Los especialistas saben que la autenticación de contraseña unidireccional está desactualizada. Sí, es adecuado para sistemas insignificantes como Habr, pero los activos realmente valiosos son inaceptables para proteger de esta manera. No hay contraseñas "seguras" y "seguras", incluso una frase de contraseña criptográfica con 44 bits de entropía es de poca utilidad si no es compatible con otros factores de autenticación.
Factores de autenticación:- "Algo que sabes", por ejemplo, una contraseña
- "Algo que tiene", por ejemplo, un teléfono móvil o un token PKI
- "Algo que eres", como la escritura a mano del teclado u otras características biométricas
Numerosas filtraciones de la base de datos con información personal de usuarios y empleados de grandes organizaciones son una prueba más de esto. Según el
Informe de investigaciones de violación de datos de Verizon, el
81% de todos los sistemas de información
pirateados y las filtraciones de datos en 2017 fueron
causados por cuentas comprometidas. Es decir, contraseñas "robadas" o "retorcidas".
Pero por razones de seguridad y autenticación más avanzada, debe sacrificar algo. Desafortunadamente, la privacidad del usuario puede verse afectada. Algunas tecnologías modernas incluyen el monitoreo del comportamiento humano o la recopilación de datos biométricos.
Si se implementa incorrectamente, dichos sistemas de seguridad pueden convertirse en una especie de Gran Hermano, donde será casi
imposible garantizar la seguridad, manteniendo el anonimato .
Nuevos métodos de autenticación.
Incluso la última versión de
reCAPTCHA v3 , que fue recientemente anunciada oficialmente por Google, utiliza métodos de análisis de comportamiento, es decir,
rastrea en secreto las acciones de los usuarios .
Desde el punto de vista del webmaster, el sistema funciona así: junto con la página, el usuario recibe la biblioteca reCAPTCHA y se
grecaptcha.execute función
grecaptcha.execute . El usuario no nota nada, pero a partir de ese momento, sus acciones comienzan a ser monitoreadas por los servidores de Google, y el propietario del sitio recibe una calificación de un usuario específico en una escala de 0.0 (bot) a 1.0 (persona).
Según esta clasificación, puede prohibir automáticamente la autenticación u otras acciones en el sitio. Por ejemplo, solo los usuarios con una calificación superior a 0.5 pueden ingresar a la página con la entrada de datos de contraseña.
Aunque reCAPTCHA no es específicamente un sistema de autenticación, es una buena demostración de análisis de comportamiento,
análisis de riesgo avanzado o un modelo de autenticación basado en el riesgo. Este es un enfoque popular en los nuevos sistemas de autenticación actualmente
en el mercado . Así es como los proveedores describen un enfoque basado en el riesgo:
“La necesidad de autenticación, el conjunto y el tipo de factores requeridos para autenticar a este cliente, se determinan en función de la evaluación de riesgos del evento y del cliente aquí y ahora. Por lo tanto, el proceso de autenticación se adapta al cliente, su entorno y dispositivo. Con un alto nivel de confianza en estos factores, el procedimiento de autenticación es generalmente invisible (de hecho, es solo una identificación) o mínimo para el cliente. Si se identifica un riesgo, el cliente debe autenticarse utilizando uno o más factores, y con una alta probabilidad de fraude, el acceso a los servicios se bloqueará por completo ".
El principio del análisis de comportamiento de fondo es un poco como el algoritmo reCAPTCHA v3.
De hecho, la idea es implementar la autenticación multifactor, mientras se mantiene o incluso
mejora la experiencia del usuario. Por ejemplo, si inicia sesión en el sistema bancario de Internet desde un dispositivo conocido, desde un lugar típico, y el sistema reconoce la escritura a mano del teclado de una persona, entonces se pueden ingresar al sistema sin una contraseña.
Otro ejemplo: al pagar desde una cuenta personal, el sistema no solicita confirmación adicional para las operaciones estándar que el cliente ya ha completado. El segundo y / o tercer factor de autenticación se solicita cuando se realiza un nuevo pago a una nueva contraparte. Obviamente, un pago no estándar aumenta la probabilidad de que alguien reciba acceso no autorizado a una cuenta.
Biometría en Rusia
Sí, el análisis de comportamiento con vigilancia oculta de las acciones del usuario parece ser una tecnología dudosa, pero con una implementación adecuada aún le permite mantener el anonimato de una persona y al mismo tiempo proporcionar autenticación en el sistema. Otra cosa es la recopilación de datos biométricos, que implican inherentemente un rechazo del anonimato.
Las máscaras impresas en 3D le permiten engañar a la verificación biométrica en los teléfonos iPhone XDe particular preocupación es la iniciativa para desplegar la identificación biométrica en Rusia, donde las filtraciones de bases de datos con datos personales de los ciudadanos se
han convertido en algo común .
En un foro reciente de tecnologías financieras innovadoras Finopolis 2018,
dijeron que en Rusia "se ha completado la etapa de discusión estratégica del sistema de identificación biométrica", y ahora ha comenzado la implementación práctica de esta tecnología, que llevará "al menos tres años".
Estamos hablando del
Sistema Biométrico Unificado , que conecta a grandes bancos y otras organizaciones de la Federación Rusa. En la primera etapa, hay una colección masiva de datos biométricos de la población, el trabajo es coordinado por Rostelecom.
Desde el sitio web oficial del proyecto:
El Sistema biométrico unificado es una plataforma digital para la identificación biométrica remota, que le permite proporcionar nuevos servicios comerciales y gubernamentales digitales para los ciudadanos en cualquier momento y en cualquier lugar. El sistema fue creado por iniciativa del Banco Central de la Federación Rusa y del Ministerio de Desarrollo Digital, Telecomunicaciones y Medios de Comunicación de la Federación Rusa. Rostelecom es el desarrollador y operador del Sistema Biométrico Unificado.
Un único sistema biométrico, junto con un nombre de usuario y contraseña de los Servicios del Estado, permite a los bancos abrir una cuenta, depositar o proporcionarle un préstamo sin una presencia personal. Por lo tanto, los bancos pueden completar la digitalización de la ruta del cliente, y los ciudadanos tienen la oportunidad de digitalizar su testamento y firmar documentos de forma remota.
Un solo sistema biométrico procesa dos tipos de biometría: voz y cara, y no por separado, sino en conjunto . Dos modalidades le permiten definir una "persona viva", en lugar de imitar sus datos biométricos en un canal digital.
La cara y la voz son las tecnologías más asequibles y comunes hasta la fecha. La identificación por patrón de vena, retina o huella digital requiere un equipo de lectura especial no disponible en el segmento de masa. Pero la disponibilidad de tecnología hoy en día no es un factor limitante para su uso en el futuro. La arquitectura del sistema le permite agregar otras modalidades.
...
Rostelecom es uno de los líderes en el mercado de seguridad cibernética; por lo tanto, el sistema cuenta con un alto nivel de protección.
La aplicación móvil
"Key" para Android ya se lanzó para la identificación remota de clientes de bancos rusos. La aplicación funciona junto con una cuenta en el portal de servicios públicos, mientras escanea la voz y la cara del usuario. A juzgar por las reseñas en Google Play, la aplicación es extremadamente inestable, incluido el uso de un certificado no válido.
En general, la recopilación de información biométrica sobre los ciudadanos se está convirtiendo gradualmente en la norma en todo el mundo. Después del acto terrorista del 11/09, representantes de 188 países del mundo firmaron un acuerdo que reconoce la biometría facial como la principal tecnología de identificación para pasaportes y visas de entrada de la próxima generación. Se cose un chip en los pasaportes biométricos, donde se supone que registra las huellas digitales, una foto de la retina, la distancia entre los alumnos y otra información biométrica del propietario.
Las tendencias son tales que la verificación biométrica se está convirtiendo gradualmente en un procedimiento estándar, y el estado asume la función de recopilar y almacenar datos biométricos de los ciudadanos. Quizás la verificación biométrica se aplicará a varios servicios de Internet.
Mejorando los sistemas de seguridad y autenticación, incluso con la verificación biométrica, es importante recordar lo principal:
El anonimato es un derecho humano básico.
En mayo de 2015, el Consejo de Derechos Humanos de la ONU adoptó un
documento que establece explícitamente la posibilidad de que el uso anónimo de Internet y el cifrado de datos personales formen parte de los derechos humanos básicos:
El cifrado y el anonimato permiten a las personas ejercer su derecho a la libertad de pensamiento y expresión en la era digital y deben protegerse cuidadosamente.
La introducción generalizada de pasaportes biométricos comenzó después de los ataques del 11 de septiembre. Desde entonces, la situación de privacidad se ha deteriorado notablemente con el pretexto de combatir el terrorismo. La ONU señaló que los ciberdelincuentes pueden utilizar el anonimato en Internet para organizar ataques terroristas, pero con el mismo éxito, se pueden cometer crímenes utilizando otros canales de comunicación.
Debido a la cantidad limitada de delincuentes, a todas las demás personas no se les puede negar el derecho básico , según la organización.
En otras palabras, cuando se introducen sistemas de autenticación avanzados y controles biométricos, es importante no salpicar con el agua y el niño, es decir, garantizar la protección adecuada de los datos personales de los usuarios, especialmente su información biométrica.
