Jednym ze smutnych faktów związanych z uwierzytelnianiem mobilnym jest to, że branża początkowo akceptuje najmniej skuteczne opcje bezpieczeństwa. Tak więc telefony początkowo akceptowały uwierzytelnianie oparte na odciskach palców (które może być zagrożone przez recepty, środki czyszczące, urazy dłoni i dziesiątki innych czynników), a później zostały przeniesione do rozpoznawania twarzy.
Teoretycznie rozpoznawanie twarzy ma być dokładniejsze. Z matematycznego punktu widzenia jest to uczciwe, ponieważ bada znacznie więcej punktów danych niż skanowanie odcisku palca. Ale rzeczywistość na prawdziwej planecie jest znacznie bardziej problematyczna. Wymaga dokładnej odległości od telefonu, ale nie oferuje znaczników przed przesunięciem, więc użytkownik wie, kiedy odpowiednio stuka. Jest to jeden z powodów, dla których rozpoznawanie twarzy odrzuca skan w około 2% przypadków, mimo że zatwierdzi pozytywny skan XNUMX sekundy później.
Na początku premiery Apple członkowie rodziny mogli czasami odblokowywać telefony innych osób. Nie ograniczało się to do bliźniąt jednojajowych. Nawet matki i dzieci mogą przejść przez „uwierzytelnianie” rozpoznawania twarzy.
Ale niedawny przypadek w Chinach pokazuje, że problemy Apple z rozpoznawaniem twarzy pozostają poważne. W Chinach mężczyzna podszedł do śpiącej kobiety (jego byłej dziewczyny), otworzył jej powieki, dostał zielone światło do rozpoznawania twarzy i był w stanie wypłacić pieniądze z jej konta czekowego.
Po pierwsze, nie jest to jeden z najlepszych sposobów na powrót do byłego. Jednak z punktu widzenia cyberbezpieczeństwa potwierdza to fakt, że urządzenia mobilne wymagają znacznie silniejszych metod uwierzytelniania.
Najlepszym sposobem byłoby użycie słabszych metod, takich jak słabsze hasła, kody PIN i dane biometryczne, aby łatwo uzyskać dostęp do kont o niskim priorytecie, takich jak odblokowanie telefonu w celu sprawdzenia prognozy pogody. Jednak dostęp do bankowości/pieniędzy, połączenia z sieciami społecznościowymi i wszelkie połączenia z systemami firmy powinny wymagać analizy behawioralnej.
Sama natura analizy zachowania utrudnia złodziejowi podszywanie się pod inną osobę. Osobie nieprzytomnej można przytrzymać palec lub odciągnąć powiekę, zakładając, że złodziej ma fizyczny dostęp do użytkownika i telefonu. Niestety kody PIN można łatwo ukraść podczas przeglądania przez ramię, zwłaszcza w przypadku osób z rozległym fizycznym dostępem.
Ale kiedy naśladując, ile literówek robi ten użytkownik na każde sto słów? A może Twoja dokładna prędkość pisania? Lub kąt, pod jakim zwykle trzymają telefon? Są szyte na miarę i dość trudne do podrobienia. Tak, niektóre czynniki analizy behawioralnej można łatwo sfałszować, w tym adres IP użytkownika, lokalizację i odcisk palca telefonu. Dlatego implementacja analizy behawioralnej powinna wykorzystywać jak najwięcej czynników, mieszając czynniki łatwe do sfałszowania z czynnikami dość trudnymi do sfałszowania.
Jedną z najlepszych cech analizy behawioralnej jest to, że działa ona ukradkiem w tle, co oznacza, że jest tak płynna (dla użytkownika), jak powinna. Oferuje to, co najlepsze z obu światów: jest to znacznie bardziej rygorystyczna i niezawodna procedura uwierzytelniania, ale łatwiejsza dla użytkowników niż hasło lub dane biometryczne.
W przypadku komputerów ta płynna natura sprawia, że użytkownicy są bardziej wyrozumiali. Co więcej, ta natura „w tle” jeszcze bardziej utrudnia złodziejowi/intruzowi, ponieważ atakujący nie może być pewien, co system sprawdza w danym momencie.
Dlatego CIO i CISO nie powinni polegać na danych biometrycznych. Skanowanie może udaremnić nawet najbardziej brutalne i wojownicze metody ataku, takie jak przyłożenie pistoletu do głowy użytkownika i nakazanie mu dostępu do firmowych plików. Jeśli strach i nerwowość związane z takim atakiem zwiększają błędy w pisaniu i spowalniają szybkość pisania, może to wystarczyć do skontaktowania się z przełożonym. Jeśli ten przełożony zwołuje sesję wideo, aby upewnić się, że wszystko jest w porządku, atakujący może odejść. (Jest to szczególnie prawdziwe, jeśli atakujący podejrzewa, że przełożony wysłał już policję i wykorzystuje pytania z sesji wideo, aby zaoszczędzić czas).
Powodem, dla którego jest to tak ważna kwestia w XNUMX r., jest to, że nieustanny wzrost mobilnego dostępu do najbardziej wrażliwych korporacyjnych baz danych (w tym korporacyjnych kont w chmurze) prawdopodobnie będzie nadal się rozwijał. Jesteśmy teraz w punkcie, w którym dział IT nie może już zaakceptować faktu, że ochrona punktów końcowych jest wystarczająca. Nawet gdyby dział IT dał każdemu pracownikowi z odpowiednimi uprawnieniami laptopy, żadna firma nie zniechęciłaby do mobilnego dostępu. Chociaż przejażdżki powoli powracają w tym roku w niektórych segmentach, wady Road Warrior powrócą. Teraz jednak napastnicy, zwłaszcza ci, którzy mają interes w swoich systemach, będą coraz bardziej koncentrować się na tych interfejsach mobilnych.
Obecnie najpopularniejszym i najczęściej zgłaszanym hasłem dotyczącym cyberbezpieczeństwa jest Zero Trust. Każde znaczące wdrożenie Zero Trust musi rozpocząć się od znacznie silniejszego podejścia do uwierzytelniania, a także dokładnego przeglądu zarządzania dostępem / kontroli uprawnień. W przypadku urządzeń mobilnych uwierzytelnianie musi być najwyższym priorytetem. Ścieżką najmniejszego oporu jest po prostu wdrożenie zintegrowanego uwierzytelniania na urządzeniu mobilnym. Może działać tak długo, jak biometria jest tylko jednym z dwunastu badanych czynników.
Jeśli nadal nie dowierzasz, musisz poznać byłego chłopaka z Chin.
Prawa autorskie © dwa tysiące dwadzieścia dwa IDG Communications, Inc.