Biometric Data: Increased Security and Risks

W ostatnich latach obserwujemy eksplozję zastosowań biometrii, w wielu różnych sytuacjach, w których użycie technik identyfikacji biometrycznej jest już możliwe. Użyteczność jest bardzo istotnym czynnikiem. Kolejnym jest prywatność. Istnieje naturalny sprzeciw wobec możliwości tworzenia rozległej, scentralizowanej bazy danych osobowych. Firmy muszą być ostrożne w sposobie wdrażania swoich systemów uwierzytelniania biometrycznego, aby zapobiec naruszeniu prywatności pracowników lub klientów albo niewłaściwemu ujawnieniu poufnych informacji. W końcu, podczas gdy łatwo jest wydać nowe hasło, gdy stare jest zagrożone, niemożliwe jest nadanie komuś nowego wyglądu.

Uwierzytelnianie biometryczne wykorzystuje cechy fizyczne lub behawioralne człowieka do cyfrowej identyfikacji osoby w celu przyznania dostępu do systemów, urządzeń lub danych. Przykładami takich identyfikatorów biometrycznych są odciski palców, rysy twarzy, głos lub sposób pisania na klawiaturze. Każdy z tych identyfikatorów jest uważany za niepowtarzalny dla danej osoby i może być łączony z innymi sposobami uwierzytelniania w celu zapewnienia większej dokładności w identyfikacji użytkowników. Ponieważ biometria może zapewnić rozsądny poziom zaufania do uwierzytelnienia danej osoby, ma ona potencjał, aby radykalnie poprawić bezpieczeństwo. Komputery i urządzenia mogą się automatycznie odblokowywać po wykryciu odcisków palców uprawnionego użytkownika. Drzwi do serwerowni mogą się otwierać, gdy rozpoznają twarz zaufanego administratora systemu. Systemy help desk mogą automatycznie wydobyć wszystkie istotne informacje, gdy rozpoznają głos pracownika na infolinii.

Większość firm klasyfikuje uwierzytelnianie biometryczne jako „skuteczne” lub „bardzo skuteczne” do ochrony danych tożsamości przechowywanych on-premise i twierdzi, że jest ono skuteczne w ochronie danych przechowywanych w chmurze publicznej. Większość firm już używa uwierzytelniania biometrycznego, a reszta planuje jego wdrożenie w najbliższych latach.

Typy biometrii

Identyfikator biometryczny to taki, który jest związany z nieodłącznymi cechami człowieka. Dzielą się one na dwie kategorie: identyfikatory fizyczne i identyfikatory behawioralne. Identyfikatory fizyczne są w przeważającej części niezmienne i niezależne od urządzeń. Wśród nich są:

  1. Odciski palców

Skanery odcisków palców stały się wszechobecne w ostatnich latach dzięki ich powszechnemu zastosowaniu w smartfonach. Każde urządzenie, które może być dotknięte, takie jak ekran telefonu, mysz komputerowa lub touchpad, lub panel drzwi, ma potencjał, aby stać się łatwym i wygodnym skanerem linii papilarnych. Według Spiceworks, skanowanie odcisków palców jest najbardziej powszechnym typem uwierzytelniania biometrycznego.

  1. Foto i wideo

Jeśli urządzenie jest wyposażone w aparat fotograficzny, można go łatwo wykorzystać do uwierzytelniania. Rozpoznawanie twarzy i badanie siatkówki oka to dwa popularne podejścia.

  1. Rozpoznawanie fizjologiczne

Rozpoznawanie twarzy jest trzecim najczęściej stosowanym typem uwierzytelniania. Inne metody uwierzytelniania opartego na obrazie obejmują rozpoznawanie geometrii dłoni, odczytywanie tęczówki lub siatkówki oka, rozpoznawanie żył dłoni i rozpoznawanie ucha.

  1. Głos

Asystenci cyfrowi i portale usługowe oparte na telefonie już teraz wykorzystują rozpoznawanie mowy do identyfikacji użytkowników i uwierzytelniania klientów.

  1. Podpis

Skanery podpisów cyfrowych są już w powszechnym użyciu w punktach sprzedaży detalicznej i bankach i są dobrym rozwiązaniem w sytuacjach, w których użytkownicy i klienci oczekują już podpisywania się swoim nazwiskiem.

  1. DNA

Dzisiaj testy DNA są wykorzystywane głównie w organach ścigania do identyfikacji podejrzanych. W praktyce sekwencjonowanie DNA było zbyt powolne, aby można je było powszechnie stosować. To się zaczyna zmieniać. Istnieje już możliwość wykonania dopasowania DNA w ciągu kilku minut.

Powszechniejsze podejścia

Zidentyfikatory behawioralne są nowszym podejściem i, ogólnie rzecz biorąc, są używane w połączeniu z inną metodą ze względu na ich niską wiarygodność. Jednakże, w miarę poprawy technologii, identyfikatory behawioralne mogą mieć szersze zastosowanie. W przeciwieństwie do identyfikatorów fizycznych, które są ograniczone do pewnego stałego zestawu cech ludzkich, jedynymi ograniczeniami dla identyfikatorów behawioralnych jest ludzka wyobraźnia.

Dzisiaj to podejście jest często używane do rozróżnienia między człowiekiem a robotem. To może pomóc firmie odfiltrować spam lub wykryć próby brute force do logowania i hasła. W miarę doskonalenia technologii, systemy prawdopodobnie poprawią dokładność identyfikacji osób, ale pozostaną mniej skuteczne w rozróżnianiu ludzi i robotów. Oto kilka typowych podejść:

  1. Wzorce pisma

Każdy ma inny styl pisania. Pod uwagę brana jest szybkość pisania, czas potrzebny na przejście od jednej litery do drugiej, stopień uderzenia w klawiaturę.

  1. Ruchy fizyczne

Sposób chodzenia jest unikalny dla danej osoby i może być wykorzystywany do uwierzytelniania pracowników w budynku lub jako dodatkowa warstwa uwierzytelniania w szczególnie wrażliwych lokalizacjach.

  1. Standardy nawigacji

Ruchy myszy i palców na gładzikach lub ekranach dotykowych są unikalne dla poszczególnych osób i stosunkowo łatwe do wykrycia przez oprogramowanie, bez potrzeby stosowania dodatkowego sprzętu.

  1. Patterns of Engagement

Wszyscy wchodzimy w interakcje z technologią na różne sposoby. Sposób, w jaki otwieramy i używamy aplikacji, miejsca i pory dnia, w których najczęściej korzystamy z naszych urządzeń, sposób, w jaki przeglądamy strony internetowe, jak przechylamy nasze telefony, gdy trzymamy je w ręku, a nawet jak często sprawdzamy nasze konta na portalach społecznościowych, to wszystko są potencjalnie unikalne cechy zachowania. Dziś te wzorce zachowań mogą być wykorzystane do odróżnienia ludzi od botów. Mogą one być również wykorzystywane w połączeniu z innymi metodami uwierzytelniania lub, jeśli technologia zostanie wystarczająco ulepszona, jako niezależne środki bezpieczeństwa.

Jak wiarygodne jest uwierzytelnianie biometryczne?

Poświadczenia uwierzytelniające, takie jak skany odcisków palców lub nagrania głosowe, mogą wyciekać z urządzeń, serwerów firmowych lub oprogramowania używanego do ich analizy. Istnieje również duży potencjał fałszywych pozytywów i fałszywych negatywów. System rozpoznawania twarzy może nie rozpoznać użytkownika noszącego makijaż lub okulary, albo kogoś, kto jest chory lub zmęczony. Głosy również się różnią.

Ludzie wyglądają inaczej, gdy się budzą, lub gdy próbują korzystać z telefonu w zatłoczonym środowisku publicznym, lub gdy są źli lub niecierpliwi. Systemy rozpoznawania mogą być oszukiwane za pomocą masek, zdjęć i nagrań głosu, za pomocą kopii odcisków palców lub oszukiwane przez członków rodziny lub zaufanych kolegów, gdy prawowity użytkownik śpi.

Eksperci zalecają, aby firmy korzystały z wielu rodzajów uwierzytelniania jednocześnie i szybko zwiększały ich liczbę, jeśli zauważą oszustwa. Na przykład, jeśli odcisk palca pasuje, ale twarz nie, lub dostęp do konta jest uzyskiwany z nietypowej lokalizacji w nietypowym czasie, może to być czas, aby przełączyć się na zapasową metodę uwierzytelniania lub drugi kanał komunikacji. Jest to szczególnie ważne w przypadku transakcji finansowych lub zmiany hasła.

Jakie są zagrożenia prywatności w uwierzytelnianiu biometrycznym?

Niektórzy użytkownicy mogą nie chcieć, aby firmy zbierały dane o, powiedzmy, porze dnia i miejscach, w których zwykle używają swoich telefonów. Jeśli te informacje wyciekną, mogą być wykorzystane przez stalkerów lub, w przypadku celebrytów, przez dziennikarzy tabloidów. Niektórzy użytkownicy mogą nie chcieć, aby ich członkowie rodziny lub małżonkowie wiedzieli, gdzie są przez cały czas.

Informacje mogą być również nadużywane przez represyjne reżimy rządowe lub przez prokuratorów kryminalnych przesuwających granice. Obce mocarstwa mogą wykorzystywać informacje w próbie wpływania na opinię publiczną. Nieetyczni handlowcy i reklamodawcy mogą robić to samo.

Każda z tych sytuacji może prowadzić do znacznego publicznego zakłopotania dla firmy, która zebrała dane, grzywny regulacyjne lub pozwy zbiorowe. Jeśli skany DNA staną się powszechne, mogą stać się źródłem zupełnie nowego obszaru obaw związanych z prywatnością, w tym ujawnienia warunków medycznych i relacji rodzinnych.

Jak bezpieczne jest uwierzytelnianie biometryczne?

Bezpieczeństwo biometrycznych danych uwierzytelniających ma kluczowe znaczenie, nawet większe niż bezpieczeństwo haseł, ponieważ hasła można łatwo zmienić, jeśli zostaną ujawnione. Natomiast odcisk palca lub skan siatkówki oka jest niezmienny. Ujawnienie tych lub innych informacji biometrycznych może narazić użytkowników na stałe ryzyko i stworzyć znaczące ryzyko prawne dla firmy, która utraci te dane. W przypadku naruszenia, stanowi to ogromne wyzwanie, ponieważ fizyczne dane, takie jak odciski palców, nie mogą być zastąpione. Dane biometryczne w rękach skorumpowanego podmiotu również mają bardzo przerażające, ale realne konsekwencje.

Ostatecznie, każda firma jest odpowiedzialna za swoje własne decyzje dotyczące bezpieczeństwa. Nie ma możliwości outsourcingu zgodności, ale można zmniejszyć koszty zgodności i możliwe reperkusje wycieku poprzez wybór odpowiedniego dostawcy. Ponadto, firmy, które nie utrzymują zarejestrowanych danych uwierzytelniających, mają pewne zabezpieczenia prawne. Na przykład, wielu sprzedawców detalicznych może uniknąć znacznych kosztów przestrzegania przepisów, utrzymując swoje systemy „poza zakresem”. Informacje o płatnościach są szyfrowane bezpośrednio na terminalu płatniczym i przekazywane bezpośrednio do procesora płatniczego. Surowe dane kart płatniczych nigdy nie dotykają serwerów firmy, zmniejszając implikacje związane z przestrzeganiem przepisów i ewentualne zagrożenia bezpieczeństwa.

Jeśli firma musi zbierać informacje uwierzytelniające i przechowywać je na własnych serwerach, należy zastosować najlepsze praktyki bezpieczeństwa. Obejmuje to szyfrowanie danych w stanie spoczynku i danych w tranzycie. Dostępne są nowe technologie szyfrowania runtime, dzięki którym dane pozostają zaszyfrowane nawet w trakcie użytkowania. Szyfrowanie nie jest oczywiście absolutną gwarancją bezpieczeństwa, jeśli aplikacje lub użytkownicy uprawnieni do dostępu do danych zostaną narażeni na szwank. Istnieją jednak pewne sposoby, dzięki którym firmy mogą uniknąć przechowywania zaszyfrowanych danych uwierzytelniania na swoich serwerach.

Uwierzytelnianie lokalne lub oparte na urządzeniach

Najczęstszym przykładem lokalnego mechanizmu uwierzytelniania jest sprzętowy moduł bezpieczeństwa w smartfonie. Informacje o użytkowniku, takie jak skan odcisku palca, obraz twarzy lub wrażenie głosu, są przechowywane wewnątrz modułu. Gdy wymagane jest uwierzytelnienie, informacje biometryczne są zbierane przez czytnik linii papilarnych, kamerę lub mikrofon i przesyłane do modułu, gdzie są porównywane z oryginałem. Moduł informuje telefon, czy nowe informacje są zgodne z tymi, które były już przechowywane. W tym systemie surowe informacje biometryczne nie są nigdy dostępne dla żadnego oprogramowania lub systemu poza modułem, w tym dla systemu operacyjnego telefonu. Obecnie sprzętowe moduły bezpieczeństwa smartfonów są wykorzystywane do zapewniania bezpieczeństwa, a także do uwierzytelniania aplikacji innych firm.

Firmy mogą również korzystać z czytników biometrycznych opartych na smartfonach zawsze, gdy ich użytkownicy lub klienci mają dostęp do smartfonów, bez konieczności gromadzenia i przechowywania informacji o identyfikacji biometrycznej na własnych serwerach. Podobna technologia jest dostępna dla innych typów urządzeń, takich jak karty inteligentne, inteligentne zamki lub skanery linii papilarnych dla komputerów PC. Telefoniczne rozpoznawanie linii papilarnych jest obecnie najbardziej rozpowszechnionym biometrycznym mechanizmem uwierzytelniania. Uwierzytelnianie oparte na smartfonie oferuje znaczące korzyści użytkowe. Po pierwsze, użytkownicy zazwyczaj od razu dowiadują się, że zgubili swój smartfon i natychmiast podejmują kroki, aby go odnaleźć lub wymienić. Jeśli jednak zgubią identyfikator, którego używają tylko po to, aby uzyskać dostęp do budynku w czasie wolnym od pracy, mogą przez pewien czas nie zdawać sobie sprawy, że nie są już w jego posiadaniu. Producenci smartfonów również są w samym środku wyścigu, aby ich technologia była coraz lepsza i łatwiejsza w użyciu. Żaden inny przemysł lub pojedyncza firma nie może się równać ze skalą inwestycji mobilnych lub testów użyteczności i bezpieczeństwa, które telefony otrzymują.

Wreszcie, uwierzytelnianie telefoniczne oferuje użytkownikom maksymalną elastyczność. Mogą oni zdecydować się na telefony z identyfikacją twarzy, skanerami odcisków palców, rozpoznawaniem głosu lub inną nową technologią, która nie została jeszcze wynaleziona, ale która jutro zdominuje rynek. Jednak wykorzystanie mechanizmu strony trzeciej, takiego jak smartfony konsumenckie, sprawia, że proces uwierzytelniania jest poza kontrolą firmy. Innym minusem uwierzytelniania opartego na urządzeniach jest to, że informacje o tożsamości są ograniczone do tego jednego urządzenia. Jeśli ludzie używają odcisku palca do odblokowania swojego smartfona, nie mogą również użyć tego samego odcisku palca do odblokowania drzwi do biura bez osobnej autoryzacji zamka drzwi lub do odblokowania komputera bez osobnej autoryzacji skanera linii papilarnych komputera.

Firmy, które muszą uwierzytelniać użytkowników lub klientów na wielu urządzeniach w wielu lokalizacjach, muszą mieć jakiś rodzaj scentralizowanego mechanizmu do przechowywania danych uwierzytelniających lub korzystania z urządzenia, które użytkownik nosi przy sobie przez cały czas. Na przykład, firmy mogą umieścić mechanizm uwierzytelniania wewnątrz inteligentnej pieczęci, której pracownicy używają w biurze. Mogą również użyć smartfona do uwierzytelnienia pracownika, a następnie przekazać weryfikację tożsamości do innych urządzeń i systemów poprzez Bluetooth, NFC, Wi-Fi lub Internet.

Tokenizacja lub szyfrowanie

Innym podejściem pozwalającym nowym urządzeniom na rozpoznanie autoryzowanych użytkowników jest tokenizacja, jednokierunkowe szyfrowanie lub funkcja hash. Powiedzmy, na przykład, że identyfikacja siatkówki, głosu lub odcisku palca jest używana do rozpoznawania i uwierzytelniania pracowników, gdziekolwiek mogą się udać w ramach firmy, ale firma nie chce mieć obrazów lub plików audio przechowywanych na serwerach, gdzie hakerzy lub złośliwi pracownicy mogą ich nadużywać.

Zamiast tego, firma użyłaby urządzenia, które, powiedzmy, skanuje twarz lub odcisk palca osoby, konwertuje ten obraz na unikalny kod, a następnie wysyła ten kod do centralnego serwera w celu uwierzytelnienia. Każde urządzenie wykorzystujące tę samą metodę konwersji może następnie rozpoznać pracownika, a surowe dane identyfikacyjne nigdy nie będą dostępne w żadnym systemie.

.