У найближчі кілька років забуті паролі будуть вважатися проблемою минулого, адже все більше організацій використовують біометричні дані для аутентифікації. За даними компанії Gartner, до 2022 року 60% великих компаній зменшать свою залежність від паролів. Тим часом співробітники Microsoft вже проходять аутентифікацію з використанням біометричних даних, а британські банки перевіряють відбитки пальців для авторизації покупок.

З 41686 інцидентів безпеки, описаних у звіті Verizon Data Breach 2019, 32% були пов'язані з фішингом, а 29% — з викраденими обліковими даними, а це свідчить про те, що заміна паролів на біометричні дані виправдана. Підприємствам, співробітникам та споживачам потрібен менш складний та більш безпечний спосіб аутентифікації, а використання біометрії забезпечує і те, і інше. Зберігання конфіденційних біометричних даних викликає побоювання щодо безпеки, однак при правильному зберіганні біометрія займає чільне місце в майбутньому без пароля.

Використовуйте біометрію для безпеки, а не для зручності

Часто біометрія відтворює чинні паролі — популярний метод розблокування смартфонів та доступу до мобільних додатків. Однак пароль не видаляється з процесу аутентифікації, та біометричні дані використовуються в якості ярлика. Використання біометрії для аутентифікації працює тільки в тому випадку, якщо паролі повною мірою виключені з процесу аутентифікації. Це фундаментальний крок до контролю доступу без пароля, оскільки якщо пароль все ще залишається у фоновому режимі, все ще є ризик злому даних.

Щоб отримати всі переваги аутентифікації без пароля, біометрія повинна використовуватися для забезпечення безпеки, а не тільки для зручності. Це означає реалізацію політик, які повністю видаляють паролі з процесу аутентифікації — користувачеві ніколи не доведеться створювати пароль, вводити комбінацію або скидати її. При реальному розпізнаванні особистості без пароля, єдиний спосіб аутентифікації людини — це використання комбінації біометричних даних.

Біометрії не подобаються паролі

Попри розповіді про те, як зловмисники вводять в оману біометричні зчитувачі, відбити атаку за допомогою спуфінга дуже складно. Проникнути в систему безпеки за допомогою пароля просто — зловмисник може легко набрати вкрадені облікові дані на клавіатурі, але біометричні зображення можна безпосередньо ввести в зчитувач: по-перше, вони повинні бути перетворені в об'єкт. Тому, щоб досягти успіху у використанні вкрадених зображень відбитків пальців, злочинець повинен зробити зліпки пальців людини досить хорошими, щоб обдурити технологію.

Навіть в разі фальсифікації, системи біометричної аутентифікації містять додаткові заходи безпеки для захисту від таких атак. Це охоплює технологію "liveness detection" (детектування живого користувача), яка вимагає від людини моргнути або поворушити пальцями, щоб довести, що вона виконує аутентифікацію в режимі поточного часу. Також варто відзначити поведінкову біометрію, яка використовує штучний інтелект для обліку взаємодії людей зі своїми смартфонами та іншими пристроями в процесі аутентифікації.

Звичайно, такі спуфінгові атаки не вважаються проблемою, якщо зловмисники не можуть отримати біометричні зображення в першу чергу. Це ставить під питання проблему правильного зберігання чутливих біометричних зображень, що має починатися з шифрування. Далі зображення не повинні зберігатися в єдиному місці, наприклад як на сервері, так і на смартфоні — це означає, що якщо зловмисники проникають в одну базу даних, вони отримають тільки частину біометричного зображення, що зробить його непридатним для використання.

Переосмислення ролі біометрії в аутентифікації

З огляду на ймовірність успіху, зловмисники навряд чи припинять використовувати паролі в якості векторів проникнення. Захист компаній від атак, пов'язаних з вкраденими паролями, вимагає нового підходу до аутентифікації, який замінює методи засновані на знаннях, біометрією. Це означає, що дана технологія розглядається як інструмент безпеки, а не як механізм прискорення аутентифікації. Коли біометрія дозволить назавжди розпрощатися з паролями, ми станемо на крок ближче до надійно захищених організацій.