Date biometrice: Securitate și riscuri sporite

În ultimii ani, am asistat la o explozie a utilizării datelor biometrice, într-o mare varietate de situații în care utilizarea tehnicilor de identificare biometrică este deja posibilă. Utilizabilitatea este un factor foarte relevant. Un alt factor este confidențialitatea. Există o opoziție naturală față de posibilitatea creării unei baze de date personale centralizate și extinse. Companiile trebuie să fie atente la modul în care își implementează sistemele de autentificare biometrică pentru a preveni încălcarea intimității angajaților sau a clienților sau expunerea necorespunzătoare a informațiilor confidențiale. La urma urmei, în timp ce este ușor să emiți o nouă parolă atunci când cea veche este compromisă, este imposibil să dai cuiva o nouă înfățișare.

Autentificarea biometrică utilizează caracteristicile fizice sau comportamentale umane pentru a identifica digital o persoană în vederea acordării accesului la sisteme, dispozitive sau date. Exemple de astfel de identificatori biometrici sunt amprentele digitale, modelele faciale, vocea sau cadența de tastare. Fiecare dintre acești identificatori este considerat unic pentru o persoană și poate fi combinat cu alte mijloace de autentificare pentru a asigura o mai mare precizie în identificarea utilizatorilor. Deoarece biometria poate oferi un nivel rezonabil de încredere în autentificarea unei persoane, aceasta are potențialul de a îmbunătăți în mod semnificativ securitatea. Calculatoarele și dispozitivele se pot debloca automat atunci când detectează amprentele digitale ale unui utilizator autorizat. Ușile de la camera serverelor se pot deschide atunci când recunosc fața unor administratori de sistem de încredere. Sistemele de asistență tehnică pot extrage automat toate informațiile relevante atunci când recunosc vocea unui angajat pe linia de asistență telefonică.

Majoritatea companiilor clasifică autentificarea biometrică ca fiind „eficientă” sau „foarte eficientă” pentru a proteja datele de identitate stocate la fața locului și susțin că este eficientă în protejarea datelor stocate într-un cloud public. Cele mai multe companii folosesc deja autentificarea biometrică, iar restul intenționează să o implementeze în anii următori.

Tipuri de biometrie

Un identificator biometric este cel care este legat de caracteristicile umane intrinseci. Acestea se împart în 2 categorii: identificatori fizici și identificatori comportamentali. Identificatorii fizici sunt, în cea mai mare parte, imuabili și independenți de dispozitive. Printre acestea se numără:

  1. Aprentele digitale

Scannerele de amprente digitale au devenit omniprezente în ultimii ani datorită implementării lor pe scară largă pe smartphone-uri. Orice dispozitiv care poate fi atins, cum ar fi ecranul unui telefon, mouse-ul sau touchpad-ul unui computer, sau panoul unei uși, are potențialul de a deveni un scaner de amprente ușor și convenabil. Potrivit Spiceworks, scanarea amprentelor este cel mai comun tip de autentificare biometrică.

  1. Foto și video

Dacă un dispozitiv este echipat cu o cameră foto, aceasta poate fi folosită cu ușurință pentru autentificare. Recunoașterea facială și examinările retinei sunt două abordări comune.

  1. Recunoașterea fiziologică

Recunoașterea facială este al treilea cel mai frecvent tip de autentificare. Alte metode de autentificare bazate pe imagini includ recunoașterea geometriei mâinii, citirea irisului sau a retinei, recunoașterea venelor palmei și recunoașterea urechilor.

  1. Vocea

Asistenții digitali pe bază de voce și portalurile de servicii bazate pe telefon folosesc deja recunoașterea vocală pentru a identifica utilizatorii și a autentifica clienții.

  1. Subscriere

Scannerele de semnătură digitală sunt deja utilizate în general la punctele de vânzare cu amănuntul și la bănci și reprezintă o opțiune bună pentru situațiile în care utilizatorii și clienții se așteaptă deja să semneze cu numele lor.

  1. ADN

În prezent, testele ADN sunt utilizate în principal în cadrul aplicării legii pentru identificarea suspecților. În practică, secvențierea ADN a fost prea lentă pentru o utilizare pe scară largă. Acest lucru începe să se schimbe. Există deja posibilitatea de a face o potrivire ADN în câteva minute.

Abordări mai comune

Identificatorii comportamentali sunt o abordare mai recentă și, în general, sunt utilizați împreună cu o altă metodă din cauza fiabilității lor scăzute. Cu toate acestea, pe măsură ce tehnologia se îmbunătățește, este posibil ca utilizarea acestor identificatori comportamentali să se extindă. Spre deosebire de identificatorii fizici, care sunt limitați la un anumit set fix de caracteristici umane, singurele limite ale identificatorilor comportamentali sunt reprezentate de imaginația umană.

Astăzi, această abordare este adesea utilizată pentru a face distincția între un om și un robot. Acest lucru poate ajuta o companie să filtreze spam-ul sau să detecteze încercările de forțare brută pentru autentificare și parolă. Pe măsură ce tehnologia se îmbunătățește, este probabil ca sistemele să îmbunătățească identificarea precisă a indivizilor, dar rămân mai puțin eficiente în a distinge între oameni și roboți. Iată câteva abordări comune:

  1. Planuri de dactilografiere

Toată lumea are un stil de dactilografiere diferit. Viteza cu care tastăm, timpul necesar pentru a trece de la o literă la alta, gradul de impact asupra tastaturii, toate acestea sunt luate în considerare.

  1. Mișcările fizice

Modul în care cineva merge este unic pentru un individ și poate fi folosit pentru a autentifica angajații dintr-o clădire sau ca un strat secundar de autentificare pentru locații deosebit de sensibile.

  1. Standardele de navigare

Mișcările mouse-ului și ale degetelor pe trackpad-uri sau ecrane tactile sunt unice pentru indivizi și relativ ușor de detectat cu ajutorul software-ului, fără a fi nevoie de hardware suplimentar.

  1. Patronii de implicare

Toți interacționăm cu tehnologia în moduri diferite. Modul în care deschidem și utilizăm aplicațiile, locațiile și momentele din zi în care este cel mai probabil să ne folosim dispozitivele, modul în care navigăm pe site-uri web, modul în care ne înclinăm telefoanele atunci când le ținem în mână sau chiar frecvența cu care ne verificăm conturile de pe rețelele de socializare sunt toate caracteristici comportamentale potențial unice. Astăzi, aceste modele de comportament pot fi folosite pentru a distinge oamenii de roboți. Și pot fi, de asemenea, utilizate în combinație cu alte metode de autentificare sau, dacă tehnologia se îmbunătățește suficient, ca măsuri de securitate independente.

Cât de fiabilă este autentificarea biometrică?

Credientele de autentificare, cum ar fi scanările amprentelor digitale sau înregistrările vocale, se pot scurge de pe dispozitive, de pe serverele companiilor sau de pe software-ul utilizat pentru a le analiza. Există, de asemenea, un potențial ridicat de rezultate fals pozitive și fals negative. Este posibil ca un sistem de recunoaștere facială să nu recunoască un utilizator care poartă machiaj sau ochelari, sau o persoană care este bolnavă sau obosită. De asemenea, vocile variază.

Oamenii arată diferit atunci când se trezesc, sau când încearcă să folosească telefonul într-un mediu public aglomerat, sau când sunt furioși sau nerăbdători. Sistemele de recunoaștere pot fi păcălite cu măști, fotografii și înregistrări vocale, cu copii ale amprentelor digitale sau păcălite de membri ai familiei sau de colegi de încredere atunci când utilizatorul legitim doarme.

Experții recomandă companiilor să folosească mai multe tipuri de autentificare simultan și să crească rapid dacă observă escrocherii. De exemplu, dacă amprenta digitală se potrivește, dar fața nu, sau dacă contul este accesat dintr-o locație neobișnuită la o oră neobișnuită, poate fi momentul să se treacă la o metodă de autentificare de rezervă sau la un al doilea canal de comunicare. Acest lucru este deosebit de important în cazul tranzacțiilor financiare sau al schimbării parolei.

Care sunt riscurile legate de confidențialitate în autentificarea biometrică?

Este posibil ca unii utilizatori să nu dorească ca societățile să colecteze date despre, de exemplu, ora din zi și locurile în care își folosesc în mod normal telefoanele. Dacă aceste informații se scurg, ar putea fi folosite de urmăritori sau, în cazul celebrităților, de jurnaliștii tabloidelor. Este posibil ca unii utilizatori să nu dorească ca membrii familiei sau soții lor să știe în permanență unde se află.

Informațiile pot fi, de asemenea, folosite în mod abuziv de către regimurile guvernamentale represive sau de către procurorii criminaliști care depășesc limitele. Puterile străine pot folosi informațiile în încercarea de a influența opinia publică. Comercianții și agenții de publicitate lipsiți de etică pot face același lucru.

Care dintre aceste situații ar putea duce la o jenă publică semnificativă pentru compania care a colectat datele, la amenzi de reglementare sau la procese colective. În cazul în care scanările ADN se generalizează, acestea ar putea da naștere unui domeniu complet nou de preocupări legate de confidențialitate, inclusiv expunerea condițiilor medicale și a relațiilor de familie.

Cât de sigură este autentificarea biometrică?

Securitatea datelor de autentificare biometrică este de o importanță vitală, chiar mai mult decât securitatea parolelor, deoarece parolele pot fi schimbate cu ușurință dacă sunt expuse. Cu toate acestea, o amprentă digitală sau o scanare a retinei este imuabilă. Divulgarea acestor informații biometrice sau a altor informații biometrice poate expune utilizatorii la un risc permanent și poate crea o expunere juridică semnificativă pentru compania care pierde datele. În cazul unei încălcări, se creează o provocare enormă, deoarece atribuțiile fizice, cum ar fi amprentele digitale, nu pot fi înlocuite. Datele biometrice aflate în mâinile unei entități corupte au, de asemenea, implicații foarte înspăimântătoare, dar reale.

În cele din urmă, fiecare companie este responsabilă pentru propriile decizii de securitate. Nu este posibil să externalizeze conformitatea, dar poate reduce costurile de conformitate și posibilele repercusiuni ale unei scurgeri de informații prin alegerea furnizorului potrivit. În plus, companiile care nu mențin acreditările înregistrate dispun de anumite protecții legale. De exemplu, mulți comercianți cu amănuntul pot evita costuri substanțiale de conformitate dacă își mențin sistemele „în afara domeniului de aplicare”. Informațiile de plată sunt criptate direct la terminalul de plată și trec direct la un procesator de plăți. Datele brute ale cardului de plată nu ating niciodată serverele companiei, reducând implicațiile de conformitate și posibilele riscuri de securitate.

Dacă o companie trebuie să colecteze informații de autentificare și să le păstreze pe propriile servere, trebuie aplicate cele mai bune practici de securitate. Acest lucru include criptarea datelor în repaus și a datelor în tranzit. Sunt disponibile noi tehnologii pentru criptarea în timp de execuție, care păstrează datele criptate chiar și în timpul utilizării. Criptarea nu este o garanție absolută de securitate, desigur, dacă aplicațiile sau utilizatorii autorizați să acceseze datele sunt compromiși. Cu toate acestea, există câteva modalități prin care companiile pot evita păstrarea datelor de autentificare criptate pe serverele lor.

Autentificare locală sau bazată pe dispozitiv

Cel mai comun exemplu de mecanism de autentificare locală este modulul de securitate hardware de pe un smartphone. Informațiile utilizatorului, cum ar fi o scanare a amprentei digitale, o imagine facială sau o amprentă vocală, sunt stocate în interiorul modulului. Atunci când este necesară autentificarea, informațiile biometrice sunt colectate de cititorul de amprente, de camera foto sau de microfon și sunt trimise la modul, unde sunt comparate cu originalul. Modulul îi spune telefonului dacă noile informații corespund sau nu cu cele pe care le avea deja stocate. Cu acest sistem, informațiile biometrice brute nu sunt niciodată accesibile niciunui software sau sistem din afara modulului, inclusiv propriului sistem de operare al telefonului. În prezent, modulele de securitate hardware pentru smartphone-uri sunt utilizate pentru a asigura securitatea, precum și pentru a autentifica aplicații terțe.

Companii pot utiliza, de asemenea, cititoare biometrice bazate pe smartphone-uri ori de câte ori utilizatorii sau clienții lor au acces la smartphone-uri, fără a fi nevoiți să colecteze și să stocheze vreodată informații de identificare biometrică pe propriile servere. O tehnologie similară este disponibilă pentru alte tipuri de dispozitive, cum ar fi cardurile inteligente, încuietorile inteligente sau scanerele de amprente pentru PC-uri. Recunoașterea amprentelor digitale pe bază de telefon este cel mai răspândit mecanism de autentificare biometrică din prezent. Autentificarea bazată pe smartphone-uri oferă beneficii semnificative în materie de utilizare. În primul rând, utilizatorii tind să afle imediat dacă și-au pierdut smartphone-ul, luând măsuri imediate pentru a-l localiza sau înlocui. Cu toate acestea, dacă pierd o insignă pe care o folosesc doar pentru a avea acces la o clădire în afara orelor de program, s-ar putea să nu-și dea seama pentru o vreme că nu mai este în posesia lor. Producătorii de smartphone-uri se află, de asemenea, în mijlocul unei curse pentru a face tehnologia lor mai bună și mai ușor de utilizat. Nici o altă industrie sau companie individuală nu poate egala amploarea investițiilor în telefonia mobilă sau testele de utilizare și securitate pe care le primesc telefoanele.

În cele din urmă, autentificarea prin telefon oferă utilizatorilor o flexibilitate maximă. Aceștia pot opta pentru telefoane cu identificare facială, scanere de amprente sau recunoaștere vocală, sau o altă tehnologie nouă care nu a fost încă inventată, dar care va domina piața mâine. Cu toate acestea, utilizarea unui mecanism terț, cum ar fi smartphone-urile de consum, pune procesul de autentificare în afara controlului companiei. Un alt dezavantaj al autentificării bazate pe dispozitive, în general, este că informațiile privind identitatea sunt limitate la acel singur dispozitiv. Dacă oamenii folosesc o amprentă pentru a-și debloca smartphone-ul, ei nu pot folosi aceeași amprentă și pentru a debloca ușa biroului fără a autoriza separat încuietoarea ușii sau pentru a debloca computerul fără a autoriza separat scanerul de amprente al computerului.

Compania care trebuie să autentifice utilizatorii sau clienții de pe mai multe dispozitive în mai multe locații trebuie să aibă un fel de mecanism centralizat pentru a stoca acreditările de autentificare sau să profite de un dispozitiv pe care utilizatorul îl poartă cu el în permanență. De exemplu, companiile pot plasa mecanismul de autentificare în interiorul unui sigiliu inteligent pe care angajații îl folosesc la birou. De asemenea, ele pot folosi un smartphone pentru a autentifica angajatul și apoi pot comunica verificarea identității către alte dispozitive și sisteme prin Bluetooth, NFC, Wi-Fi sau internet.

Tokenizare sau criptare

O altă abordare pentru a permite noilor dispozitive să recunoască utilizatorii autorizați este tokenizarea, criptarea unidirecțională sau funcția hash. Să presupunem, de exemplu, că identificarea retinei, a vocii sau a amprentelor digitale este folosită pentru a recunoaște și autentifica angajații oriunde pot merge în cadrul unei companii, dar compania nu dorește ca imaginile sau fișierele audio să fie stocate pe servere unde hackerii sau angajații rău intenționați le pot folosi în mod abuziv.

În schimb, compania ar folosi un dispozitiv care, să zicem, scanează fața sau amprenta digitală a unei persoane, convertește acea imagine într-un cod unic și apoi trimite acel cod către serverul central pentru autentificare. Orice dispozitiv care utilizează aceeași metodă de conversie poate apoi să recunoască angajatul, iar datele brute de identificare nu vor fi niciodată disponibile în niciun sistem.

.