Как пасивната биометрия може да помогне в сигурността на информационните технологии

Съдържание

• Какво е пасивна биометрия?
• Как работи пасивната биометрия
• Защо е важно?
• Как пасивната биометрия помага за сигурността на данните
• Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
• Какво е влиянието му върху проблемите на сигурността в реалния свят?
• Полезни ли са традиционните методи?
• Какво е бъдещето?
• заключение

Източник: Dwnld777 / Dreamstime

За вкъщи:

Пасивната биометрия проправя път за сигурност без парола, която може да скрие хакерите.

Във време, когато конвенционалните мерки за сигурност на данните са ограничени от ограничения като прекалено голяма зависимост от потребителската свобода и приемане от потребителя, пасивните биометрични данни могат потенциално да предлагат баланс на сигурност и приемане от потребителя. Конвенционалните механизми за защита като пароли и SMS кодове са толкова силни, колкото потребителят ги прави. Установено е, че много потребители са склонни да задават слаби пароли, защото е лесно да ги запомнят. Това побеждава основната цел на механизмите, базирани на парола или защита. Пасивната биометрия не изисква от потребителя активно да предоставя идентификационни данни, пасивно да събира потребителски данни във форми като техники за разпознаване на лице, глас и ирис. Въпреки че пасивната биометрия като механизъм за ИТ сигурност все още намира своята ниша, със сигурност може да се каже, че тя предлага добър баланс между удобството на потребителя и сигурността на данните.

Какво е пасивна биометрия?

За да дефинира биометрията, маркетинговият директор на биометричната фирма EyeVerify, Тина Хунг обяснява: „Биометрията разчита на нещо, което сте, а не на нещо, което знаете.“

В случай на пасивна биометрия човек не трябва активно да участва в процеса на проверка или идентификация, а понякога процесът дори не изисква уведомяване на потребителя; удостоверяването просто се извършва по време на нормални потребителски дейности. В тези случаи субектът не се изисква да действа пряко или физически. Когато системата работи без дори знанието на потребителя, тя осигурява най-високото ниво на автентификация.

Технологично автоматизираната система основно измерва поведенческите или физиологичните характеристики на човека, със или без знанието на потребителите. За да добием по-добра представа какво включва пасивната биометрия, можем да разгледаме някои сравнителни примери на тази система, която да контрастира с активните биометрични системи. Например, всяка технология за геометрия на пръст или ръка би се считала за активна биометрия, както и за разпознаване на подпис и сканиране на ретината. Това е така, защото потребителят трябва да сложи ръка или да погледне в сканиращо устройство за разпознаване. Пасивната биометрия обаче включва системи за разпознаване на глас, лице или ирис. (За да научите повече за биометрията, вижте Нови постижения в биометрията: По-сигурна парола.)

Как работи пасивната биометрия

Отлично обяснение как работи пасивната биометрия дава Райън Уилк, директор за успех на клиентите на NuData. По думите му „Ние гледаме как действително взаимодейства потребителят: как пише, как премества мишката или телефона си, къде използва телефона си, показанията на акселерометъра си. ... Тъй като единичните данни сочат за себе си, те не са ужасно полезни, но когато започнете да ги обединявате и обединявате в профил на този потребител, вие започвате да създавате нещо, което е наистина дълбоко и наистина уникално, и нещо, което е изключително трудно да се измами. "

Пасивната биометрия предоставя възможност на организациите да проверят самоличността на своите клиенти в зависимост от естественото им поведение в технологичните взаимодействия. Непрекъснатият процес на това натрапчиво решение остава невидим за потребителите, тъй като не изисква регистрация или разрешение за работа във фонов режим; той не изисква клиентите да извършват допълнителни действия по време на обичайните си операции. Анализът на поведенчески данни в реално време предоставя точни оценки на компаниите за отделяне на натрапници от автентичните клиенти. Тъй като личната информация (PII) не е записана, хакерите никога не получават информация за поверителни данни, за да пречат на идентификацията на потребителя. Пасивната биометрия е революционен напредък в процеса на проверка на идентичността, който има възможност да заличи всякакъв шанс за измама от сърцевината на рамката за удостоверяване на организацията и може да добави ново ниво на доверие в целия жизнен цикъл на акаунта.

Защо е важно?

Технологиите винаги пораждат нови системи и бариери за защита, за да се защити цялата мрежа от злонамерени дейности. Но може ли да попречи на брилянтните хакери и измамници да намерят вратички в системата завинаги? Не. Въпреки това, когато те нямат никакви познания за текущ процес, как ще могат да преминат теста за проверка? Ако не знаят за фонова система, на първо място няма да вземат предпазни мерки. Тук пасивната биометрия се различава от другите методи за проверка. И затова важността се крие и тук. Не може да се извърши измама, когато причината за използването на измама е изкоренена в началото.

Как пасивната биометрия помага за сигурността на данните

Изискването за по-сложни и задоволителни системи за сигурност се повишава във въздуха от дълго време. Сега търсенето подтиква мрежите за сигурност към биометричните данни и по-специално към пасивната технология, където потребителите не трябва да бъдат информирани за процеса на идентификация, в зависимост от поведенческите характеристики. (За повече информация относно данните, използвани в пасивната биометрия, вижте как Големите данни могат да гарантират удостоверяване на потребителя.)

Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви

Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.

Хунг обясни: „Добре приложеното биометрично решение ще се впише естествено в редовния поток на потребителското поведение.“ Пасивната биометрия има основното предимство на създаването на профил за това как човекът използва машината, а не само профила на самата машина. , Както обяснява Уилк, пасивният подход отваря книгата за разбиране на потребителя на „почти подсъзнателно ниво“.

Друг пасивен подход, създаден от компанията BioCatch, работи, като записва и анализира дейностите на потребителите, които те дори не осъзнават, че правят. Физическите характеристики като измерване с пръст върху сензорен екран, активната ръка (вляво или вдясно) с помощта на мишката или треморната честота на ръката на потребителя, която държи устройството, предоставят точна комбинация от данни за остро идентифициране на уникален клиент. Освен това, познавателните черти като метода на нечие поведение на превъртане в мрежата (клавиши със стрелки, колело на мишката, страница нагоре и надолу и т.н.) или техниката на държане на устройството (хоризонтално или вертикално, ъгълът на наклона на устройството и т.н.) също спомагат за засилване на автентичността на системата.

Според Орен Кедем, вицепрезидент по управление на продукти в BioCatch, те използват и „невидими предизвикателства“ за потребителите, където операцията показва едва забележима промяна в нормалното поведение на потребителя. Например приложението може да промени няколко пиксела на курсора в друга посока или леко да промени скоростта на превъртане на страницата, за да тества уникалния отговор на потребителите. Отговорите им на тези инциденти са невероятно уникални, което е невъзможно да се повтори.

Както казва Кедем: „Ние не проследяваме какво правите, ние също влияем върху това, което правите. ... Ние ви задаваме въпрос, без да бъдете питани, а вие ни давате отговор, който знаете. Тайната е, която не може да бъде открадната като парола или знак. "

Системата е програмирана по такъв начин, че автоматично да открива и предотвратява затваряне на ботнетите, които записват и възпроизвеждат движенията на целта. Това е така, защото имитирането на потребителски отговор е до невъзможно в случай на невидими предизвикателства, които продължават да се променят в приложението.

Какво е влиянието му върху проблемите на сигурността в реалния свят?

Финансовите и банкови услуги по целия свят започнаха да разчитат на тази нова система. Доставчиците на биометрична сигурност като EyeVerify и Daon си сътрудничат с финансовите организации. EyeVerify работи с Digital Insight за удостоверяване на биометрични системи за сигурност в мобилни банки и те са на път да пуснат Eye ID като мобилно приложение.

През 2014 г. биометричната технология, внедрена от Daon, осигури 10,7 милиона потребители на Федералната спестовна банка на USAA в процеса на безпроблемно мобилно банкиране. В този случай водещият съветник по сигурността на USAA Ричард Дейви коментира: „Тревогите, произтичащи от непрекъснато съществуващата заплаха от фишинг, злонамерен софтуер и излагане на информация от външни нарушения, означават, че контрола за автентификация и достъп винаги ще бъде застрашен. Технологии като биометрия смекчават тези заплахи, като улесняват красивото преживяване на крайния потребител. “

Пасивната гласова биометрична проверка на самоличността регистрира записването на потребителя чрез подаване на уникален глас чрез разговор по време на първоначалната регистрация. Този първоначален разговор изисква да продължи 45 секунди, за да се използват разпознаващите данни. Тогава записаният глас идентифицира потребителя, като сравнява следващия глас, получен в следващия разговор, който правят с контактния център.

Тази банка внедри новата технология за сигурност на своите служители и след това на техния пазар в Сан Антонио, Тексас, последван от Калифорния и в крайна сметка те я пуснаха в пълен мащаб през януари 2015 г. Полученият отговор беше изключителен. Три седмици след внедряването около 100 000 клиенти се записаха за биометрично удостоверяване и в рамките на десет месеца броят на отговорилите клиенти се увеличи до над един милион.

Полезни ли са традиционните методи?

90-дневен анализ на проучванията, извършен от Nudata Security през 2015 г., показа 112% ръст на уеб атаките за получаване на пароли и потребителски имена спрямо 2014 г. Каква е причината зад хакерите да спечелят напред в традиционните системи за сигурност? Нека помислим малко по-обстойно.

Всичко, което правим, е да компрометираме силата на нашите пароли, за да ги запомним лесно. Да, тук лежи виновникът. Имаше време, когато един човек управляваше само два или три акаунта онлайн и не беше твърде трудно да запомните критични пароли за малък брой случаи. Така че процесът беше подходящ за защита на идентичността на човека по това време.

Но сега картината значително се промени. Всички имаме много сметки, толкова много, че понякога дори не можем да ги следим. Сега, възможно ли е да запомните парола, съставена от произволни числа, символи и букви за всеки акаунт? Определено не. Така че това, което правим, е да компрометираме предпазните мерки, като запазваме модел за всички наши пароли с известна информация или продължаваме да забравяме случайните избори на силни пароли и след това трябва да ги възстановяваме непрекъснато.

Сега, косвеният начин да запазим самоличността на личността е осигуряването на решение както за удовлетвореността на потребителите, така и за сигурността, тъй като не е необходимо да правим никакъв избор, за да запазим системата си в безопасност и да я запомним. Хакерите също имат проблеми с обучението как да определят къде е внедрена системата за сигурност. Следователно предишните им начини за достъп до други акаунти вече не работят добре.

Какво е бъдещето?

Според Grissen and Hung биометричните системи няма да останат на факултативния етап, а ще царуват над цялата мрежа от системи за сигурност по въпросите на „сигурността срещу удобството“ в близко бъдеще.

Технологията става все по-прецизна и става по-лесно да се инсталира в домашни уеб и мобилни приложения. Нови алгоритми са в процес на прилагане на допълнителна телеметрия за увеличаване на поведенческите профили като ориентация на устройството в широк спектър от устройства.

Консолидирането между SIEM (информация за сигурността и управление на събития) и пазарните сегменти на UEBA (анализ на поведението на потребителите и предприятията) е бъдещето за растежа във всеки аспект на бизнеса, както можем да видим в случая с доставчиците на SIEM, придобиването на Splunk от Caspida. Те планират по-нататъшни пътища, за да осигурят по-ефективно преживяване на клиентите си при реализациите на SIEM, като добавят към това дългата история на съществуващите данни. Различните форми на анализ на поведението се оказват задължително допълнение за смекчаване на проблема със сигурността и за спечелване на дългосрочната студена война срещу измамниците.

заключение

В крайна сметка можем да кажем, че бъдещето носи много трудни времена за измамниците, тъй като те ще бъдат съборени от комбинираната атака на проверка на знанието и поведенчески анализ в процедурите за сигурност. През 2016 г. заместник-министърът на финансите Сара Блум Раскин заяви: „Дизайнът на системата се развива, за да се справи с предизвикателството за удостоверяване, представено от откраднати или лесно компрометирани пароли: следващото поколение онлайн проверка на идентичността изглежда комбинира това, което клиентите знаят и имат, и какво правят. или поведенческа биометрия. "