Чому біометрична аутентифікація не є панацеєю безпеки?

Управління паролями часом дратує як приватних осіб, так і підприємства. Більш ніж половина респондентів, які взяли участь в нещодавньому опитуванні, зізналися в повторному використанні паролів в особистих та робочих облікових записах, а останнє дослідження компанії Verizon Data Breach показало, що близько 80% зломів даних можна віднести до викрадених або слабких паролів.

Організації, розчаровані боротьбою за те, щоб змусити співробітників змінити правила гігієни паролів, прагнуть до утопічного «майбутнього без пароля». Одна з найпопулярніших альтернатив паролів — це біометричні дані, такі як розпізнавання відбитків пальців, сканування райдужної оболонки очей та технологія розпізнавання облич. Біометрична аутентифікація використовується для розблокування всього: від мобільних телефонів до банківських сховищ, та світовий ринок цієї технології швидко зростає — очікується, що до 2025 року перевищить $59 мільярдів.

Шкода, що це не робить користувачів повною мірою захищеними. Перша явна тріщина в біометричній броні з'явилася зовсім нещодавно. Було виявлено, що охоронна фірма Suprema, яка обслуговує правоохоронні органи, банки та підрядників по всьому світу, зберігає дані відбитків пальців та розпізнавання облич на суму 23 гігабайти у незашифрованій та незахищеній базі даних.

Тому, настав час прояснити деякі фундаментальні непорозуміння про те, як працюють системи біометричної аутентифікації та на що здатні.

Біометрична аутентифікація не «без пароля»

Найбільша плутанина полягає в тому, що більшість людей вважають, що біометрична аутентифікація за своєю природою безпечна та набагато «краща», ніж пароль, але останній вважається її складовою.

Коли кінцевий користувач торкається біометричного зчитувача або сканує райдужну оболонку очей, біометричний ідентифікатор виконує запит «істина-брехня», щоб визначити, чи дозволений доступ для даної особистості. Звідти біометричний ідентифікатор витягує будь-який пароль, щобуло збережено кінцевим користувачем для цієї системи, та відправляє його на зазначений сайт або додаток. Пароль все ще використовується, кінцевий користувач просто цього не бачить.

Біометрична аутентифікація зручна для кінцевих користувачів, але вона не «більш безпечна», ніж введення пароля, та це безумовно не те ж саме, що шифрування. Біометрична аутентифікація не робить нічого для захисту паролів користувачів, але допомагає їм створювати надійні комбінації або перешкоджає тому, щоб сторонній входив у свій обліковий запис з вкраденим кодом або біометричними даними.

Але що можуть зробити компанії та люди, якщо їх біометричні дані викрадені? Сувора правда в тому, що нічого не поробиш. Ми можемо видалити та змінити наші паролі, якщо вони будуть вкрадені, але не можемо виконати аналогічне з відбитками пальців або обличчям. Сьогодні немає вирішення цієї проблеми, тому немає технологій, які використовують біометрію як єдиного або основного методу аутентифікації.

Управління паролями та багатофакторна аутентифікація

Замість того, щоб дивитися в бік біометричного контролю доступу або майбутньої чарівної технології, яка позбавить від рутинної роботи з паролями, організаціям та споживачам слід використовувати програмне забезпечення для управління паролями — для створення та зберігання надійних унікальних комбінацій в кожний обліковий запис. Вони також повинні захищати ці облікові записи за допомогою багатофакторної аутентифікації (MFA). В ідеальному вирішенні MFA, в якості першого чинника аутентифікації використовується унікальний надійний пароль, а в якості вторинного фактора — пристрій або програмний додаток з тимчасовим одноразовим паролем (TOTP). У цій системі біометрична аутентифікація не вважається проблемою, оскільки біометричні дані вимагають надійного пароля.

Не всі форми MFA однаково сильні. Серед фахівців з систем безпеки добре відомо, що атаки з захопленням SIM-карти увінчалися успіхом при перенаправленні кодів MFA на телефон зловмисника, коли текстові повідомлення є способом доставлення. Оскільки деякі служби використовують текстові повідомлення для процедур відновлення облікових записів, кіберзлочинці можуть використовувати цю функцію для запуску своїх атак. Тому рекомендується застосовувати програмні додатки для генерації кодів TOTP замість текстових повідомлень, якщо ця опція доступна. Якщо доставлення текстових повідомлень вважається єдиним форматом, підтримуваним конкретним сайтом або службою, користувач повинен вжити захисних заходів зв'язавшись зі своїм оператором мобільного зв'язку, щоб переконатися, що PIN-код потрібен для всіх змін облікового запису. Також доступні мобільні додатки, які надають одноразові віртуальні телефонні номери для отримання одноразових паролів, та споживачі можуть використовувати їх замість особистих номерів.

Деякі об'єкти тепер також починають підтримувати використання апаратних ключів доступу для MFA. Апаратні ключі безпеки вважаються сильною формою MFA, але вимагають носіння фізичного пристрою. Деякі також надають програмні коди TOTP як метод резервного копіювання, коли у користувача немає жорсткого ключа безпеки.

Рекомендується також використовувати службу, яка буде попереджати, якщо один з облікових записів вважається частиною порушення загальнодоступних даних. Припустимо, людина використовує надійний пароль для захисту банківського рахунку. Якщо цей пароль вже вважається частиною злому загальнодоступних даних, не має значення, наскільки він сильний. MFA, який використовує TOTP, захищає тут і зараз. Навіть якщо надійний пароль або біометричні дані вкрадені, без коду MFA ніхто не зможе отримати доступ до облікового запису. Можливо це не панацея, але все ж забезпечить підвищений захист.