Один из печальных фактов о мобильной аутентификации заключается в том, что индустрия изначально склонна принимать менее эффективные варианты безопасности. Таким образом, телефоны изначально принимали аутентификацию на основе отпечатков пальцев (которая может быть подорвана рецептами, чистящими средствами, травмами рук и десятками других факторов), а затем перешли на распознавание лиц.
Теоретически распознавание лиц должно быть более точным. Математически это справедливо, так как при этом проверяется значительно больше точек данных, чем при сканировании отпечатка пальца. Но реальность на реальной планете значительно более проблематична. Для этого требуется точное расстояние от телефона, и все же он не предлагает маркеры предварительного пролистывания, чтобы пользователь знал, когда он нажимается правильно. Это одна из причин, по которой я вижу, что распознавание лиц отклоняет сканирование примерно в 2% случаев, хотя положительное сканирование проходит через XNUMX секунды.
В начале запуска Apple члены семьи иногда могли разблокировать телефоны других людей. Это не ограничивалось однояйцевыми близнецами. Даже матери и дети могут пройти «аутентификацию» распознавания лиц.
Но недавний случай в Китае показывает, что недостатки распознавания лиц Apple остаются серьезными. В Китае мужчина подошел к спящей женщине (своей бывшей девушке), открыл ей веки, получил зеленый свет на распознавание лиц и смог снять деньги с ее расчетного счета.
Во-первых, это не лучший способ вернуться к бывшему. Но с точки зрения кибербезопасности это усиливает тот факт, что мобильные устройства требуют значительно более строгих методов аутентификации.
Лучшим способом было бы использовать более слабые методы, такие как пароли, PIN-коды и более слабые биометрические данные, чтобы легко получить доступ к учетным записям с низким приоритетом, например, разблокировать телефон для проверки прогноза погоды. Но для доступа к банковским операциям/деньгам, подключений к социальным сетям и любого подключения к системам компании должен требоваться анализ поведения.
Сама природа анализа поведения затрудняет для вора выдачу себя за человека. Человек, находящийся без сознания, может быть схвачен или оттянут веко, при условии, что вор имеет физический доступ к пользователю и телефону. К сожалению, PIN-коды легко украсть во время просмотра плеч, особенно для тех, у кого есть обширный физический доступ.
Но при имитации, сколько опечаток делает этот пользователь на каждые сто слов? Или ваша скорость печати точна? Или угол, под которым они обычно держат свой телефон? Они индивидуальны, и их довольно сложно подделать. Да, некоторые факторы поведенческого анализа легко подделать, включая IP-адрес, местоположение и отпечаток пальца телефона пользователя. Следовательно, реализация поведенческого анализа должна использовать как можно больше факторов, смешивая факторы, которые легко подделать, с факторами, подделать которые довольно сложно.
Одна из замечательных особенностей поведенческой аналитики заключается в том, что она работает скрытно в фоновом режиме, что означает, что она настолько плавна (для пользователя), насколько это рекомендуется. Он предлагает лучшее из обоих миров: это значительно более строгая и надежная процедура аутентификации, более простая для пользователей, чем пароль или биометрические данные.
Для вычислений этот характер без трения делает пользователей более снисходительными. Вдобавок ко всему, этот «фоновый» характер еще больше усложняет задачу для вора/взломщика, поскольку злоумышленник не может быть уверен, что система проверяет в любой момент времени.
Вот почему ИТ-директора и директора по информационной безопасности не должны полагаться на биометрию. Сканирование может помешать даже самым жестоким и воинственным методам атаки, таким как приставление пистолета к голове пользователя и приказание ему получить доступ к корпоративным файлам. Если страх и нервозность перед такой атакой увеличивают количество ошибок при наборе текста и замедляют скорость печати, этого может быть достаточно, чтобы связаться с супервайзером. Если этот руководитель попросит видеосеанс, чтобы убедиться, что все в порядке, злоумышленник может уйти. (Это особенно верно, если злоумышленник подозревает, что надзиратель уже отправил полицию и использует вопросы из видеосеанса, чтобы сэкономить время.)
Причина, по которой это такая важная проблема для XNUMX, заключается в том, что неуклонное увеличение мобильного доступа к вашим наиболее конфиденциальным корпоративным базам данных (включая корпоративные облачные учетные записи), вероятно, продолжит процветать. Сейчас мы находимся на этапе, когда ИТ-отдел больше не может признать, что средств защиты рабочих станций достаточно. Даже если ИТ-отдел предоставит ноутбуки каждому сотруднику с достаточными привилегиями, ни одна компания не будет препятствовать мобильному доступу. В то время как путешествия постепенно возвращаются в этом году для определенных сегментов, недостатки Road Warrior вернутся. Однако теперь злоумышленники, особенно те, кто проявляет исключительный интерес к своим системам, постепенно все больше сосредотачиваются на этих мобильных взаимодействиях.
Самое популярное и известное модное словечко в области кибербезопасности в наши дни — «Нулевое доверие». Любая серьезная реализация Zero Trust должна начинаться со значительно более строгого подхода к аутентификации, а также с подробного обзора управления доступом/контроля привилегий. С мобильными устройствами аутентификация должна быть главным приоритетом. Путь наименьшего сопротивления — просто внедрить встроенную аутентификацию мобильного устройства. Это может продолжаться до тех пор, пока и при любых обстоятельствах биометрия является лишь одним из двенадцати рассмотренных факторов.
Если вы все еще не верите, вы должны встретиться с китайским бывшим парнем.
Авторские права © IDG Communications, Inc. две тысячи двадцать два года.