Почему биометрия позволит нам навсегда отказаться от паролей?

В ближайшие несколько лет забытые пароли будут считаться проблемой прошлого, ведь все больше организаций используют биометрические данные для аутентификации. По данным компании Gartner, к 2022 году 60% крупных компаний уменьшат свою зависимость от паролей. Между тем сотрудники Microsoft уже проходят аутентификацию с использованием биометрических данных, а британские банки проверяют отпечатки пальцев для авторизации покупок.

Из 41686 инцидентов безопасности, описанных в отчете Verizon Data Breach 2019, 32% были связаны с фишингом, а 29% — с похищенными учетными данными, а это свидетельствует о том, что замена паролей на биометрические данные оправдана. Предприятиям, сотрудникам и потребителям нужен менее сложный и более безопасный способ аутентификации, а использование биометрии обеспечивает и то, и другое. Хранение конфиденциальных биометрических данных вызывает опасения в отношении безопасности, однако при правильном хранении биометрия занимает видное место в будущем без пароля.

Используйте биометрию для безопасности, а не для удобства

Часто биометрия воспроизводит существующие пароли — популярный метод разблокировки смартфонов и доступа к мобильным приложениям. Однако пароль не удаляется из процесса аутентификации, и биометрические данные используются в качестве ярлыка. Использование биометрии для аутентификации работает только в том случае, если пароли в полной мере исключены из процесса аутентификации. Это фундаментальный шаг к контролю доступа без пароля, так как если пароль все еще остается в фоновом режиме, все еще есть риск взлома данных.

Чтобы получить все преимущества аутентификации без пароля, биометрия должна использоваться для обеспечения безопасности, а не только для удобства. Это означает реализацию политик, которые полностью удаляют пароли из процесса аутентификации — пользователю никогда не придется создавать пароль, вводить комбинацию или сбрасывать ее. При реальном распознавании личности без пароля, единственный способ аутентификации человека — это использование комбинации биометрических данных.

Биометрии не нравятся пароли

Несмотря на рассказы о том, как злоумышленники вводят в заблуждение биометрические считыватели, отразить атаку с помощью спуфинга очень сложно. Проникнуть в систему безопасности с помощью пароля просто — злоумышленник может легко набрать украденные учетные данные на клавиатуре, но биометрические изображения нельзя напрямую ввести в считыватель: во-первых, они должны быть преобразованы в объект. Поэтому, чтобы преуспеть в использовании украденных изображений отпечатков пальцев, преступник должен сделать слепки пальцев человека достаточно хорошими, чтобы обмануть технологию.

Даже в случае фальсификации, системы биометрической аутентификации включают дополнительные меры безопасности для защиты от таких атак. Это включает технологию “liveness detection” (детектирование живого пользователя), которая требует от человека поморгать или пошевелить пальцами, чтобы доказать, что он выполняет аутентификацию в режиме текущего времени. Также стоит отметить поведенческую биометрию, которая использует искусственный интеллект для учета взаимодействия людей со своими смартфонами и другими устройствами в процессе аутентификации.

Конечно, такие спуфинговые атаки не считаются проблемой, если злоумышленники не могут получить биометрические изображения в первую очередь. Это ставит под вопрос проблему правильного хранения чувствительных биометрических изображений, что должно начинаться с шифрования. Далее изображения не должны храниться в единственном месте, например как на сервере, так и на смартфоне — это означает, что если злоумышленники проникнут в одну базу данных, они получат только часть биометрического изображения, что сделает его непригодным для использования.

Переосмысление роли биометрии в аутентификации

Учитывая вероятность успеха, злоумышленники вряд ли прекратят использовать пароли в качестве векторов проникновения. Защита компаний от атак, связанных с украденными паролями, требует нового подхода к аутентификации, который заменяет методы основанные на знаниях, биометрией. Это означает, что данная технология рассматривается как инструмент безопасности, а не как механизм ускорения аутентификации. Когда биометрия позволит навсегда распрощаться с паролями, мы станем на шаг ближе к надежно защищенным организациям.