Biometrische Authentifizierung: Wo wir sind und welche Auswirkungen

(Di Carlo Mauceli)
14 / 09 / 19

23 ist Jahre her, seit Peter Steiner den berüchtigten Cartoon veröffentlicht hat "Im Internet weiß niemand, dass Sie ein Hund sind" über den New Yorker, der die Herausforderungen im Zusammenhang mit der Online-Identität auf anschauliche Weise illustriert und zu einem gewissen Grad antizipiert.

Noch heute haben viele Organisationen Probleme, das Rätsel zu lösen, ob der Online-Zugriff auf Informationen das Sprichwort ist "Hund im Internet", das ist wenn "Sie sind, was sie sagen und geben nicht vor, jemand anderes zu sein.".

Die Konsequenzen eines echten Krieges sind erheblich: Jahr für Jahr ist die Identität der am meisten ausgenutzte Angriffsvektor im Cyberspace.

Das größte problem Einfach: die PasswortEnglisch: emagazine.credit-suisse.com/app/art...1007 & lang = en, wird ständig verletzt und trotz allem von allen auf der ganzen Welt verwendet, egal ob es sich um Unternehmen oder Einzelpersonen handelt und alle mit der chronischen Hartnäckigkeit oder Bewusstlosigkeit ohne weiteren Schutz gewürzt, der die Verwendung mehrerer Authentifizierungsfaktorlösungen sein könnte. Dieses letzte Phänomen ist leider in Unternehmen außergewöhnlich.

Die Hacker-Welt folgt ähnlichen Techniken und Dynamiken wie die Industrie, bei denen Angebot und Nachfrage den Preis eines Produkts bestimmen. Es ist möglich, den Code von a zu kaufen ausbeuten Noch nicht bekannt, die Liste der Benutzername e Passwort Von überall gestohlen, individuelle Kreditkartennummern garantiert, noch mindestens ein paar Tage gültig, etc. Kurz gesagt, ein fantastischer Markt, auf dem man einfach ein Schnäppchen machen kann, indem man seine Identität verschleiert !!!

Daraus leiten sich Phänomene wie das "Credential Stuffing" ab, das auf zwei der schwächsten Knoten einer gesamten Sicherheitskette beruht: den Menschen und ihren Passwort.

Das Konzept, "nicht dasselbe Passwort auf mehreren Websites zu verwenden", ist allgemein bekannt. Wir hören es oft und jetzt noch mehr, selbst wenn wir uns auf einer neuen Seite registrieren. Aber wie viele Menschen nutzen diese Voraussicht wirklich?

Offensichtlich sprechen wir nicht über die Experten, die einen Manager von einsetzen Passwort oder ähnliche Mechanismen. Wir müssen an die Öffentlichkeit denken, die sich aus IT-Sicht nicht so entwickelt hat. In diesem Zusammenhang ist es sehr wahrscheinlich, dass dasselbe verwendet wird Passwort an weit über zwei Standorten.

Ein Angreifer nutzt diese intrinsische Sicherheitsanfälligkeit aus und ist darauf spezialisiert, Kombinationen von zu finden Benutzername e Passwort gültig. Der erste Schritt ist ein Buy-In Dunkles web ein Archiv von Benutzername e gestohlene Passwörter. Mit dieser Datenbank können Sie alle Kombinationen auf verschiedenen Websites ausprobieren, um nach Personen zu suchen, die dieselbe wiederholt verwendet haben hier anmelden, oft eine E-Mail-Adresse und das gleiche Passwort. Das Endergebnis ist ein Destillat von Benutzername e Passwort Gültig für soziale Medien, E-Mail-Dienste, E-Commerce, dessen Wert sehr hoch ist, sowie die Tatsache, dass die verwendeten Anmeldeinformationen häufig die Unternehmensinformationen sind. Hier ist dann die Verwendung desselben Passwort Auf mehreren Websites werden persönliche Informationen angezeigt, die weit über die Website "Wäsche" hinausgehen.

Die Herausforderung mit dem Passwort, kombiniert mit anderen unzureichenden Authentifizierungsmethoden, wurde mit dem Aufkommen von erweitert Wolke. Der Grund? Einfach: der Aufstieg der Wolke In Verbindung mit der Explosion mobiler Geräte, die sie in großem Umfang nutzen, bedeutet dies, dass auf Daten zunehmend außerhalb des Netzwerks eines Unternehmens zugegriffen wird, für das leider immer noch Überprüfungen durchgeführt werden. traditionelle Sicherheit.

Und hier kehren wir zum Ausgangspunkt zurück "In der Cloud lautet die erste Frage, die ein System beantworten muss:" Sind Sie der, von dem Sie sagen, dass Sie er sind? " Lassen Sie es uns nie vergessen: „Authentifizierung ist der" Schlüssel "für den Zugriff auf die Tür einer Cloud-Ressource und, wie ich gerne sagen möchte, die Authentifizierung ist das Herz jeder Infrastruktur und stellt die Juwelen der Familie dar, die es um jeden Preis zu verteidigen gilt mit allen Mitteln.
Angesichts eines ständig wachsenden Phänomens wird die biometrische Identifizierung von vielen als das unmittelbarste System für die Zugriffsverwaltung angesehen, das für diejenigen, die sich identifizieren müssen, einigermaßen sicher und einfach genug ist.

Apples Markteinführung des berühren ID Im mittlerweile fernen 2013, das Nutzern die Möglichkeit bietet, ihre Telefone mit ihren Fingerabdrücken oder einer PIN zu entsperren, wurde die Erkennung von Fingerabdrücken als neuer Authentifizierungsfaktor definiert, der kommerziell über Smartphones vertrieben wird .

Heutzutage sind Fingerabdrucksensoren ein Angebot für Smartphones und Laptops, und auch die Gesichtserkennung gewinnt an Bedeutung. Neben Gesicht und Finger sind heute Iris, Stimme und Herzschlag drei weitere biometrische Methoden, die auf dem Markt auftauchen. Mittlerweile haben führende Hersteller wie Microsoft, Lenovo, Samsung, LG und Fujitsu gemeinsam mit Apple biometrische Sensoren in die Geräte integriert.

Unter dem Gesichtspunkt der Authentifizierung sind die Auswirkungen des Phänomens der "Consumerization" der Biometrie erheblich: Anstatt einen Benutzer zum Einfügen eines Passwort oder fügen Sie ein ZeichenBiometrie ermöglicht es einem Gerät, einen Benutzer einfach zu "erkennen". Bei ordnungsgemäßer Konfiguration kann dieses System zu Authentifizierungserfahrungen ohne führen Passwort die viel einfacher zu bedienen sind als andere Technologien.

In der Cloud, in der Benutzer sofortigen und bedarfsorientierten Zugriff auf Anwendungen und Daten erwarten, bietet Biometrics die Möglichkeit, die Authentifizierung zu vereinfachen und gleichzeitig die Authentifizierung zu verbessern Privatleben und Sicherheit. Es ist kein Zufall, dass die Biometrie der Branche hilft, die Grenzen der Benutzerfreundlichkeit zu überwinden, die die Einführung der Authentifizierung der ersten Generation behindert haben, und eine stärkere Einführung sicherer Authentifizierungstools auf dem gesamten Markt begünstigt.

Es sind jedoch nicht alle Biometrien gleich, und einige Technologien und Konfigurationen können erhebliche Risiken für die Sicherheit und den Datenschutz mit sich bringen Privatleben sowie regulatorische und Compliance-Herausforderungen. Diese Risiken müssen angegangen werden, um die biometrischen Faktoren verantwortungsbewusst und sicher zu verteilen.

Im Zentrum des Problems steht die Tatsache, dass sich biometrische Technologien nach zwei Grundprinzipien unterscheiden:

Die Zuverlässigkeit der Geräte unabhängig von den verschiedenen Authentifizierungsmethoden, dh Gesicht, Fingerabdrücke, Iris usw. Der Markt ist in diesem Zusammenhang sehr vielfältig, und es gibt Lösungen, die sehr zuverlässig sind, und andere, die viel weniger zuverlässig sind. Zwei Faktoren müssen immer berücksichtigt werden:

  • False Accept Rate (FAR) die angibt, wie oft das biometrische System die Biometrie der falschen Person akzeptiert;
  • Falsche Ablehnungsrate (FRR) Dies gibt an, wie oft das biometrische System die Biometrie der richtigen Person ablehnt.

Die unterschiedlichen Arten des Aufbaus und der Verteilung biometrischer Systeme können sich erheblich auf die Tatsache auswirken, dass sie die Sicherheit verbessern und verbessern können Privatleben oder nicht.

Ein wichtiger Unterschied zwischen biometriebasierten Authentifizierungsmodi und anderen Authentifizierungslösungen besteht darin, dass letztere ähnlich sind Passwort e Zeichenkann geändert oder widerrufen werden. Dies bedeutet, dass es immer eine einfache Möglichkeit gibt, eine neue Lösung zu finden und das Problem zu lösen, wenn sie gestohlen oder kompromittiert werden.

Die Biometrie hingegen ist permanent und daher kann die unbeabsichtigte Offenlegung biometrischer Daten schwierigere Konsequenzen haben als eine einfache Passwort verletzt. Aus diesem Grund muss jede Implementierung von Biometrie mit äußerster Sorgfalt erfolgen, um die Möglichkeit zu verringern, dass beispielsweise der Fingerabdruck oder das Gesicht einer Person beeinträchtigt wird.

Um IT-Risiken zu minimieren, gesetzliche Anforderungen zu erfüllen und den Zugriff auf Ressourcen einfacher und sicherer zu gestalten, wird zunehmend eine Authentifizierung benötigt, um die Identität der Benutzer vor Bedrohungen zu schützen und indirekt ihre Privatsphäre zu schützen .

Die Verwendung von Biometrie als Authentifizierungsmechanismus kann es Unternehmen ermöglichen, bei korrekter Implementierung und Einhaltung der Standards ihre Identität auf einer höheren Ebene zu schützen, als dies bei der Verwendung von Passwörtern heute noch der Fall ist.

Es gibt immer noch einige Fragen und viele Zweifel an der Verwendung von Biometrie als Authentifizierungsmethode:

Wo werden die biometrischen Daten gespeichert?

Wo wird der biometrische Abgleich durchgeführt?

Ist Biometrie der einzige Faktor, der zur Authentifizierung erforderlich ist?

Wie werden biometrische Informationen geschützt?

Wir lassen die Antworten vorerst unbeantwortet und versprechen, sie bald zu untersuchen.

Foto: Web / US Air Force / US Air National Guard