioCatch, také používají „neviditelné výzvy“ pro uživatele, kde operace ukazuje stěží znatelnou změnu v normálním chování uživatele. Například aplikace může změnit několik pixelů kurzoru jiným směrem nebo mírně změnit rychlost posouvání stránky, aby se otestovala jedinečná odpověď uživatelů. Jejich reakce na tyto incidenty jsou neuvěřitelně jedinečné, což nelze replikovat.
Jak říká Kedem: „Nesledujeme jen to, co děláte, ale také ovlivňujeme to, co děláte. ... Ptáme se vás na otázku, aniž byste byli dotázáni a vy nám dáte odpověď, kterou znáte. Je to tajemství, které nelze odcizit jako heslo nebo token. “
Systém je naprogramován tak, aby automaticky detekoval a předcházel keyloggingovým botnetům, které zaznamenávají a přehrávají pohyby cíle. Je to proto, že napodobení reakce uživatele je téměř nemožné v případě neviditelných problémů, které se v aplikaci neustále mění.
Jaký je jeho dopad na bezpečnostní problémy v reálném světě?
Finanční a bankovní služby po celém světě se začaly spoléhat na tento nový systém. Poskytovatelé biometrických zabezpečení, jako jsou EyeVerify a Daon, spolupracují s finančními organizacemi. EyeVerify spolupracuje s Digital Insight na autentizaci biometrických bezpečnostních systémů v mobilních bankovních zařízeních a chystají se spustit své Eye ID jako mobilní aplikaci.
V roce 2014 zajistila biometrická technologie implementovaná společností Daon 10,7 milionu uživatelů federální spořitelny USAA v procesu bezproblémového mobilního bankovnictví. V tomto případě vedoucí bezpečnostní poradce USAA Richard Davey komentoval: „Obavy vyplývající ze stále se vyskytující hrozby phishingu, malwaru a informací z vnějších narušení znamenají, že bude vždy ohrožena kontrola autentizace a přístupu. Technologie, jako je biometrie, tyto hrozby zmírňují a zároveň usnadňují krásné zážitky koncových uživatelů. “
Pasivní ověření biometrické identity hlasu zaznamenává registraci uživatele odesláním jedinečného hlasu prostřednictvím konverzace během počáteční registrace. Tato počáteční konverzace vyžaduje pokračování po dobu 45 sekund pro využití rozpoznávacích dat. Zaznamenaný hlas pak identifikuje uživatele porovnáním dalšího hlasu získaného v následující konverzaci s kontaktním centrem.
Tato banka implementovala novou bezpečnostní technologii pro své zaměstnance a poté na svém trhu v San Antoniu v Texasu následovala Kalifornie a nakonec ji uvedla v plném rozsahu v lednu 2015. Výsledná reakce byla vynikající. Tři týdny po implementaci se do biometrické autentizace přihlásilo přibližně 100 000 zákazníků a během deseti měsíců se počet reagujících zákazníků zvýšil na více než jeden milion.
Jsou tradiční metody už užitečné?
90denní analýza průzkumu provedená společností Nudata Security v roce 2015 odhalila 112% nárůst webových útoků za účelem získání hesel a uživatelských jmen, a to od roku 2014. Co je příčinou toho, že hackeři získávají pokrok v tradičních bezpečnostních systémech? Pojďme o tom trochu důkladněji.
Všichni děláme kompromitaci síly našich hesel, abychom si je snadno zapamatovali. Ano, tady leží viník. Byla doba, kdy jedna osoba spravovala pouze dva nebo tři účty online, a nebylo příliš těžké si pamatovat kritická hesla pro malý počet případů. Proces byl tedy relevantní k ochraně identity osoby v té době.
Nyní se však obrázek výrazně změnil. Všichni máme spoustu účtů, tolik, že je někdy nemůžeme ani sledovat. Je možné si pamatovat heslo složené z náhodných čísel, symbolů a písmen pro každý účet? Určitě ne. Co děláme, je ohrozit bezpečnostní opatření udržováním vzoru pro všechna naše hesla s některými známými informacemi, nebo zapomínáme na náhodné volby silných hesel a potom je musíme neustále obnovit.
Nyní nepřímý způsob, jak udržovat identitu osoby v bezpečí, je řešením jak pro spokojenost uživatelů, tak pro zabezpečení, protože nemusíme dělat žádnou volbu, abychom udrželi náš systém v bezpečí a zapamatovali si ho. Hackeři mají také potíže se učit, jak zjistit, kde je implementován bezpečnostní systém. Proto jejich předchozí způsoby získání přístupu k jiným účtům již nefungují dobře.
Co je budoucnost?
Podle Grissena a Hunga biometrické systémy nezůstanou v nepovinné fázi, ale v blízké budoucnosti budou panovat nad celou sítí bezpečnostních systémů v otázkách „bezpečnost versus pohodlí“.
Tato technologie je stále přesnější a její instalace do domácích webových a mobilních aplikací se stává snazší. Nové algoritmy jsou v dílech implementovány další telemetrie pro rozšíření behaviorálních profilů, jako je orientace zařízení na širokou škálu zařízení.
Konsolidace mezi tržními segmenty SIEM (správa bezpečnostních informací a událostí) a UEBA (analýza chování uživatelů a entit) je budoucností pro růst ve všech aspektech podnikání, jak vidíme v případě prodejců SIEM, Splunkova akvizice Caspida. Plánují další cesty, které zákazníkům poskytnou účinnější zážitek při implementaci SIEM, a tím k tomu přidají dlouhou historii existujících dat. Různé formy analýzy chování se ukázaly jako povinný doplněk ke zmírnění bezpečnostního problému ak vyhrání dlouhodobé studené války proti podvodníkům.
Závěr
Nakonec můžeme říci, že budoucnost přináší podvodníkům spoustu těžkých časů, protože budou zmláceni kombinovaným útokem na ověřování znalostí a analýzu chování v bezpečnostních postupech. V roce 2016 náměstek ministra financí Sarah Bloom Raskin uvedl: „Návrh systému se vyvíjí, aby se vypořádal s problémem ověřování, který představují ukradená nebo snadno ohrožená hesla: příští generace online ověřování identity vypadá tak, že kombinuje to, co zákazníci vědí a mají, s tím, co dělají. nebo behaviorální biometrie. “