Биометрические данные стали стандартом де-факто для безопасной аутентификации потребителей. Даже среди работодателей распространено мнение, что биометрия в сочетании с надежными паролями обеспечивает безопасность. Хотя это правда, что использование биометрических данных в процессе аутентификации значительно снижает вероятность кражи учетных данных, недавние события выявили некоторые недостатки биометрии.
Биометрические данные стали стандартом де-факто для безопасной аутентификации потребителей. Даже среди работодателей распространено мнение, что биометрия в сочетании с надежными паролями обеспечивает безопасность. Хотя это правда, что использование биометрических данных в процессе аутентификации значительно снижает вероятность кражи учетных данных, недавние события выявили некоторые недостатки биометрии. В этом месяце произошло серьезное нарушение базы данных биометрических данных, разоблачающее отпечатки пальцев и данные по распознаванию лиц миллионов людей. Как сообщает The Guardian , израильские исследователи безопасности Ноам Ротем и Ран Локар обнаружили физиологическую биометрию миллионов людей в общедоступной базе данных. Supremaсамопровозглашенный «глобальный Powerhouse в области биометрических, безопасных и идентификационных решений», отвечающий за веб-систему биометрической блокировки Biostar 2, подвергся тщательному анализу, поскольку выяснилось, что база данных Biostar 2 была незащищенной и большей частью незашифрованной.
Что такое биометрия?
Биометрия - это просто использование ключевых физических характеристик вашего тела в качестве уникальных идентификаторов вас. Эти функции являются уникальными для вас компонентами, такими как отпечатки пальцев, структура лица и ладони. Все из которых легко читаются внешними устройствами, не будучи значительно агрессивными.
Зачем использовать биометрическую безопасность?
Двухфакторная аутентификация - отличный способ повысить безопасность. Использование биометрической аутентификации - это способ, с помощью которого работодатели могут снизить риск, не увеличивая трудностей для сотрудников. Это помогает компаниям обеспечить защиту клиентов. Большая часть современных персональных технологий использует некоторую форму биометрического идентификатора, например отпечатки пальцев, для защиты повседневных устройств. Телефоны, планшеты, ноутбуки, а также банки и медицинские учреждения используют биометрическую аутентификацию.
Биометрическая безопасность
Тем не менее, биометрический идентификатор должен быть тем, что могут производить только предполагаемые пользователи. Сканеры отпечатков пальцев бесполезны, если у кого-то есть копия ваших отпечатков пальцев или если по какой-либо причине отпечатки пальцев, идентифицирующие вас, изменены.
Это именно то, что исследователи смогли сделать согласно опубликованному отчету . Исследователи собирались эффективно взять учетные записи и идентификационные данные отдельных лиц, отредактировав существующую учетную запись пользователя и добавив свои отпечатки пальцев или данные распознавания лиц. Весь доступ этого пользователя скомпрометирован. Кроме того, исследователи смогли просто добавить себя как пользователя со своей фотографией и отпечатками пальцев, чтобы предоставить им доступ к зданию или учетной записи по своему желанию. Несмотря на то, что организация предпринимает шаги по защите своих активов, эти активы остаются в опасности, когда доверенные партнеры не могут защитить свои активы.
Недостатки биометрии
Сообщается, что Suprema входит в число 50 крупнейших производителей систем безопасности, и тем не менее, даже им не удалось защитить биометрические данные и данные аутентификации из более чем 1,5 миллиона мест по всему миру.
Биометрические записи, в отличие от паролей, представляют значительный риск, если они раскрыты. Биометрия, как и ваш номер социального страхования, вряд ли изменится. Как только биометрические данные скомпрометированы, индивидуум остается вечно скомпрометированным. Отпечатки пальцев и маркеры лица обычно не меняются на протяжении всей жизни человека. Таким образом, в случае взлома эти записи больше не являются жизнеспособным методом аутентификации, даже в качестве второго фактора, потому что они фактически общедоступны.
Организационное воздействие
Когда происходит нарушение такого масштаба, это не затрагивает отдельных лиц, но все организации, с которыми они работали или работают, теперь сталкиваются с повышенным риском. Предприятия, сотрудники которых используют биометрические данные в качестве второй формы аутентификации, в настоящее время имеют несколько пользователей, которые в действительности имеют только однофакторную аутентификацию. Их пароль является единственной действительной аутентификацией, потому что их биометрические данные могут теперь быть в открытом доступе. Биометрия не меняется, и теперь этот второй фактор больше не защищен.
Что делать
Один из способов справиться с этой ситуацией заключается в том, что предприятия проходят длительный и дорогостоящий процесс удаления биометрии как второго фактора аутентификации. Другим, столь же длительным и трудоемким процессом будет замена биометрической аутентификации другим фактором, таким как цифровой брелок или приложение на телефоне пользователя. Тем не менее, каждый из этих вариантов несет в себе риск.
Компании должны принять новую парадигму, что даже биометрическая аутентификация несет в себе риск раскрытия. В этом случае клиенты Suprema сталкиваются с наличием у некоторых сотрудников менее надежных учетных данных. Умные компании понимают, что ландшафт угроз продолжает меняться и развиваться, и кибер-атакующие регулярно адаптируют свой подход, таким образом находя новые дыры.
