Autentimise tulevik: biomeetria, mitmefaktoriline ja kaassõltuvus

Esitatud Blackberry

Talk Mobile Security

Autentimise tulevik: biomeetria, mitmefaktoriline ja kaassõltuvus

autor: Rene Ritchie, Daniel Rubino, Kevin Michaluk, Phil Nickinson

Aastaid oli parool autentimisvahendina nii turvaline, kui vajasime. Kui te ei vastutanud tuumakoodide eest, piisas võib-olla tosinast tähemärgist koosnevast põhiparoolist. Probleem on selles, et meie arvutite võimsuse kasvades kasvas ka andmebaasihäkkerite ja koodimurdjate kasutatavate arvutite võimsus.

Tänapäeval kulub teie põhiparooli sissemurdmiseks vaid minuteid, kui mitte sekundeid. Teie kontode ja seadmete turvalisuse tagamiseks ei piisa ainult teile teadaolevatest tähtedest ja numbritest. Igaüks, kes pakub garanteeritud turvalisust, kas valetab teile või petab end oma süsteemide tugevuse osas.

Kuidas peaksime tulevikus kogu oma kraami turvaliselt hoidma? Kas peaksime kasutama pidevalt muutuva kahefaktorilise autentimise pettumust või on lahendus meie enda biomeetria? Või saame kasutada oma seadmeid üksteise autentimiseks, luues iseturvalise isikliku võrgu?

Alustame vestlust!

1. 01.Kevin
   MichalukMitmefaktorilise autentimise segane vaev

1. 02.Phil
   NickinsonBiomeetrilise turvalisuse maailmas olete parool teie

1. 03.Rene
   Ritchiema saan oma parooli muuta; Ma ei saa oma silmamuna muuta

1. 04.Daniel
   RubinoMinu nutitelefon, minu parool

Tulevane autentimine

Artiklite navigeerimine

• Mitmefaktoriline autentimine
• Video: Michael Singer
• Biomeetriline autentimine
• Häkitud biomeetria
• Seadme autentimine
• Kommentaarid
• Üles

Kevin MichalukCrackBerry

Mitmefaktorilise autentimise segane vaev

Ja see on ainult üks tegur. Parool. Midagi, mida sa tead. Tänapäeval, kui teenustesse häkitakse ja seadmeid kaob või varastatakse, on suundumus mitmefaktoriline. Märk. Midagi, mis sul on.

Sisestate selle, mida teate, parooli, seejärel genereerib SMS-sõnum või rakendus teise koodi millelegi, mis teil on: teie valduses olevale telefonile. See muudab asjad palju turvalisemaks, kuid muudab need ka palju keerulisemaks.

Multi-mitmefaktoriline

Mitmefaktorilise autentimise aluseks on mitmed tegurid. Peaaegu alati on parool või PIN-kood, mis jääb samaks – teie autentimisstandard. Mis muudab selle mitmeks (enamasti ainult kaheastmeliseks), on teise kontrolli lisamine. Selle teise kinnituse saab hankida paljudest allikatest. Kõige levinum on sekundaarne kood, mis edastatakse kas SMS-i teel konto omaniku mobiiltelefonile või otse turvalise autentija mobiilirakenduse kaudu. Idee seisneb selles, et teie parooli saab eemalt häkkida, kuid hankida ka teisese koodi nõuab teie mobiilseadme äärmuslikumat häkkimist või selle tegelikku füüsilist hooldust seade. Muud mitmefaktorilise autentimise vormid hõlmavad spetsiaalse koodigeneraatori kasutamist, mis on seotud konkreetselt sellele kontole, kasutajale määratud kiipkaart või USB-märk või biomeetria, nagu iiris või sõrmejälgede skaneerimine. Kuigi nutitelefon on mugav, avab see, et see koodi saamiseks juhtmevabalt suhtleb, protsessis killu. Lahti ühendatud füüsilisi seadmeid ja biomeetriat on palju raskem häkkida, vähemalt eemalt. Kuid kui olete füüsilise turvakontrolli kaotanud, on kõik panused nagunii välja lülitatud.

Mina näiteks kasutan oma peamisel Gmaili kontol Google'i kaheastmelist autentimist. Pärast standardparooli sisestamist saadetakse mu telefonile tekstsõnum kordumatu autentimiskoodiga, mille pean seejärel sisestama. Inimesena, kes reisib palju – logides sisse erinevatest kohtadest ning arvutitest ja mobiilseadmetest –, võib see olla valus. Pole midagi sellist, kui viibite New Yorgis ja teilt küsitakse SMS-koodi, mis läks Winnipegis kodus istunud telefonile.

Pole midagi sellist, kui viibite New Yorgis ja teilt küsitakse koodi, mis läks Winnipegi kodus telefoni.

Sagedamini kui see, mida võib pidada väikeseks ebamugavuseks, on SMS-kood, mis on kehtetu ja seda tuleb ikka ja jälle küsida, kuni see töötab. Pole midagi sellist, nagu telefoni lõhkumine või kaotamine, asendaja hankimine ja seejärel seadistamine kaheastmeline autentimine Gmaili, Dropboxi, iTunesi ja kõigi muude asjade jaoks, mida ma kasutan, jällegi kriimustada.

Ma naljatan, et olen oma kontod nii turvaliseks muutnud, et isegi ma ei saa sisse, aga selle üle pole tõesti midagi naerda, eriti inimestele, kes lihtsalt vajavad seda kraami töötamiseks.

Ma ei lülita seda välja, sest üldiselt on teadmine, et olen kaitstud, seda väärt. Kuid see on liiga paljude inimeste jaoks liiga keeruline ja tõrgeteta. On põhjus, miks ma seda tavainimesele ei soovita.

Tehke kõik "esimese maailma probleemi" mõrad, mida soovite, kuid kui meie telefonidest saavad meie ID-kaardid ja rahakotid, nad hakkavad autoriseerima seda, mida me ostame, kuid kinnitavad, kes me oleme – turvalisuse ja mugavuse tasakaal on olemas kriitiline. Ja me lihtsalt pole veel kohal.

Saate turvakihid paika panna ja neil kõigil on võimalus midagi peatada. Kuid lõppkasutaja, kui ta on lolliks läinud, saab neist kõigist väga kiiresti läbi lõigata.

- Michael Singer / AVP mobiili-, pilve- ja juurdepääsuhalduse turvalisus ettevõttes AT&T

K:

Kas kasutate oma kontodel mitmefaktorilist autentimist?

876 kommentaari

Phil NickinsonANDROID CENTRAL

Biomeetrilise turvalisuse maailmas olete parool teie

Käimas on samm, et maailm paroolidest vabastada. Ärge muretsege, nad ei lähe niipea kuhugi, kuid mõned targad inimesed näevad vaeva, et midagi paremat välja mõelda. Lihtsaim ja võib-olla kõige olulisem koht paroolide jaoks mobiilseadmes on lukustusekraan. See on esimene ja parim kaitseliin, mis hoiab teie telefoni ja selles hoitavaid andmeid kellegi teise käest eemal.

Kõigil platvormidel on kasutatud traditsioonilisi avamismehhanisme, kuid Google oli esimene, kes mängis millegi erinevaga. Alates Android 4.1 Ice Cream Sandwichist saate määrata telefoni avanema ainult siis, kui see näeb teie nägu. Seda funktsiooni peeti "eksperimentaalseks", mis ei lohutanud palju, arvestades, et prinditud foto teie näost toimis sama hästi kui päris.

Iirise skaneerimine

Tavaliselt ja ekslikult "võrkkestaskanniks" kutsutud silmade skaneerimise tehnoloogia, mis enamikule endiselt tundub olevat peaaegu ulme valdkond, on tegelikult iirise skaneerimine. Teie iiris – teie silma värviline osa, mis kontrollib ava, kuhu teie pupill avaneb, ja seega ka seda, kuidas palju valgust jõuab teie silmamuna tagaküljele asuva võrkkestani – sellel on ainulaadne muster, mida saab matemaatiliselt määratletud. Erinevalt sõrmejälgedest ei saa inimese iirist muuta ilma oluliste vigastusteta.

Võrkkesta skaneerimiseks kasutatakse kahte süsteemi: nähtavad lainepikkused ja lähiinfrapuna. Enamik skannereid on lähi-infrapunakiirgusega, mis töötab paremini inimeste domineerivate tumedamate vikerkestadega. Nähtava lainepikkusega skannerid võivad paljastada rikkalikumaid detaile ja neid on raskem petta tänu iirises leiduva melaniini ergastamisele, kuid on altid peegeldustest tulenevatele häiretele. Teadlased uurivad kahe süsteemi kombineerimist täpsuse suurendamiseks.

Kuigi vikerkesta skannerid võivad töötada kuni mõne meetri kaugusel ja anduri piisava eraldusvõimega, on nende maksumus laialdaselt kasutusele võetud. Araabia Ühendemiraadid, USA ja Kanada kasutavad NEXUSe madala riskitasemega õhu jaoks iirisskannereid kõigis piiripunktides. reisijate programmis, Google'i andmekeskustes ja mõnes munitsipaalpolitsei osakonnas üle maailma, sealhulgas New Yorgis Linn.

Kuid see näitab teile, mis suunas asjad liiguvad. Oleme näinud selle tehnoloogia arengut, mis nõuab silmade pilgutamist (proovige seda teha fotoga). Või võib-olla nõuab see naeratamist või lolli näo tegemist.

Kuid tõenäolisem on see, et näeme biomeetriliste andmete ja traditsiooniliste paroolide kombinatsiooni. Teie telefon vaatab vaikselt, kas teie proovite seda avada. Kui see tuvastab telefoni või tahvelarvuti tagaküljel oleva anduri kaudu teie näo – või võib-olla teie hääle või sõrmejälje või nahaaluse kapillaarmustri – jätab see teise parooli vahele. Kui see pole kindel, naasete PIN-koodi sisestamise, mustri libistamise või millegi jõulisema juurde.

Biomeetriatel on sama põhiviga kui traditsioonilistel paroolidel – need on üksainus tõrkepunkt.

Oleme aastakümneid näinud filmides biomeetriat. Sõrmejäljed. Peopesa jäljed. Hääl-ID. Iris skaneerib. Tänapäeval on need kindlasti kasutusel kõrge turvalisusega aladel. Meil on sõrmejäljeskannerid mõnel telefonil varem olnud, kuid need on tuhmunud pärast seda, kui funktsioon ei saavutanud kohustuslikku olekut. Oleme mänginud näotuvastusega.

Kuid biomeetriatel on iseenesest sama põhiviga kui traditsioonilistel paroolidel – need on üksainus tõrkepunkt. Me näeme suuremat kasutamist, kuid see peaks alati olema koos teiste turvameetmetega.

K:

Kas teile meeldiks kasutada biomeetrilist autentimist?

876 kommentaari

Rene RitchieROHKEM

ma saan oma parooli muuta; Ma ei saa oma silmamuna muuta

"Hääletrükk kinnitatud." Varem oli see filmide värk – kui arvutid olid käsureal, helendasid monitorid roheliselt ja isegi lühike numbrijada oli peaaegu murdmatu parool.

Nüüd kontrollib Android teie identiteeti teie näoga. Xbox One kuulab teie häält, loeb teie südamelööke ja tunneb isegi teie meeleolu. Kuulujuttude järgi ehitab Apple iPhone'i sõrmejäljeskanneri.

Paroolid olid enamasti asjad, mida me teadsime – neid võis meilt sundida või petta, ära arvata, häkkida või muul viisil ohtu seada. Parimal juhul olid need pseudojuhuslike tegelaste jadad, mille keerukus, nagu loodeti, muutis nad liiga keeruliseks, et neid universumis ilma kvantarvutuseta murda.

Nüüd võivad "paroolid" olla ka asjad, mis meil on. Ärge unustage juurdepääsukaarte, telefone või muid dongliid, need võivad olla biomeetrilised andmed. Need võivad olla meie keha osad.

Kuidas me muudaksime oma silmi, pöidlajälge või kapillaaride mustrit, kui see kunagi ohtu satuks?

Pöidla ja iirise skaneeringud on ühed kõige sagedamini nähtud, vähemalt teles ja filmides. Mis juhtub, kui või millal need on ohus? Hollywoodi fantaasiarikkad inimesed on meile näidanud kõike alates proteesidest kuni maharaiutud käteni ja välja raiutud... okei, see läheb kohutavaks.

Tundub, et nädal ei möödu ilma, et mõni veebisait või rakendus ei teataks rikkumisest ja soovitaks meil parooli vahetada. Tähtede, numbrite ja sümbolite hunniku muutmine on piisavalt lihtne. Kuidas me muudaksime oma silmi, pöidlajälge või kapillaaride mustrit, kui see kunagi ohtu satuks?

Vastus näib olevat mitte salvestada tegelikke biomeetrilisi andmeid, mida saab häkkida, vaid salvestada midagi biomeetriliste andmete põhjal andmed, mida ei saa pöördprojekteerida, kuid mida saab samade andmete põhjal muuta mõneks muuks asjaks, kui ja millal see on häkkinud.

Sõrmejälg katki

Nagu iga autentimisviis, on ka sõrmejäljeskannerid vastuvõtlikud petmisele. Discovery kanali sari Müüdimurdjad käsitles 2006. aasta episoodis sõrmejäljeskannerite lollitamist. Saatejuhid Kari Byron ja Tory Belleci said ülesandeks petta sõrmejäljeskannerit, et nad arvaksid, et nad on müüdimurdja Grant Imahara.

Pärast Imahara sõrmejälje puhta koopia saamist juveel-CD-ümbrisest (hoolimata sellest, et ta teadis nende missioonist ja võttis samme tema sõrmejälgede puhastamiseks), tegid Byron ja Belleci sõrmejäljest kolm koopiat – üks söövitas lateksisse, teine kohta Müüdimurdjad lemmik ballistikageel ja üks muster, mis on trükitud paberile.

Testitud nii optilise skanneri kui ka skanneri suhtes, mida peeti tänu tuvastamisvõimele "võitmatuks" temperatuur, pulsisagedus ja naha juhtivus, suutsid kõik kolm meetodit skannereid petta, kui neid niisutati lakkuma. Isegi paber.

Hästi rakendatud tehnoloogia võib tähendada, et sellest ei saa kunagi probleeme. Kuid kui sageli oleme õppinud tehnoloogiat, mida meie arvates hästi rakendatuna poleks osutunud? Kas on üldse võimalik midagi pöördprojekteerimiskindlaks teha?

Ulme on taas muutumas teaduslikuks faktiks, kuid üks asi, mis ei muutu, oleme meie. Meie kohustus on tagada, et enne iiriste, pöidla ja luustiku loovutamist veenduksime, et suudame end teavitada, et seda tehakse turvaliselt ja viisil, mis hoiab ära meie tegelike biomeetriliste andmete ohtu sattumise, isegi kui süsteem ja meie teabeandmed seda teevad.

K:

Talk Mobile Survey: mobiilse turvalisuse olukord

Daniel RubinoWINDOWSI TELEFON KESKNE

Minu nutitelefon, minu parool

Tõenäoliselt on tänapäevaste nutitelefonide üks loomingulisemaid kasutusviise nende lisamine teiste seadmete autentimismärgina. See võib alguses tunduda imelik, kuid kui järele mõelda, on sellel palju mõtet. Lõppude lõpuks on need sisuliselt võrguga ühendatud miniarvutid, mida me praktiliselt kogu aeg kaasas kanname, nii et miks mitte panna see arvutusvõimsus turvalisuse huvides tööle?

Sellised ettevõtted nagu Microsoft ja Google on mõlemad viimasel ajal oma kahefaktoriliste autentimissüsteemidega selle laiali hüpanud. Kui teie telefonis on rakendus (nt Microsofti Authenticator), saavad kasutajad turvaliselt luua kordumatuid ühekordseid paroole teise taseme paroole, et oma kontodele turvaliselt juurde pääseda. See on üks lisaetapp, kuid see kasutab riistvara, mis teil niikuinii kaasas on.

See on üks lisaetapp, kuid see kasutab riistvara, mis teil niikuinii kaasas on.

NFC (lähiväljasuhtlus) on veel üks potentsiaalne tehnoloogia, mida saab turvalisuse tagamiseks kasutada. Pole raske ette kujutada stsenaariumi, kus avate arvuti lukustamisega, koputades nutitelefoni vastu arvutit (või isegi autot või kodu), luues lühikese ja kohese NFC-kinnitusühenduse.

Sissepääs

Sajandeid on trummellukk olnud peamine vahend kodu kindlustamiseks. Kuigi on olemas lukustuspoldid ja turvaketid, on lukk ainuke, millele pääsete juurde väljastpoolt ja seega ka see, mida kasutatakse, kui olete eemal.

Lukk teeb 21. sajandil lõpuks läbi revolutsiooni tänu turvaliste juhtmevabade tehnoloogiate tulekule. Esimesed rakendused olid RFID-kiipidega, mida omanik võis kanda kaardil, võtmehoidjal (kui omapärane) või isegi väikese kiibina, mis oli manustatud käe külge (vähem omapärane).

Viimasel ajal on võimust võtnud kommunikatiivsed lukud. Unikey Kevo ja hiljuti ühisrahastatud Lockitroni süsteemid on loodud töötama üle Bluetooth 4.0 ja Wi-Fi, mis võimaldab omanikul avada ukse lukust lihtsalt sellele lähenedes – isegi kui telefon taskus või rahakott. On olemas mitmeid NFC-ukselukke ja Fraunhoferi Instituudi loodud Android-rakendus ShareKey võimaldab ühilduvatel Android-seadmetel uksi avada, puudutades oma telefoni lukku. ShareKeyt saab kasutada isegi inimestele ajutise juurdepääsu andmiseks.

Ainus asi, mis näib seda ideed tagasi hoidvat, on ettevõtted, kes pole ikka veel omaks võtnud NFC-d – tehnoloogiat, mis on küll muljetavaldav, kuid ei pruugi siiski ideaalne olla. NFC ei saa ise palju andmeid edastada – sagedamini peavad seadmed rohkem andmemahu saamiseks kasutama Bluetoothi ​​või Wi-Fi-d, mis tähendab suuremat keerukust. Seal on mõned NFC-turbetooted, sealhulgas integreeritud NFC-ga ukselukud.

Kui ühe seadme autentimine teisega võib osutuda vähem mugavaks kui ühe läbipääsuga turvasüsteem, siis 2013. aastal sammud muutuvad üha vajalikumaks, et kaitsta nii teie seadmeid kui ka andmeid, mis on talletatud või mille kaudu juurdepääsetavad neid. Meie panus (ja lootus) on, et kui tööstus langeb mitme seadme autentimise standardile, nt. kasutades nutitelefon arvuti avamiseks, muutuvad need tavad kiiresti normiks või vähemalt mitte ebatavaline.

Suurim ja masendav miinus? Nutitelefoni koju unustamine võib veelgi rohkem ärevust tekitada kui praegu.

K:

Kas kasutaksite oma nutitelefoni arvuti, kodu või auto kaitsmiseks?

876 kommentaari

Järeldus

Kasutaja autentimise tulevik tugineb peaaegu kindlasti välisele. Enam ei ole see tähemärkide jada, mida kasutatakse teie sisule juurdepääsuõiguse kontrollimiseks, vaid süsteemid, mis kontrollivad, kas olete parool see, kes teid ütleb.

Biomeetriline autentimine on olnud kasutusel läbi aegade, alates pöidlajäljeskanneritest kuni vikerkesta kontrollimise ja kapillaaride skaneerimiseni (nahaaluste veresoonte vaatamine). Tänapäeva seadmed, nii mobiilsed kui statsionaarsed, on varustatud rohkemate anduritega kui kunagi varem. Ei ole põhjendamatu arvata, et lähiaastatel varustatakse neid rohkemate skanneritega ja et need andurid suudavad meie identiteeti kontrollida.

Võib julgelt eeldada, et biomeetria on vaid üks kiht turvalisest andmetöötlusest. Suuremat rolli võib oodata ka mitmefaktoriline autentimine, kas või teenuse osutamise kaudu kordumatu teine ​​kood teisele seadmele, mille kasutaja saab sisestada, või teine ​​seade ise kontrollimine. Kasutaja täieliku seadme ökosüsteemi füüsiline omamine muutub nõusolekuks.

Kas on parem viis? Kas me teeme turvalisuse nimel liiga palju kompromisse mugavuses? Või leiavad kurjategijad alati tee?