Корзина
Видеонаблюдение помощь в выборе, настройке и обслуживанииЧитать
8(342)270-03-05
8(800)201-79-04
РоссияПермский крайПермьул. Стахановская, 4 офис 1
Комплексные поставки систем безопасности по России.Профессиональная установка систем видеонаблюдения
Наличие документов
Знак Наличие документов означает, что компания загрузила свидетельство о государственной регистрации для подтверждения своего юридического статуса компании или индивидуального предпринимателя.
Корзина

Защита биометрии в покое, необходимый учебник

Защита биометрии в покое, необходимый учебник

Биометрическая аутентификация - это быстро и удобно. Коснитесь своего телефона, и он разблокирован. Посмотрите на сканер радужной оболочки и войдите в безопасную комнату. Говорите в свой телефон для громкой аутентификации. Его используют правительства, правоохранительные органы, аэропорты и корпорации. Однако так ли проста биометрическая аутентификация? Не совсем, если учесть вопросы политики, проблемы конфиденциальности и сложности защиты биометрических данных.

Опрос, опубликованный Spiceworks, сообщает, что 62 процента компаний уже используют биометрическую аутентификацию, а еще 24 процента планируют внедрить ее в течение двух лет. Зачем? Это обеспечивает разумный уровень уверенности в том, что те, кто ищет доступ к сети, - это те, кто, по их словам, практически не сталкивается с трениями пользователей.

Биометрические идентификаторы могут подвергаться мошенничеству, атакам и неправильному использованию в состоянии покоя и при передаче во время сбора, обработки, хранения и доступа к данным. Плюс, есть более очевидные проблемы юзабилити. Вы можете переиздать пароль, но не можете восстановить чей-либо отпечаток пальца (или вы можете это сделать с помощью биометрической токенизации, подробнее читайте ниже).

Биометрическая аутентификация за и против

В информационной безопасности нет абсолютов. Все, что может быть скомпрометировано, при правильном уровне концентрации, рабочей нагрузки и времени. Несмотря на риски, биометрическая аутентификация имеет большие перспективы. Вот некоторые плюсы и минусы методов, используемых сегодня и в будущем:

  • Отпечатки пальцев: 57 процентов компаний в опросе Spiceworks использовали отпечатки пальцев. Тем не менее, литье или 3D-печатные формы могут обмануть систему. Ложные негативы и ложные срабатывания не являются чем-то необычным.
  • Распознавание лиц: 14 процентов опрошенных компаний используют распознавание лиц, но изображения и головы манекенов могут обмануть сканеры.
  • Распознавание голоса: этот метод популярен, но он может потерпеть неудачу, если голоса меняются из-за болезни или усталости, присутствует шум окружающей среды или используются мошеннические записи голоса.
  • Поведенческие и контекстные методы: поведенческие метрики анализируют, как пользователи взаимодействуют с устройствами (шаблоны нажатий клавиш, нажатие пальца). Контекстные идентификаторы анализируют, где и когда используются устройства (время суток, используемое устройство). Вопросы конфиденциальности и раскрытия изобилуют этими почти невидимыми методами.

Основные соображения для биометрической аутентификации

Аутентификация должна сбалансировать безопасность, удобство и конфиденциальность данных в состоянии покоя и в пути. Одним из основных соображений является подход к биометрической аутентификации с централизованной или децентрализованной точки зрения.

При децентрализации любое устройство лучше защищено. Пользователи регистрируются, используя свое собственное устройство без центрального хранилища биометрических шаблонов. Этот метод приводит к недостаточной масштабируемости и неудобству требования регистрации пользователей для каждого устройства. Роуминг (возможность использовать несколько устройств, на некоторых из которых пользователь еще не зарегистрирован) существенно ограничен.

При централизованной регистрации и хранении шаблонов пользователю необходимо зарегистрироваться только один раз, чтобы сгенерировать одно биометрическое представление для использования на нескольких устройствах, а также для физического входа и цифрового доступа. Потенциальным недостатком является то, что нарушение биометрических шаблонов может выглядеть как нарушение базы данных паролей. Или это может?

Биометрические гарантии для поиска у поставщика

Оценивая поставщиков биометрической аутентификации, ищите поставщиков, которые предлагают широкий спектр возможностей для максимальной безопасности, включая:

  1. Облачные решения сторонних производителей. Высококачественный поставщик обеспечивает надежное шифрование, защищенные серверы и меньше внутренних угроз. Облако делает сложные решения доступными для небольших организаций.
  2. Биометрическая токенизация: сохраненный биометрический шаблон заменяет нечувствительный эквивалент, который рандомизирован и лишен внешнего значения. Токенизация обеспечивает безопасную регистрацию и значительно снижает уязвимость кражи данных и неправильного использования. По сути, украденная база данных биометрических шаблонов окажется бесполезной в руках злоумышленника. Невозможно провести реинжиниринг или выполнить хэш-подобное сравнение с другими украденными биометрическими шаблонами. Биометрическая токенизация помогает обеспечить возможность централизованного зачисления.
  3. MFA (многофакторная аутентификация): использование нескольких аутентификаторов приводит к более раннему обнаружению и эскалации предупреждающих знаков. Биометрическая аутентификация должна дополнять другие методы, по крайней мере, до тех пор, пока технология не станет более надежной.

С поставщиком, который предлагает MFA, централизацию данных, облачные решения, токенизацию и репутацию качества, ваша организация может иметь безопасную аутентификацию с простотой биометрии.

Джефф Карпентер - директор облачной аутентификации в HID Global. За 15 с лишним лет работы в сфере кибербезопасности Джефф занимал должности в нескольких ведущих компаниях, занимающихся кибербезопасностью и технологиями, включая Crossmatch и RSA, компанию Dell Technologies. Он является сертифицированным специалистом по безопасности информационных систем (CISSP) и сертифицированным специалистом по облачной безопасности (CCSP).

Предыдущие статьи