Kimlik doğrulamanın geleceği: Biyometri, çok faktörlü ve birlikte bağımlılık

Tarafından sunulan Böğürtlen

Mobil Güvenlik Konuşun

Kimlik doğrulamanın geleceği: Biyometri, çok faktörlü ve birlikte bağımlılık

Rene Ritchie, Daniel Rubino, Kevin Michaluk, Phil Nickinson

Yıllar boyunca parola, bir kimlik doğrulama aracı olarak ihtiyaç duyduğumuz kadar güvenliydi. Nükleer kodlardan sorumlu olmadığınız sürece, belki bir düzine karakterlik basit bir şifre yeterliydi. Sorun şu ki, bilgisayarlarımızın gücü arttıkça, veritabanı korsanları ve kod kırıcılar tarafından kullanılan bilgisayarların gücü de arttı.

Bugün, temel parolanızı kırmak saniyeler değilse bile yalnızca dakikalar alıyor. Yalnızca sizin tarafınızdan bilinen bir dizi harf ve rakam, hesaplarınızı ve cihazlarınızı güvende tutmak için yeterli değildir. Garantili güvenlik sunan herkes ya size yalan söylüyor ya da sistemlerinin gücü konusunda kendilerini kandırıyor.

Gelecekte tüm eşyalarımızı nasıl güvende tutacağız? Sürekli değişen iki faktörlü kimlik doğrulamanın hayal kırıklığına uğramasına mı başvurmalıyız yoksa cevap kendi biyometrimiz mi? Veya cihazlarımızı birbirimizin kimliğini doğrulamak için kullanabilir miyiz, kendi kendini koruyan bir kişisel ağ oluşturabilir miyiz?

Haydi sohbete başlayalım!

1. 01.kevin
   michalukÇok faktörlü kimlik doğrulamanın aksaklık sorunu

1. 02.Phil
   NickinsonBiyometrik güvenlik dünyasında, parola sizsiniz

1. 03.Rene
   RitchieŞifremi değiştirebilirim; gözbebeklerimi değiştiremem

1. 04.Daniel
   yakutAkıllı telefonum, şifrem

Gelecek Kimlik Doğrulaması

Makaleler gezinme

• Çok faktörlü kimlik doğrulama
• Video: Michael Singer
• Biyometrik kimlik doğrulama
• Hacklenmiş biyometri
• Cihaz kimlik doğrulaması
• Yorumlar
• En üste

kevin michalukCrackBerry

Çok faktörlü kimlik doğrulamanın aksaklık sorunu

Ve bu sadece tek bir faktör. Bir parola. Bildiğin bir şey. Bu günlerde, hizmetlerin saldırıya uğraması ve cihazların kaybolması veya çalınmasıyla birlikte, eğilim çok faktörlüdür. Bir jeton. Sahip olduğun bir şey.

Bildiğiniz bir şeyi, şifreyi girersiniz, ardından bir SMS mesajı veya bir uygulama, sahip olduğunuz bir şey için ikinci bir kod oluşturur: elinizdeki telefon. Bu, işleri çok daha güvenli hale getirir, ancak aynı zamanda onları daha da zorlaştırır.

Çok faktörlü

Çok faktörlü kimlik doğrulamanın temeli, çok faktörlüdür. Neredeyse her zaman sabit kalan bir şifre veya PIN olacaktır - temel kimlik doğrulama standardınız. Bunu çoklu (çoğunlukla sadece iki adımlı) yapan şey, ikinci bir doğrulamanın eklenmesidir. Bu ikinci doğrulama, geniş bir kaynak havuzundan alınabilir. En yaygın olanı, hesap sahibinin cep telefonuna SMS yoluyla veya doğrudan güvenli bir kimlik doğrulayıcı mobil uygulaması aracılığıyla sağlanan ikincil koddur. Parolanızın uzaktan saldırıya uğrayabileceği, ancak ikincil kodun da alınabileceği fikri mobil cihazınızın daha aşırı düzeyde hacklenmesini veya söz konusu cihazın gerçek fiziksel gözetimini gerektirir. cihaz. Diğer çok faktörlü kimlik doğrulama biçimleri, bağlı olan özel bir kod oluşturucunun kullanımını içerir. özellikle bu hesaba, kullanıcıya atanmış bir akıllı kart veya USB belirteci veya iris veya parmak izi taramaları. Bir akıllı telefon kullanışlı olsa da, kodu almak için kablosuz olarak iletişim kurması, süreçte bir boşluk açar. Bağlantısız fiziksel cihazlar ve biyometri, en azından uzaktan hacklemek için çok daha zordur. Ancak fiziksel güvenlik kontrolünü bir kez kaybettiğinizde, tüm bahisler yine de iptal olur.

Birincisi, ana Gmail hesabımda iki adımlı Google kimlik doğrulaması kullanıyorum. Standart şifremi girdikten sonra, telefonuma benzersiz bir kimlik doğrulama kodu içeren bir kısa mesaj gönderiliyor ve ardından girmem gerekiyor. Çok seyahat eden biri olarak - farklı konumlardan, bilgisayarlardan ve mobil cihazlardan oturum açmak - baş belası olabilir. New York'ta olmak ve Winnipeg'de evde oturan bir telefona gönderilen SMS kodunun sorulması gibisi yoktur.

New York'ta olmak ve Winnipeg'deki evdeki bir telefona giden kodun sorulması gibisi yoktur.

Küçük bir rahatsızlık olarak kabul edilebilecek olandan daha sık olarak, geçersiz olan bir SMS kodu vardır ve çalışana kadar tekrar tekrar talep edilmesi gerekir. Bir telefonu kırmak veya kaybetmek, yenisini almak ve sonra kurmaya çalışmak gibisi yoktur. Gmail, Dropbox, iTunes ve kullandığım diğer tüm şeyler için iki aşamalı kimlik doğrulama çizik.

Hesaplarımı o kadar güvenli hale getirdim ki ben bile giremiyorum, ama gerçekten gülünecek bir şey yok, özellikle de bu tür şeylere ihtiyaç duyan insanlar için.

Kapatmıyorum çünkü genel olarak korunduğumu bilmek buna değer. Ama çok fazla insan için çok karmaşık ve glitchy. Ortalama bir insan için tavsiye etmememin bir nedeni var.

İstediğin kadar "birinci dünya sorunu" crackleri yap ama telefonlarımız kimlik kartlarımız ve cüzdanlarımız haline geldikçe, satın aldığımız şeyleri yetkilendirmeye başlarlar, ancak kim olduğumuzu doğrularlar; güvenlik ve rahatlık dengesi kritik. Ve henüz orada değiliz.

Güvenlik katmanlarını yerleştirebilirsiniz ve her birinin bir şeyi durdurma şansı vardır. Ancak son kullanıcı, eğer kandırılırsa, hepsini çok hızlı bir şekilde kesebilir.

-Michael Şarkıcı / AT&T'de AVP Mobil, Bulut ve Erişim Yönetimi Güvenliği

Q:

Hesaplarınız için çok faktörlü kimlik doğrulama kullanıyor musunuz?

876 yorum

Phil NickinsonANDROID MERKEZİ

Biyometrik güvenlik dünyasında, parola sizsiniz

Dünyayı şifrelerden kurtarmak için bir adım atılıyor. Endişelenme, yakın zamanda hiçbir yere gitmeyecekler ama bazı akıllı insanlar daha iyi bir şey bulmak için çok çalışıyorlar. Bir mobil cihazda şifreler için en basit ve belki de en önemli yer kilit ekranıdır. Telefonunuzu - ve içindeki verileri - başka birinin elinden uzak tutmanın ilk ve en iyi savunma hattıdır.

Tüm platformlarda geleneksel kilit açma mekanizmaları kullanıldı, ancak farklı bir şeyle ilk oynayan Google oldu. Android 4.1 Ice Cream Sandwich ile başlayarak, telefonunuzu yalnızca yüzünüzü gördüğünde kilidini açacak şekilde ayarlayabilirsiniz. Bu özellik "deneysel" olarak kabul edildi ve yüzünüzün basılı bir fotoğrafının gerçeği kadar işe yarayacağı düşünülürse bu pek teselli sayılmazdı.

iris taraması

Yaygın olarak ve yanlışlıkla "retina taraması" olarak adlandırılan, hala çoğu bilimkurguya yakın alan gibi görünen göz tarama teknolojisi aslında bir iris taramasıdır. İrisiniz - gözbebeğinizin açıldığı açıklığı ve böylece nasıl açılacağını kontrol eden gözünüzün renkli kısmı göz kürenizin arkasındaki retinanıza çok fazla ışık ulaşır - matematiksel olarak tanımlanabilecek benzersiz bir modele sahiptir tanımlanmış. Parmak izlerinin aksine, bir insanın irisi önemli bir yaralanmaya maruz kalmadan değiştirilemez.

Retinayı taramak için iki sistem kullanılır: görünür dalga boyları ve yakın kızılötesi. Tarayıcıların çoğu, insanların baskın koyu irisleriyle daha iyi çalışan yakın kızılötesi türdedir. Görünür dalga boyu tarayıcılar, iristeki melanin uyarımı sayesinde daha zengin ayrıntıları ortaya çıkarabilir ve kandırmaları daha zordur, ancak yansımalardan kaynaklanan parazitlere eğilimlidirler. Araştırmacılar, gelişmiş doğruluk için iki sistemi birleştirmeyi araştırıyorlar.

İris tarayıcılar, yeterli sensör çözünürlüğü ile birkaç metre mesafeye kadar çalışabilse de, maliyetlerinin yaygın olarak benimsenmesinde engelleyici olduğu kanıtlanmıştır. NEXUS düşük riskli hava uçuşları için Birleşik Arap Emirlikleri, ABD ve Kanada'daki tüm sınır giriş noktalarında iris tarayıcılar kullanılmaktadır. gezgin programı, Google'ın veri merkezlerinde ve New York da dahil olmak üzere dünyanın dört bir yanındaki birkaç belediye polis departmanı tarafından Şehir.

Ancak bu size işlerin ilerleyeceği yönü gösterir. Gözlerin yanıp sönmesini gerektiren teknolojinin evrimini gördük (bunu bir fotoğrafla yapmayı deneyin). Veya belki de gülümsemenizi veya şapşal bir surat yapmanızı gerektirecektir.

Ancak biyometri ve geleneksel şifrelerin bir kombinasyonunu görmemiz daha muhtemel. Telefonunuz kilidini açmaya çalışanın siz olup olmadığınızı görmek için sessizce bakar. Bir telefonun veya tabletin arkasındaki bir sensör aracılığıyla yüzünüzü veya belki sesinizi veya parmak izinizi veya deri altı kılcal damar deseninizi tanırsa, ikincil bir şifreyi atlar. Emin değilseniz, bir PIN girmeye, bir deseni kaydırmaya veya daha sağlam bir şeye geri döneceksiniz.

Biyometri, geleneksel şifrelerle aynı temel kusura sahiptir - bunlar tek bir başarısızlık noktasıdır.

Onlarca yıldır filmlerde biyometri gördük. Parmak izleri. Avuç içi izleri. Ses kimliği. İris taramaları. Bugün kesinlikle yüksek güvenlikli alanlarda kullanılıyorlar. Daha önce birkaç telefonda parmak izi tarayıcılarımız vardı, ancak özellik sahip olunması gereken duruma ulaşamayınca bunlar kayboldu. Yüz tanıma ile biraz oynadık.

Ancak biyometri kendi içinde geleneksel şifrelerle aynı temel kusura sahiptir - bunlar tek bir başarısızlık noktasıdır. Artan kullanım göreceğiz, ancak her zaman diğer güvenlik önlemleriyle birlikte olmalıdır.

Q:

Biyometrik kimlik doğrulamayı kullanmaktan rahatsız olur muydunuz?

876 yorum

Rene RitchieDAHA FAZLA

Şifremi değiştirebilirim; gözbebeklerimi değiştiremem

"Ses izi doğrulandı." Eskiden filmlerin konusuydu - bilgisayarların komut satırı olduğu, monitörlerin yeşil renkte parladığı ve kısa bir sayı dizisinin bile neredeyse kırılmaz bir şifre olduğu zamanlar.

Artık Android, kimliğinizi yüzünüzle doğrular. Xbox One sesinizi dinler, kalp atışlarınızı okur ve hatta ruh halinizi algılar. Apple'ın bir iPhone'a parmak izi tarayıcısı yaptığı söyleniyor.

Parolalar çoğunlukla bildiğimiz şeylerdi - bizden zorla alınabilir veya kandırılabilirler, tahmin edilebilirler, hacklenebilirler veya başka bir şekilde tehlikeye girebilirler. En iyi hallerinde, karmaşık sözde rasgele karakter dizileriydiler ve bunların, kuantum hesaplamanın olmadığı bir evrende kırılmalarını çok zorlaştırdığı umuluyordu.

Artık "şifreler" sahip olduğumuz şeyler de olabilir. Erişim kartlarını, telefonları veya diğer dongle'ları boşverin, bunlar biyometrik olabilir. Vücudumuzun parçaları olabilirler.

Gözlerimizi, parmak izimizi veya kılcal damar modelimizi tehlikeye atarsak nasıl değiştiririz?

Başparmak ve iris taramaları, en azından TV'de ve filmlerde en sık görülenlerden bazılarıdır. Bunlar tehlikeye atılırsa veya ne zaman tehlikeye atılırsa ne olur? Hollywood'daki hayal gücü kuvvetli insanlar bize protezlerden kesilen ellere ve oyulmuş ellere kadar her şeyi gösterdiler... tamam, bu tüyler ürpertici olmaya başladı.

Görünüşe göre bir web sitesi veya uygulama bir ihlal duyurusu yapmadan ve şifremizi değiştirmemizi önermeden bir hafta geçmiyor. Bir sürü harfi, rakamı ve sembolü değiştirmek yeterince kolaydır. Gözlerimizi, parmak izimizi veya kılcal damar modelimizi tehlikeye atarsak nasıl değiştiririz?

Cevap, hacklenebilecek herhangi bir gerçek biyometrik veriyi saklamak değil, biyometrik veriye dayalı bir şeyi saklamak gibi görünüyor. tersine mühendislik uygulanamayan, ancak aynı verilere dayalı olarak başka bir şeye değiştirilebilen veriler saldırıya uğradı.

Parmak izi bozuldu

Herhangi bir kimlik doğrulama biçimi gibi, parmak izi tarayıcıları da yanıltmaya açıktır. Discovery kanal serisi Efsane Avcıları 2006'daki bir bölümde parmak izi tarayıcılarını kandırmanın üstesinden geldi. Sunucular Kari Byron ve Tory Belleci, bir parmak izi tarayıcıyı kandırarak Mythbuster Grant Imahara arkadaşları olduklarına inandırmakla görevlendirildiler.

Bir mücevher CD kutusundan Imahara'nın parmak izinin temiz bir kopyasını aldıktan sonra (görevlerini bilmesine ve parmak izlerini temizlemek için birkaç adım), Byron ve Belleci parmak izinin üç kopyasını çıkardı - biri latekse kazınmış, diğeri yapılmış ile ilgili Efsane Avcıları favori balistik jeli ve bir kağıt parçasına basılmış desenden yalnızca biri.

Hem optik bir tarayıcıya hem de algılama yeteneği sayesinde "yenilmez" olarak lanse edilen bir tarayıcıya karşı test edildi sıcaklık, nabız hızları ve cilt iletkenliği, her üç yöntem de bir tarayıcı ile ıslandığında tarayıcıları yanıltmayı başardı. yalamak. Kağıt bile.

İyi uygulanan teknoloji, bunun asla sorun olmayacağı anlamına gelebilir. Ancak, iyi uygulandığını düşündüğümüz teknolojinin böyle bir şey olmadığını ne sıklıkla öğrendik? Tersine mühendislikten korunan bir şey yapmak mümkün mü?

Bilimkurgu yeniden bilim gerçeği haline geliyor ama değişmeyen tek şey biziz. Süsenlerimizi, başparmaklarımızı ve iskeletlerimizi teslim etmeden önce, kendimizi bilgilendirme yeteneğimizin sınırlarına kadar emin olduğumuzdan emin olmak bizim sorumluluğumuzdur. güvenli bir şekilde ve sistem ve bilgi verilerimiz tehlikeye girse bile gerçek biyometrik verilerimizden herhangi birinin tehlikeye atılmasını önleyecek şekilde yapıldığını.

Q:

Talk Mobile Anketi: Mobil güvenliğin durumu

Daniel yakutWINDOWS TELEFON MERKEZİ

Akıllı telefonum, şifrem

Muhtemelen modern akıllı telefonların en yaratıcı kullanımlarından biri, diğer cihazlar için bir kimlik doğrulama belirteci olarak dahil edilmeleridir. Bu ilk başta garip gelebilir ama düşündüğünüzde çok mantıklı geliyor. Ne de olsa, bunlar aslında her zaman yanımızda taşıdığımız ağa bağlı mini bilgisayarlar, öyleyse neden bu bilgi işlem gücünü güvenlik amacıyla çalıştırmayasınız?

Microsoft ve Google gibi şirketler, son zamanlarda iki faktörlü kimlik doğrulama sistemleriyle bu çoğunluğa atladılar. Telefonunuzda bir uygulama bulundurarak (ör. Microsoft Authenticator), kullanıcılar, hesaplarına güvenli bir şekilde erişmek için benzersiz tek seferlik parolalar, ikinci düzey parolalar oluşturabilir. Fazladan bir adım ama yine de yanınızda bulunduracağınız donanımı kullanıyor.

Fazladan bir adım ama yine de yanınızda bulunduracağınız donanımı kullanıyor.

NFC (Yakın alan iletişimi), güvenlik amacıyla kullanılabilecek başka bir potansiyel teknolojidir. Akıllı telefonunuzu bilgisayara (hatta arabanıza veya evinize) dokundurarak kısa ve anında bir NFC doğrulama bağlantısı kurarak bilgisayarınızın kilidini açtığınız bir senaryo hayal etmek zor değil.

İç erişim

Yüzyıllar boyunca, mandallı kilit, kişinin evini güvence altına almanın birincil yolu olmuştur. Sürgü ve güvenlik zincirleri olsa da, kilit dışarıdan erişebileceğiniz tek kilittir ve bu nedenle siz yokken kullanılan kilittir.

Kilit, güvenli kablosuz teknolojilerin ortaya çıkışı sayesinde 21. yüzyılda nihayet bir devrim geçiriyor. İlk uygulamalar, sahibinin bir kartta, anahtarlıklarında (ne kadar ilginç) veya hatta kollarına gömülü küçük bir çip olarak (daha az tuhaf) taşıyabileceği RFID çipleri ile yapıldı.

Daha yakın zamanlarda, iletişimsel kilitler hakim oldu. Kevo by Unikey ve yakın zamanda kitle tarafından finanse edilen Lockitron sistemleri, Bluetooth 4.0 üzerinden çalışacak şekilde tasarlanmıştır ve Wi-Fi, sahibinin telefonu cebinde olsa bile sadece yaklaşarak kapının kilidini açmasına olanak tanır veya el çantası. Bir dizi NFC kapı kilidi mevcuttur ve Fraunhofer Enstitüsü tarafından yapılan ShareKey Android uygulaması, uyumlu Android cihazların yalnızca telefonlarını kilide dokundurarak kapıları açmasına olanak tanır. ShareKey, kişilere geçici erişim izni vermek için bile kullanılabilir.

Bu fikri engelleyen tek şey, etkileyici olsa da yine de ideal olmayabilecek bir teknoloji olan NFC'yi hala benimsememiş şirketler. NFC tek başına çok fazla veri aktaramaz - daha fazla veri için cihazların Bluetooth veya Wi-Fi'ye geri dönmesi gerekir, bu da daha fazla karmaşıklık anlamına gelir. Entegre NFC'li kapı kilitleri de dahil olmak üzere bazı NFC güvenlik ürünleri var.

Bir cihazın diğeriyle kimliğinin doğrulanması, tek geçişli bir güvenlik sisteminden daha az uygun olabilirken, 2013'te bu tür hem cihazlarınızı hem de üzerinde saklanan veya bu cihazlar üzerinden erişilebilen verileri korumak için adımlar giderek daha gerekli hale geliyor. onlara. İddiamız (ve umudumuz), endüstri çoklu cihaz kimlik doğrulaması için bir standarda ulaştığında, ör. kullanarak Bilgisayarınızın kilidini açmak için akıllı telefonunuzu kullanırsanız, bu uygulamalar hızla norm haline gelecek veya en azından olmayacak olağan dışı.

En büyük ve en sinir bozucu dezavantaj? Akıllı telefonunuzu evde unutmak, şimdi olduğundan daha fazla endişe uyandırıyor olabilir.

Q:

Bilgisayarınızı, evinizi veya arabanızı korumak için akıllı telefonunuzu kullanır mıydınız?

876 yorum

Çözüm

Kullanıcı kimlik doğrulamasının geleceği neredeyse kesin olarak hariciye güvenecektir. Artık içeriğe erişim hakkınızı doğrulamak için kullanılan bir dizi karakter olmayacak, aslında şifrenin söylediği kişi olduğunuzu doğrulayan sistemler olacak.

Biyometrik kimlik doğrulama, parmak izi tarayıcılardan iris doğrulamaya ve kılcal damar taramalarına (cildinizin altındaki kan damarlarına bakarak) kadar çağlardır kullanılmaktadır. Günümüzün hem mobil hem de sabit cihazları, her zamankinden daha fazla sensörle donatılmıştır. Önümüzdeki yıllarda daha fazla tarayıcıyla donatılacaklarını ve bu sensörlerin kimliklerimizi doğrulayabileceklerini düşünmek mantıksız değil.

Biyometrinin, güvenli bilgi işlem varlığının yalnızca bir katmanı olacağını varsaymak güvenlidir. Çok faktörlü kimlik doğrulamanın, hizmet sağlayıcı aracılığıyla da daha büyük bir rol oynaması beklenebilir. kullanıcının girmesi için ikinci bir cihaza benzersiz bir ikinci kod veya ikinci cihazın kendisi doğrulama. Kullanıcının eksiksiz cihaz ekosisteminin fiziksel mülkiyeti, rıza haline gelir.

Daha iyi bir yol var mı? Güvenlik adına kolaylıktan çok mu ödün veriyoruz? Yoksa suçlular her zaman bir yolunu mu bulacak?