Дайте ему палец: отпор биометрической аутентификации
Государственный, финансовый и коммерческий секторы в разных странах мира стремительно внедряют биометрическую аутентификацию и требуют ее для широкого спектра услуг. Например, здесь, в Канаде, наше федеральное правительство недавно ввело требование о том, чтобы граждане стран в возрасте от 14 до 79 лет предоставляли свои отпечатки пальцев и фотографию, если они хотят подать заявление на получение канадской гостевой визы, разрешения на работу или учебу, ПМЖ в Канаде или даже убежище. Исключения составляют те, кто прибывает из безвизовых стран или просто приезжает в Канаду в качестве туристов. Иммиграция, беженцы и гражданство Канады (IRCC), конечно же, заявляют, что они обрабатывают все биометрические данные с высочайшим уровнем конфиденциальности и безопасности, но они также ясно дают понять, что могут раскрывать любые биометрические данные другим странам «Пяти глаз», а именно США, Великобритания, Австралия и Новая Зеландия.
Теперь, что может пойти не так с этим?
Ну, например, Национальное аудиторское управление Австралии (ANAO) недавно опубликовало отчет о том, насколько хорошо Австралийская комиссия по уголовной разведке (ACIC) справлялась с администрированием проекта службы биометрической идентификации (BIS), ACIC был передан NEC Australia два года назад., и полученная оценка была недостаточной «почти во всех существенных аспектах» по таким причинам, как «плохое управление рисками» и «несоблюдение подробного плана реализации». В результате этого ACIC расторгла контракт, который они заключили с NEC Australia для проекта BIS, который изначально планировался для замены существующей в Австралии национальной автоматизированной системы идентификации отпечатков пальцев (NAFIS) и добавления в систему возможностей распознавания лиц.
Чувствуете себя немного обеспокоенным еще?
Исследователи безопасности во всем мире высказывают сомнения относительно того, насколько безопасными могут быть методы биометрической аутентификации в реальном мире. Например, статья в The Hacker News несколько лет назад показала, что сканеры радужной оболочки глаза можно обмануть, если у вас есть подходящая фотография, показывающая глаза человека. А исследователи из Нью-Йоркского университета и Университета штата Мичиган продемонстрировали, что, создав базу данных базовых шаблонов частичных отпечатков пальцев, хакер может часто обманывать сканеры отпечатков пальцев мобильных телефонов. Так что, возможно, биометрическая аутентификация не такая потрясающая идея, как ее часто рекламируют многочисленные промышленные, коммерческие и правительственные организации по всему миру.
И многие из моих коллег по ИТ согласны с этой оценкой.
Эрик, работающий в Сиэтле, говорит, что, хотя он и не считает себя экспертом в области биометрии, у него есть ученые степени в области компьютерных наук, инженерии и бизнеса, и, что касается его, «все сводится к одному простому факту:: наборы биометрических данных нельзя изменить, как пару ID/PW. Они навсегда — пока пластические хирурги не разработают методы. Перекодируемый? Да. Шифруемый? Боже, надеюсь! Хэшируемый? Да. Но в отличие от паролей и даже других многофакторных методов, их нельзя сбросить. Итак, попав в открытую, происходит трудноразрешимое нарушение персональных данных. Что это оставляет нам для будущего?»
И не забывайте о правовом аспекте
Другой коллега по имени Лэнс, обладатель сертификатов CISSP и PCIP, считает, что наша основная забота должна заключаться в правовой стороне дела. «Взлом биометрии существует с момента появления решений, — говорит Лэнс, — и, как и в случае любой аутентификации, были созданы взломы с разной степенью сложности и степенью успеха. Меня больше всего беспокоит биометрическая аутентификация — юридическая проблема, а не техническая. Если вы используете биометрическую технологию для блокировки или разблокировки чего-либо, правоохранительные органы США могут на законных основаниях заставить вас предъявить свои учетные данные, потому что это то, чем вы [а не то, что вы ]. Они не могут заставить вас раскрыть пароль/пароль/парольную фразу, потому что они защищены Четвертой и Пятой поправками. Только по этой причине то, что вы , должно быть основополагающей частью вашей аутентификации в любой системе, способной получить доступ к ценным активам, независимо от того, какими могут быть эти активы».
Лэнс добавляет, что однажды он присутствовал на съезде эмитентов карт, на котором выступал эксперт по безопасности Брюс Шнайер. Лэнс сказал, что Брюс «вызвал гнев многих поставщиков на этой конференции, заявив, что их карточные системы не решают проблему аутентификации. Более того, Брюс сказал, что аутентификация — самый сложный вопрос во всей безопасности». Это потому, что «имперсонация так же стара, как человечество, и, несмотря на все усилия ярких умов на протяжении миллионов лет, она остается самой сложной проблемой безопасности для решения. Откуда мне знать, что ты тот, за кого себя выдаешь? Даже если бы мы могли тестировать ДНК напрямую в режиме реального времени, кто-нибудь нашел бы способ вызвать ошибки типа 1 и типа 2 в системе или создать атаку типа «образец посередине». В заключение Лэнс говорит, что всегда можно «создать систему правил», но «те, кто не желает им следовать, немедленно сосредоточатся на поиске способа их ниспровергнуть. Это действительно по-человечески».
С биометрической аутентификацией смерть неизбежна
Дэвид, который был госпитализирован с легочной эмболией, говорит, что его «близкий разговор с Мрачным Жнецом заставил моего менеджера на работе задать вопрос: что, если с вами что-то случится? Как одинокий ИТ-специалист, — говорит Дэвид, — у меня есть защищенный паролем документ Word, содержащий пароли для каждого веб-сайта или приложения, к которым я обращаюсь. Но что, если они не смогут проникнуть в мой компьютер? Биометрия, особенно распознавание голоса, парализует организацию из-за отсутствия доступа к вещам, которые я считаю важными. Так что не лучшая идея.
Дэвид также отметил, что его страховая компания «похожа на биометрическое распознавание голоса», и он спрашивает: «Как мои оставшиеся в живых смогут получить доступ к моим записям? В настоящее время, пока они могут войти в мою учетную запись электронной почты или какой-либо веб-браузер, они могут получить доступ к моей информации через мою учетную запись Norton Vault, которая заполняет информацию о моей учетной записи, и вы идете. Я понимаю необходимость защиты ваших устройств, сети, данных и т. д., но для некоторых из этих вещей должен быть обходной путь». Затем он с иронией добавляет, что «обнаружил, что даже в одной и той же организации здравоохранения, с огромным количеством информации, генерируемой многими различными поставщиками медицинских услуг, когда я иду в другой офис, у меня запрашивают мою страховую карту — даже если она была отсканирована. в систему три раза за 14 дней! И мне задают всевозможные вопросы, которые должны быть очевидны человеку, смотрящему на экран компьютера. Что случилось с обещанной переносимостью, когда мы перешли на электронные карты пациентов? Они кажутся настолько безопасными, что их невозможно использовать!»
Что думают читатели нашего сайта о биометрической аутентификации? Является ли это ответом на потребности безопасности вашей организации или открывает ящик Пандоры в отношении вашей конфиденциальности? Поделитесь своими мыслями с нами ниже, используя функцию комментариев для этой статьи.