طرق المصادقة الجديدة - تهديد للخصوصية؟

يعلم المتخصصون أن مصادقة كلمة المرور أحادية الاتجاه قديمة. نعم ، إنها مناسبة للأنظمة غير المهمة مثل هبر ، لكن الأصول القيّمة حقًا غير مقبولة للحماية بهذه الطريقة. لا توجد كلمات مرور "قوية" و "قوية" ، حتى عبارة كلمة مرور التشفير التي تحتوي على 44 بت من الإنتروبيا تكون ذات فائدة قليلة إذا لم تكن مدعومة من قبل عوامل مصادقة أخرى.

عوامل المصادقة:

1. "شيء تعرفه" - على سبيل المثال ، كلمة مرور
2. "شيء ما لديك" - على سبيل المثال ، هاتف محمول أو رمز PKI مميز
3. "شيء ما أنت" - مثل الكتابة اليدوية للوحة المفاتيح أو ميزات المقاييس الحيوية الأخرى

تعد التسريبات العديدة لقاعدة البيانات بالمعلومات الشخصية من مستخدمي وموظفي المؤسسات الكبيرة دليلاً آخر على ذلك. وفقًا لتقرير التحقيقات في حالات اختراق البيانات من Verizon ، فإن 81٪ من جميع أنظمة المعلومات التي تم اختراقها وتسربات البيانات في عام 2017 كانت بسبب الحسابات المخترقة . أي كلمات المرور "المسروقة" أو "الملتوية".

ولكن من أجل الأمان والمصادقة الأكثر تقدمًا ، يجب عليك التضحية بشيء ما. لسوء الحظ ، قد تعاني خصوصية المستخدم. تتضمن بعض التقنيات الحديثة إما مراقبة السلوك البشري أو جمع البيانات البيومترية.

إذا تم تنفيذها بشكل غير صحيح ، يمكن أن تتحول أنظمة الأمان هذه إلى نوع من الأخ الأكبر ، حيث سيكون من المستحيل تقريبًا ضمان الأمان ، مع الحفاظ على سرية الهوية .

طرق المصادقة الجديدة

حتى أحدث إصدار من reCAPTCHA v3 ، الذي أعلنت عنه Google رسميًا ، يستخدم طرق التحليل السلوكي ، أي أنه يتتبع سرًا إجراءات المستخدم .

من وجهة نظر المسؤول عن الموقع ، يعمل النظام على هذا النحو: إلى جانب الصفحة ، يتم منح المستخدم مكتبة reCAPTCHA ويتم grecaptcha.execute وظيفة grecaptcha.execute . لا يلاحظ المستخدم أي شيء - ولكن منذ تلك اللحظة ، تبدأ خوادم Google في مراقبة أفعاله ، ويتم منح مالك الموقع تقييمًا لمستخدم معين على مقياس من 0.0 (bot) إلى 1.0 (شخص).



بناءً على هذا التصنيف ، يمكنك تلقائيًا منع المصادقة أو الإجراءات الأخرى على الموقع. على سبيل المثال ، يُسمح فقط للمستخدمين ذوي التصنيف الأعلى من 0.5 بدخول الصفحة بإدخال بيانات كلمة المرور.



على الرغم من أن reCAPTCHA ليس نظام مصادقة على وجه التحديد ، إلا أنه يعد عرضًا جيدًا للتحليل السلوكي أو تحليل المخاطر المتقدم أو نموذج المصادقة القائم على المخاطر. هذا نهج شائع في أنظمة المصادقة الجديدة المتوفرة حاليًا في السوق . إليك كيفية وصف الموردين لنهج قائم على المخاطر:

"يتم تحديد الحاجة إلى المصادقة ، ومجموعة ونوع العوامل المطلوبة لمصادقة هذا العميل ، على أساس تقييم المخاطر لهذا الحدث والعميل هنا والآن. وبالتالي ، تتكيف عملية المصادقة مع العميل وبيئته وجهازه. مع مستوى عالٍ من الثقة في هذه العوامل ، يكون إجراء المصادقة غير مرئي بشكل عام (في الواقع ، إنه مجرد تعريف) أو الحد الأدنى للعميل. إذا تم تحديد المخاطر ، يجب على العميل المصادقة باستخدام عامل واحد أو أكثر ، ومع احتمالية عالية للاحتيال ، سيتم حظر الوصول إلى الخدمات تمامًا ".

يشبه مبدأ التحليل السلوكي في الخلفية إلى حد ما خوارزمية reCAPTCHA v3.

في الواقع ، الفكرة هي تنفيذ المصادقة متعددة العوامل ، مع الحفاظ على تجربة المستخدم أو حتى تحسينها . على سبيل المثال ، إذا قمت بتسجيل الدخول إلى النظام المصرفي عبر الإنترنت من جهاز معروف ، ومن مكان نموذجي ، وتعرف النظام على الكتابة اليدوية للوحة المفاتيح الخاصة بشخص ما ، فيمكن السماح له بالدخول إلى النظام بدون كلمة مرور على الإطلاق.

مثال آخر: عند الدفع من حساب شخصي ، لا يطلب النظام تأكيدًا إضافيًا للعمليات القياسية التي أكملها العميل بالفعل. يُطلب عامل المصادقة الثاني و / أو الثالث عند إجراء دفعة جديدة لطرف مقابل جديد. من الواضح أن الدفع غير القياسي يزيد من احتمال حصول شخص ما على وصول غير مصرح به إلى الحساب.

القياسات الحيوية في روسيا

نعم ، يبدو أن التحليل السلوكي مع المراقبة الخفية لإجراءات المستخدم هو تقنية مشكوك فيها ، ولكن مع التنفيذ السليم ، فإنه لا يزال يسمح لك بالحفاظ على عدم الكشف عن هوية شخص وفي نفس الوقت توفير المصادقة في النظام. شيء آخر هو جمع البيانات البيومترية ، مما يعني ضمناً رفض عدم الكشف عن هويته.


تسمح لك الأقنعة المطبوعة ثلاثية الأبعاد بخداع التحقق من المقاييس الحيوية في هواتف iPhone X.

ومما يثير القلق بشكل خاص مبادرة نشر تحديد الهوية البيومترية في روسيا ، حيث أصبحت تسريبات قاعدة البيانات مع البيانات الشخصية للمواطنين شائعة .

في منتدى حديث للتكنولوجيا المالية المبتكرة Finopolis 2018 ، قالوا إن روسيا "اكتملت مرحلة المناقشة الاستراتيجية لنظام تحديد الهوية البيومترية" ، والآن بدأ التنفيذ العملي لهذه التكنولوجيا ، الأمر الذي سيستغرق "ثلاث سنوات على الأقل".

نحن نتحدث عن النظام الحيوي الموحد ، الذي يربط بين البنوك الكبيرة والمنظمات الأخرى في الاتحاد الروسي. في المرحلة الأولى ، هناك مجموعة ضخمة من البيانات البيومترية من السكان ، ويتم تنسيق العمل من قبل Rostelecom.

من الموقع الرسمي للمشروع:

النظام البيومتري الموحد هو منصة رقمية لتحديد الهوية البيومترية عن بعد ، والذي يسمح لك بتقديم خدمات تجارية وحكومية رقمية جديدة للمواطنين في أي وقت وفي أي مكان. تم إنشاء النظام بمبادرة من البنك المركزي للاتحاد الروسي ووزارة التنمية الرقمية والاتصالات ووسائل الإعلام في الاتحاد الروسي. Rostelecom هو مطور ومشغل النظام البيومتري الموحد.

يسمح نظام المقاييس الحيوية واحد ، إلى جانب اسم المستخدم وكلمة المرور من خدمات الدولة ، للبنوك بفتح حساب أو إيداع أو تقديم قرض له دون حضور شخصي. وبالتالي ، يمكن للبنوك استكمال رقمنة مسار العميل ، ولدى المواطنين الفرصة لرقمنة إرادتهم وتوقيع الوثائق عن بعد.

يعالج نظام المقاييس الحيوية واحد نوعين من القياسات الحيوية: الصوت والوجه ، وليس بشكل منفصل ، ولكن معًا . تسمح لك طريقتان بتعريف "الشخص الحي" ، بدلاً من محاكاة قياساته الحيوية في قناة رقمية.

الوجه والصوت هما أكثر التقنيات شيوعًا والأقل تكلفة حتى الآن. يتطلب التحديد بواسطة نمط الوريد أو شبكية العين أو بصمة الإصبع معدات قراءة خاصة غير متوفرة في شريحة الكتلة. لكن توفر التكنولوجيا اليوم ليس عاملاً مقيدًا لاستخدامها في المستقبل. تسمح لك بنية النظام بإضافة طرائق أخرى.
...
Rostelecom هي واحدة من الشركات الرائدة في سوق الأمن السيبراني ، وبالتالي ، يتم تزويد النظام بمستوى عالٍ من الحماية.

تم بالفعل إصدار تطبيق الهاتف المحمول "Key" لنظام Android للتعرف على عملاء البنوك الروسية عن بعد. يعمل التطبيق بالاقتران مع حساب على بوابة الخدمات العامة ، بينما يقوم بمسح صوت المستخدم ووجهه. إذا حكمنا من خلال المراجعات على Google Play ، فإن التطبيق غير مستقر للغاية ، بما في ذلك استخدام شهادة غير صالحة.



بشكل عام ، أصبح جمع المعلومات البيومترية عن المواطنين تدريجياً هو المعيار في جميع أنحاء العالم. بعد الهجوم الإرهابي الذي وقع في 11/09 ، وقع ممثلو 188 دولة حول العالم على اتفاقية تعترف بالقياسات الحيوية للوجه باعتبارها تقنية التعريف الرئيسية لجوازات السفر وتأشيرات الدخول للجيل القادم. يتم خياطة شريحة في جوازات السفر البيومترية ، حيث من المفترض أن تسجل بصمات الأصابع ، وصورة لشبكية العين ، والمسافة بين التلاميذ وغيرها من المعلومات البيومترية للمالك.

تشير الاتجاهات إلى أن التحقق من القياسات الحيوية أصبح تدريجياً إجراءً قياسيًا ، وتتولى الدولة وظيفة جمع وتخزين البيانات البيومترية للمواطنين. ربما سيتم تطبيق التحقق البيومترية على خدمات الإنترنت المختلفة.

تحسين أنظمة الأمان والمصادقة ، بما في ذلك مع التحقق من المقاييس الحيوية ، من المهم تذكر الشيء الرئيسي:

إخفاء الهوية هو حق أساسي من حقوق الإنسان

في مايو 2015 ، تبنى مجلس الأمم المتحدة لحقوق الإنسان وثيقة تدعو صراحة إلى إمكانية استخدام مجهول للإنترنت وتشفير البيانات الشخصية لتكون جزءًا من حقوق الإنسان الأساسية:

يسمح التشفير وإخفاء الهوية للأفراد بممارسة حقهم في حرية الفكر والتعبير في العصر الرقمي ويجب حمايتهم بعناية.

بدأ إدخال جوازات السفر البيومترية على نطاق واسع بعد هجمات 11 سبتمبر. ومنذ ذلك الحين ، تدهورت حالة الخصوصية بشكل ملحوظ بحجة مكافحة الإرهاب. أشارت الأمم المتحدة إلى أن المجرمين الإلكترونيين يمكنهم استخدام إخفاء الهوية على الإنترنت لتنظيم الهجمات الإرهابية ، ولكن بنفس النجاح ، يمكن ارتكاب الجرائم باستخدام قنوات اتصال أخرى. وتعتقد المنظمة أنه نظرًا لعدد المجرمين المحدود ، لا يمكن حرمان جميع الأشخاص الآخرين من الحق الأساسي .

بعبارة أخرى ، عند إدخال أنظمة مصادقة متقدمة وفحوصات بيومترية ، من المهم ألا تتناثر في الماء والطفل ، أي ضمان الحماية المناسبة للبيانات الشخصية للمستخدمين ، وخاصة معلوماتهم البيومترية.

---