Зміст
- Що таке пасивна біометрія?
- Як працює пасивна біометрика
- Чому це важливо?
- Як пасивна біометрика допомагає безпеці даних
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- Який її вплив на проблеми безпеки в реальному світі?
- Чи корисні традиційні методи взагалі?
- Яке майбутнє?
- Висновок
Джерело: Dwnld777 / Dreamstime
Винос:
Пасивна біометрика прокладає шлях до захисту без паролів, яка може зірвати хакерів.
У той час, коли звичайні заходи безпеки даних обмежуються обмеженнями, такими як занадто велика залежність від розсуду та прийняття користувача, пасивна біометрика потенційно може забезпечити баланс безпеки та прийняття користувачем. Звичайні механізми захисту, такі як паролі та SMS-коди, настільки ж сильні, як і користувач. Було встановлено, що багато користувачів схильні встановлювати слабкі паролі, оскільки їх легко запам'ятати. Це перемагає головне призначення механізмів на основі пароля чи безпеки. Пасивна біометрика не вимагає від користувача активного надання облікових даних, пасивного збору даних користувачів у таких формах, як методи розпізнавання обличчя, голосу та райдужки. Хоча пасивна біометрика як механізм захисту ІТ все ще знаходить свою нішу, можна з упевненістю сказати, що вона пропонує хороший баланс зручності користувачів та безпеки даних.
Що таке пасивна біометрія?
Щоб визначити біометрику, директор з маркетингу біометричної фірми EyeVerify, Тінна Хун пояснює: "Біометрика покладається на те, що ти є, а не на те, що ти знаєш".
Що стосується пасивної біометрики, не потрібно брати активну участь у процесі верифікації чи ідентифікації, а іноді процес навіть не вимагає повідомлення користувача; автентифікація просто відбувається під час звичайної діяльності користувача. У цих випадках суб'єкту не потрібно діяти безпосередньо або фізично. Коли система працює навіть без відома користувача, вона забезпечує найвищий рівень аутентифікації.
Технологічно автоматизована система в основному вимірює поведінкові або фізіологічні особливості людини, з відомами користувачів або без них. Для кращого уявлення про те, що тягне за собою пасивна біометрика, ми можемо переглянути кілька порівняльних прикладів цієї системи на відміну від активних біометричних систем. Наприклад, будь-яка технологія геометрії пальця або руки вважатиметься активною біометрикою, а також розпізнаванням підписів та скануванням сітківки. Це пов’язано з тим, що для розпізнавання користувач повинен прикласти руку або заглянути до скануючого пристрою. Однак пасивна біометрія включає системи розпізнавання голосу, обличчя чи райдужки. (Щоб дізнатися більше про біометрику, див. Нові досягнення біометрики: більш безпечний пароль.)
Як працює пасивна біометрика
Відмінне пояснення того, як працює пасивна біометрика, дає Райан Вілк, директор успіху клієнтів NuData. З його слів, "Ми дивимося на те, як реально взаємодіє користувач: як вони друкують, як переміщують мишу чи телефон, де користуються своїм телефоном, читання їх акселерометра. … Оскільки окремі дані вказують на себе, вони не дуже корисні, але коли ти починаєш об'єднувати їх і об’єднувати їх у профіль того, хто цей користувач, ти починаєш створювати щось справді глибоке і справді унікальне, і щось таке надзвичайно важко підробляти ».
Пасивна біометрика дає можливість організаціям перевірити особу своїх клієнтів залежно від їх природної поведінки в технологічній взаємодії. Постійний процес цього ненав'язливого рішення залишається невидимим для користувачів, оскільки він не потребує жодної реєстрації чи дозволу на роботу у фоновому режимі; він не просить клієнтів виконувати будь-які додаткові дії під час звичайних операцій. Аналіз поведінкових даних у реальному часі дає точні оцінки компаніям для відокремлення зловмисників від справжніх клієнтів.Оскільки особиста інформація (PII) не записується, хакери ніколи не отримують конфіденційних даних, щоб перешкоджати ідентифікації користувачів. Пасивна біометрія - це революційний прогрес у процесі перевірки ідентичності, який має можливість викреслити будь-який шанс шахрайства з ядра системи автентифікації організації та може додати новий рівень впевненості у всьому життєвому циклі облікового запису.
Чому це важливо?
Технологія завжди народжує нові системи та бар'єри безпеки, щоб захистити всю мережу від шкідливих дій. Але чи може завадити блискучим хакерам та шахраям назавжди знайти лазівки в системі? Ні. Однак, коли вони не матимуть ніяких знань про процес, який триває, як вони зможуть пройти перевірочний тест? Якщо вони не знають про фонову систему, вони вперше не вживатимуть запобіжних заходів. Тут пасивна біометрика відрізняється від інших методів верифікації. І тому тут важлива важливість. Жодне шахрайство не може мати місце, коли причина використання шахрайства виникла на початку.
Як пасивна біометрика допомагає безпеці даних
Потреба в більш досконалих і задовільних системах безпеки вже давно зростає в повітрі. Зараз попит перешкоджає мережам безпеки до біометричних даних, особливо до пасивної технології, де користувачам не потрібно інформувати про процес ідентифікації залежно від поведінкових особливостей. (Докладніше про дані, які використовуються в пасивній біометриці, див. У розділі Як великі дані можуть захистити автентифікацію користувача.)
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
Ханг пояснив: "Добре втілене біометричне рішення природним чином впишеться у звичайний потік поведінки користувачів". Пасивна біометрія має ключову перевагу у створенні профілю того, як людина користується машиною, а не лише у профілі самої машини. . Як пояснює Вілк, пасивний підхід відкриває книгу для розуміння користувача на «майже підсвідомому рівні».
Інший пасивний підхід, створений компанією BioCatch, працює за допомогою запису та аналізу діяльності користувачів, які вони навіть не розуміють, що роблять. Фізичні ознаки, такі як вимірювання пальцем на сенсорному екрані, активна рука (ліворуч або праворуч) за допомогою миші або частота тремтіння руки користувача, що тримає пристрій, забезпечують точне поєднання даних для гострої ідентифікації унікального клієнта. Крім того, такі когнітивні риси, як метод чиєїсь поведінки прокрутки в Інтернеті (клавіші зі стрілками, колесо миші, сторінки вгору та вниз тощо) або техніка тримання пристрою (горизонтальне або вертикальне, кут нахилу пристрою тощо) також допомагають посилити автентифікацію системи.
За словами Орена Кедема, віце-президента з управління продуктами в BioCatch, вони також використовують «невидимі виклики» для користувачів, де ця операція демонструє ледь помітну зміну нормальної поведінки користувача. Наприклад, програма може змінити кілька пікселів курсору в інший бік або трохи змінити швидкість прокрутки сторінки, щоб перевірити унікальну відповідь користувачів. Їх відповіді на ці інциденти неймовірно унікальні, що неможливо повторити.
Як каже Кедем: "Ми не просто відстежуємо, що ви робите, ми також впливаємо на те, що ви робите. ... Ми задаємо вам запитання, не запитуючи вас, а ви даєте нам відповідь, яку ви знаєте. Це секрет, який не можна вкрасти, як пароль або маркер. "
Система запрограмована таким чином, щоб автоматично виявляти та запобігати блокування ботнетів, що записують і відтворюють рухи цілі. Це тому, що імітація відповіді користувача є неможливою у випадку невидимих проблем, які постійно змінюються в додатку.
Який її вплив на проблеми безпеки в реальному світі?
Фінансові та банківські послуги в усьому світі почали покладатися на цю нову систему. Біометричні постачальники безпеки, такі як EyeVerify та Daon, співпрацюють з фінансовими організаціями. EyeVerify співпрацює з Digital Insight для аутентифікації біометричних систем безпеки в мобільних банківських установах, і вони збираються запустити свій Eye ID як мобільний додаток.
У 2014 році біометрична технологія, впроваджена Daon, забезпечила 10,7 мільйонів користувачів Федерального ощадного банку США в процесі безперервного мобільного банківського досвіду. У цьому випадку провідний радник з питань безпеки США Річард Дейві прокоментував: "Занепокоєння, що виникають із постійно існуючої загрози фішингу, зловмисного програмного забезпечення та інформації щодо зовнішніх порушень, означають, що аутентифікація та контроль доступу завжди будуть загрожувати. Такі технології, як біометрика, пом'якшують ці загрози, полегшуючи приємне враження кінцевих споживачів ».
Пасивна голосова біометрична перевірка ідентичності фіксує реєстрацію користувача, подаючи унікальний голос через розмову під час первинної реєстрації. Цю початкову розмову потрібно продовжувати протягом 45 секунд, щоб використовувати розпізнавані дані. Потім записаний голос ідентифікує користувача, порівнюючи наступний голос, отриманий у наступній розмові, яку вони роблять, до контактного центру.
Цей банк впровадив нову технологію безпеки для своїх співробітників, після чого на їхньому ринку в Сан-Антоніо, штат Техас, а потім Каліфорнії, і врешті-решт вони розпочали її в повному масштабі в січні 2015 року. Через три тижні після впровадження близько 100 000 клієнтів зареєструвались на біометричну автентифікацію, а протягом десяти місяців кількість клієнтів, що відгукнулися, зросла до понад мільйона.
Чи корисні традиційні методи взагалі?
90-денний аналіз опитувань, проведений Nudata Security у 2015 році, показав зростання на 112% веб-атак, щоб отримати паролі та імена користувачів, порівняно з 2014 р. Що є причиною того, що хакери набирають успіх у порівнянні з традиційними системами безпеки? Давайте подумаємо про це трохи ретельніше.
Все, що ми робимо, - це компрометувати силу наших паролів, щоб легко запам'ятати їх. Так, тут криється винуватець. Був час, коли одна людина керувала лише двома-трьома обліковими записами в Інтернеті, і критичні паролі для невеликої кількості справ було не надто важко. Тож процес мав відношення до того, щоб захистити особистість особи на той час.
Але зараз картина суттєво змінилася. У всіх нас багато рахунків, так багато, що іноді ми навіть не можемо відстежувати їх усіх. Тепер, чи можна запам'ятати пароль, що складається з випадкових чисел, символів та літер для кожного облікового запису? Точно ні. Тож, що ми робимо, - це компрометувати заходи безпеки, зберігаючи зразок для всіх наших паролів з деякою відомою інформацією, або ми постійно забуваємо про випадкові вибори надійних паролів і потім мусимо їх постійно відновлювати.
Тепер непрямий спосіб збереження ідентичності людини - це рішення як для задоволення користувачів, так і для безпеки, оскільки нам не потрібно робити жодного вибору, щоб зберегти нашу систему і запам'ятати її. У хакерів також виникають проблеми з навчанням того, як визначити, де застосовується система безпеки. Тому їхні попередні способи отримання доступу до інших облікових записів вже не спрацьовують.
Яке майбутнє?
За словами Гріссена та Хунга, біометричні системи не залишаться на факультативному етапі, але будуть царювати над усією мережею систем безпеки з питань "безпека проти зручності" найближчим часом.
Технологія стає все точнішою і її стає простіше встановлювати в домашніх мережах і мобільних додатках. Нові алгоритми працюють над впровадженням додаткової телеметрії для розширення профілів поведінки, таких як орієнтація пристрою на широкий спектр пристроїв.
Консолідація між сегментами ринку SIEM (інформація про безпеку та управління подіями) та UEBA (аналітика поведінки користувачів та суб'єктів господарювання) - це майбутнє для зростання у всіх аспектах бізнесу, як ми бачимо у випадку з постачальниками SIEM, придбання Splunk Каспіда. Вони планують подальші напрямки, щоб забезпечити більш ефективний досвід для своїх клієнтів у їх впровадженні SIEM, додавши до цього довгу історію існуючих даних. Різні форми аналізу поведінки виявляються обов'язковим доповненням для пом’якшення проблеми безпеки та перемоги в довготривалій холодній війні проти шахраїв.
Висновок
Зрештою, можна сказати, що майбутнє приносить чимало важких часів шахраям, оскільки вони будуть зруйновані комбінованою атакою перевірки знань та поведінкового аналізу в процедурах безпеки. У 2016 році заступник міністра фінансів Сара Блум Раскін заявила: «Дизайн системи розвивається для вирішення проблеми аутентифікації, що подається викраденими або легко скомпрометованими паролями: наступне покоління перевірки ідентичності в Інтернеті намагається поєднувати те, що клієнти знають і мають, і що вони роблять. або поведінкові біометричні показники. "