Биометрия и информационная безопасность
Введение
Биометрическая аутентификация личности всё чаще становится предпочтительным способом защиты информации как для компаний, так и для простых пользователей. Еще совсем недавно казалось чем-то из разряда фантастики получить доступ к чему-либо по отпечатку пальца или по лицу. Сегодня же для многих людей стало привычным осуществлять таким способом разблокировку своего смартфона.
Биометрия используется для идентификации, аутентификации и авторизации – это три последовательных процесса, которые неразрывно связаны (подробнее читайте в статье «Идентификация, аутентификация и авторизация»). При идентификации мы предъявляем системе уникальный образец – идентификатор, после чего система сравнивает этот образец с хранящимся в базе данных шаблоном – происходит аутентификация. Если предъявляемый образец совпадает с шаблоном, то пользователю предоставляется доступ с определенным набором прав – происходит авторизация.
Что такое биометрическая аутентификация
Под биометрической аутентификацией понимается метод аутентификации, основанный на предъявлении уникальных биологических характеристик человека: отпечатка пальца, сетчатки или радужной оболочки глаза, геометрии лица, форме ладони. К биометрическим характеристикам относятся также форма уха, запах тела, сердцебиение, рисунок вен на руках, ДНК – всё это тоже уникальные биометрические идентификаторы конкретного человека. Одним словом, биометрическая аутентификация – это когда ключом для получения доступа становится ваше тело.
Существует и так называемая поведенческая биометрия, которая основана на уникальных для каждого человека особенностях поведения и действиях. Её примерами может служить походка, голос, почерк, в том числе клавиатурный почерк (скорость и динамика набора текста, частота ошибок, использование определенных клавиш).
Надо сказать, что биометрические методы не являются исключительно современными, напротив, это одна из самых старых форм идентификации. Еще в 14 веке китайцы использовали методы, похожие на идентификацию по отпечаткам пальцев, в качестве способа идентификации своих детей. А в конце 19 века полицейские всего мира использовали метод идентификации личности преступника по антропометрическим данным, который назывался бертильонаж.
Где используется биометрическая аутентификация
На практике биометрические методы аутентификации уже нашли эффективное применение во многих отраслях, включая военную отрасль, охрану правопорядка, финансы и электронную коммерцию.
Их применяют разработчики мобильных устройств и компьютеров в качестве альтернативы парольной защиты.
Методы биометрической аутентификации активно внедряют банки, осуществляя обслуживание клиентов без предъявления паспорта, позволяя привязывать свои биометрические данные к личному счету и совершать покупки без банковской карты и гаджета – по распознаванию лица.
Системы распознавания лиц работают во многих городах: в общественных местах, аэропортах, вокзалах и позволяют правоохранительным органам бороться с преступностью.
Биометрические данные внедрены в электронные паспорта во многих странах мира.
Преимущества
- Во-первых, это удобно. Пользователю не нужно запоминать сложные пароли, носить с собой какой-то ключ-токен. Достаточно предъявить палец, глаз, ухо или лицо, и доступ будет получен. Биометрические данные всегда находятся при себе, их невозможно потерять или забыть.
- Во-вторых, биометрические данные не так просто украсть, как ключ или пароль. На первый взгляд, биометрическая аутентификация решает проблему слабых паролей, которые по статистике в 80% случаев являются причиной взлома учетных записей.
- В-третьих, при использовании биометрической аутентификации в корпоративных целях снижаются расходы на обслуживание системы аутентификации, не нужно тратить средства и время на регулярную смену паролей, сброс забытых и утерянных паролей.
- В-четвертых, применение биометрической аутентификации усложняет удаленный взлом. Даже зная пароль, злоумышленник не сможет получить доступ к целевой системе или устройству, если настроена двухфакторная аутентификация, где биометрические данные выполняют роль дополнительного идентификатора.
Недостатки
Несмотря на перечисленные преимущества, биометрические методы аутентификации сопряжены с определенными рисками и угрозами:
- Биометрический «спуфинг». Спуфинг – это практика обмана системы безопасности с использованием поддельной или скопированной, информации, в данном случае биометрической. Например, отпечаток пальца можно сфотографировать с какого-либо предмета и скопировать его. Поддельный отпечаток можно использовать для разблокировки мобильного устройства или платежной системы, что позволит злоумышленникам получить доступ к данным и банковскому счету пользователя.
Системы распознавания лиц, часто используемые для защиты смартфонов или планшетов, также уязвимы. Известны случаи, когда защищенные с их помощью устройства, получалось разблокировать, просто показав фотографию владельца. - Ошибочность. Отказ в доступе легитимному пользователю или ошибочное предоставление доступа постороннему человеку. К примеру, метод распознавания по лицу не рекомендуют использовать тем, у кого есть брат или сестра-близнец. В биометрическом методе, какой бы надежный он не был, всегда присутствует вероятность ложноотрицательной и ложноположительной сработки.
Например, Ваш голосовой идентификатор также не защищен на 100%. Известно, что дипфейки (сгенерированные нейросетями поддельные видео или аудио данные) на основе искусственного интеллекта и машинного обучения могут достаточно убедительно имитировать голоса. - Биометрические данные, как и любые другие, хранятся на серверах компании. Нет гарантии, что базы с этими данными надежно защищены и не передаются третьим лицам. Если злоумышленники получат доступ к такой базе данных, то смогут использовать скомпрометированные учетные записи для кражи личной информации и денежных средств. Известны случаи, когда именно базы данных с биометрическими характеристиками становились непосредственной целью компьютерных атак.
Заключение
Сфера биометрической аутентификации перспективная и быстроразвивающаяся, с каждым годом растет число исследований и разработок в данной сфере. Однако эти методы несовершенны, и всегда существует вероятность ошибок. Стоит внимательно взвесить все «за и против», прежде чем принять решение использовать биометрию для защиты своих конфиденциальных данных и денежных средств.
Если украденный пароль или банковскую карту можно заменить, то как заменить украденное «лицо» или «палец»? Потерянный или украденный биометрический идентификатор становится скомпрометированным уже навсегда. Об этом следует помнить, соглашаясь использовать метод биометрической аутентификации.
Рекомендации
- Используйте двухфакторную аутентификацию. Например, отпечаток пальца в сочетании с надежным паролем или аутентификацией при помощи СМС-сообщения. Это защитит Ваши данные, даже если один из идентификаторов (пароль или отпечаток пальца) будет украден.
- По возможности храните биометрические данные на устройстве, а не у поставщика услуг, даже если данные зашифрованы. Этим Вы снизите риски, связанные с утечками баз данных. Зачастую компании хранят базы биометрических данных не на отдельных серверах, а на общих серверах, где хранятся и многие другие данные компании или приложения, которые потенциально могут стать целью компьютерных атак злоумышленников.
Если компания не предоставляет возможность хранить биометрические данные на устройстве пользователя, оцените потенциальные риски их утечки, прежде чем предоставлять пользоваться услугами этой компании и предоставлять ей свои данные.
Материалы по теме
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
