Почему биометрическая аутентификация не является панацеей безопасности?

Управление паролями порой раздражает как частных лиц, так и предприятия. Более половины респондентов, принявших участие в недавнем опросе, признались в повторном использовании паролей в личных и рабочих учетных записях, а последнее исследование компании Verizon Data Breach показало, что около 80% взломов данных можно отнести к украденным или слабым паролям.

Организации, разочарованные борьбой за то, чтобы заставить сотрудников изменить правила гигиены паролей, стремятся к утопическому «будущему без пароля». Одна из самых популярных альтернатив паролей — это биометрические данные, такие как распознавание отпечатков пальцев, сканирование радужной оболочки глаз и технология распознавания лиц. Биометрическая аутентификация используется для разблокировки всего: от мобильных телефонов до банковских хранилищ, и мировой рынок этой технологии быстро растет — ожидается, что к 2025 году превысит $59 миллиардов.

Жаль, что это не делает пользователей в полной мере защищенными. Первая явная трещина в биометрической броне появилась совсем недавно. Было обнаружено, что охранная фирма Suprema, которая обслуживает правоохранительные органы, банки и подрядчиков по всему миру, хранит данные отпечатков пальцев и распознавания лиц на сумму 23 гигабайта в незашифрованной и незащищенной базе данных.

Потому, настало время прояснить некоторые фундаментальные недоразумения о том, как работают системы биометрической аутентификации и на что способны.

Биометрическая аутентификация не «без пароля»

Самая большая путаница заключается в том, что большинство людей считают, что биометрическая аутентификация по своей природе безопасна и гораздо «лучше», чем пароль, но последний считается ее составляющей.

Когда конечный пользователь касается биометрического считывателя или сканирует радужную оболочку глаз, биометрический идентификатор выполняет запрос «истина-ложь», чтобы определить, разрешен ли доступ для данной личности. Оттуда биометрический идентификатор извлекает любой пароль, сохраненный конечным пользователем для этой системы, и отправляет его на указанный сайт или приложение. Пароль все еще используется, конечный пользователь просто этого не видит.

Биометрическая аутентификация удобна для конечных пользователей, но она не «более безопасна», чем ввод пароля, и это определенно не то же самое, что шифрование. Биометрическая аутентификация не делает ничего для защиты паролей пользователей, но помогает им создавать надежные комбинации или препятствует тому, чтобы посторонний входил в свою учетную запись с украденным кодом или биометрическими данными.

Но что могут сделать компании и люди, если их биометрические данные похищены? Суровая правда в том, что ничего не поделаешь. Мы можем удалить и изменить наши пароли, если они украдены, но не можем проделать аналогичное с отпечатками пальцев или лицами. Сегодня нет решения этой проблемы, поэтому нет технологий, которые используют биометрию в качестве единственного или основного метода аутентификации.

Управление паролями и многофакторная аутентификация

Вместо того, чтобы смотреть в сторону биометрического контроля доступа или будущей волшебной технологии, которая избавит от рутинной работы с паролями, организациям и потребителям следует использовать программное обеспечение для управления паролями — для создания и хранения надежных уникальных комбинаций в каждой учетной записи. Они также должны защищать эти учетные записи с помощью многофакторной аутентификации (MFA). В идеальном решении MFA, в качестве первого фактора аутентификации используется уникальный надежный пароль, а в качестве вторичного фактора — устройство или программное приложение с временным одноразовым паролем (TOTP). В этой системе биометрическая аутентификация не считается проблемой, поскольку биометрические данные требуют надежного пароля.

Не все формы MFA одинаково сильны. Среди специалистов по системам безопасности хорошо известно, что атаки с захватом SIM-карты увенчались успехом при перенаправлении кодов MFA на телефон злоумышленника, когда текстовые сообщения являются способом доставки. Поскольку некоторые службы используют текстовые сообщения для процедур восстановления учетных записей, киберпреступники могут использовать эту функцию для запуска своих атак. Поэтому рекомендуется применять программные приложения для генерации кодов TOTP вместо текстовых сообщений, если эта опция доступна. Если доставка текстовых сообщений считается единственным форматом, поддерживаемым конкретным сайтом или службой, пользователь должен принять защитные меры связавшись со своим оператором мобильной связи, чтобы убедиться, что PIN-код требуется для всех изменений учетной записи. Также доступны мобильные приложения, которые предоставляют одноразовые виртуальные телефонные номера для получения одноразовых паролей, и потребители могут использовать их вместо личных номеров.

Некоторые объекты теперь также начинают поддерживать использование аппаратных ключей доступа для MFA. Аппаратные ключи безопасности считаются сильной формой MFA, но требуют ношения физического устройства. Некоторые также предоставляют программные коды TOTP в качестве метода резервного копирования, когда у пользователя нет жесткого ключа безопасности.

Рекомендуется также использовать службу, которая будет предупреждать, если одна из учетных записей считается частью нарушения общедоступных данных. Допустим, человек использует надежный пароль для защиты банковского счета. Если этот пароль уже считается частью взлома общедоступных данных, не имеет значения, насколько он силен. MFA, использующий TOTP, защищает здесь и сейчас. Даже если надежный пароль или биометрические данные украдены, без кода MFA никто не сможет получить доступ к учетной записи. Возможно это не панацея, но все же обеспечит повышенную защиту.