Les spécialistes savent que l'authentification par mot de passe unidirectionnel est obsolète. Oui, il convient aux systèmes insignifiants comme Habr, mais des actifs vraiment précieux sont inacceptables à protéger de cette façon. Il n'y a pas de mots de passe «forts» et «forts», même une phrase de mot de passe cryptographique avec 44 bits d'entropie est de peu d'utilité si elle n'est pas prise en charge par d'autres facteurs d'authentification.
Facteurs d'authentification:- «Quelque chose que vous savez» - par exemple, un mot de passe
- «Quelque chose que vous avez» - par exemple, un téléphone portable ou un jeton PKI
- «Quelque chose que vous êtes» - comme l'écriture au clavier ou d'autres fonctionnalités biométriques
De nombreuses fuites de bases de données avec des informations personnelles d'utilisateurs et d'employés de grandes organisations en sont une preuve supplémentaire. Selon le
rapport d'enquête sur les violations de données de Verizon,
81% de tous les systèmes d'information
piratés et les fuites de données en 2017 ont été
causés par des comptes compromis. Autrement dit, des mots de passe "volés" ou "tordus".
Mais pour des raisons de sécurité et d'authentification plus avancée, vous devez sacrifier quelque chose. Malheureusement, la confidentialité des utilisateurs peut en souffrir. Certaines technologies modernes incluent la surveillance du comportement humain ou la collecte de données biométriques.
S'ils ne sont pas mis en œuvre correctement, ces systèmes de sécurité peuvent se transformer en une sorte de Big Brother, où il sera presque
impossible d'assurer la sécurité tout en préservant l'anonymat .
Nouvelles méthodes d'authentification
Même la dernière version de
reCAPTCHA v3 , récemment annoncée officiellement par Google, utilise des méthodes d'analyse comportementale, c'est-à-dire qu'elle
suit secrètement les actions des utilisateurs .
Du point de vue du webmaster, le système fonctionne comme ceci: avec la page, l'utilisateur reçoit la bibliothèque reCAPTCHA et la fonction
grecaptcha.execute est
grecaptcha.execute . L'utilisateur ne remarque rien - mais à partir de ce moment, ses actions commencent à être surveillées par les serveurs de Google, et le propriétaire du site reçoit une note d'un utilisateur spécifique sur une échelle de 0,0 (bot) à 1,0 (personne).
Sur la base de cette note, vous pouvez automatiquement interdire l'authentification ou d'autres actions sur le site. Par exemple, seuls les utilisateurs ayant une note supérieure à 0,5 sont autorisés à accéder à la page avec la saisie de données de mot de passe.
Bien que reCAPTCHA ne soit pas spécifiquement un système d'authentification, c'est une bonne démonstration de l'analyse comportementale, de l'analyse
avancée des risques ou d'un modèle d'authentification basé sur les risques. Il s'agit d'une approche populaire dans les nouveaux systèmes d'authentification actuellement
sur le marché . Voici comment les fournisseurs décrivent une approche basée sur le risque:
«Le besoin d'authentification, l'ensemble et le type de facteurs requis pour authentifier ce client, sont déterminés sur la base de l'évaluation des risques de l'événement et du client ici et maintenant. Ainsi, le processus d'authentification s'adapte au client, à son environnement et à son appareil. Avec un haut niveau de confiance dans ces facteurs, la procédure d'authentification est généralement invisible (en fait, c'est juste une identification) ou minimale pour le client. Si un risque est identifié, le client doit s'authentifier en utilisant un ou plusieurs facteurs, et avec une forte probabilité de fraude, l'accès aux services sera complètement bloqué. »
Le principe de l'analyse comportementale d'arrière-plan est un peu comme l'algorithme reCAPTCHA v3.
En fait, l'idée est d'implémenter l'authentification multifacteur, tout en maintenant ou même en
améliorant l'expérience utilisateur. Par exemple, si vous vous connectez au système bancaire Internet à partir d'un appareil connu, d'un endroit typique et que le système reconnaît l'écriture manuscrite d'une personne, elle peut être autorisée à accéder au système sans mot de passe.
Autre exemple: lors du paiement à partir d'un compte personnel, le système ne demande pas de confirmation supplémentaire pour les opérations standard que le client a déjà effectuées. Le deuxième et / ou le troisième facteur d'authentification est demandé lors d'un nouveau paiement à une nouvelle contrepartie. De toute évidence, un paiement non standard augmente la probabilité que quelqu'un reçoive un accès non autorisé à un compte.
Biométrie en Russie
Oui, l'analyse comportementale avec une surveillance cachée des actions des utilisateurs semble être une technologie douteuse, mais avec une mise en œuvre appropriée, elle vous permet toujours de maintenir l'anonymat d'une personne et en même temps de fournir une authentification dans le système. Une autre chose est la collecte de données biométriques, qui impliquent intrinsèquement un rejet de l'anonymat.
Les masques imprimés en 3D vous permettent de tromper la vérification biométrique dans les téléphones iPhone XL'initiative de déployer l'identification biométrique en Russie est particulièrement préoccupante, où les fuites de bases de données avec les données personnelles des citoyens
sont devenues monnaie courante .
Lors d'un récent forum des technologies financières innovantes Finopolis 2018, ils ont
déclaré qu'en Russie "l'étape de la discussion stratégique du système d'identification biométrique est terminée", et maintenant la mise en œuvre pratique de cette technologie a commencé, ce qui prendra "au moins trois ans".
Nous parlons du
système biométrique unifié , qui relie les grandes banques et d'autres organisations de la Fédération de Russie. Au premier stade, il y a une collecte massive de données biométriques de la population, le travail est coordonné par Rostelecom.
Depuis le site officiel du projet:
Le système biométrique unifié est une plate-forme numérique pour l'identification biométrique à distance, qui vous permet de fournir de nouveaux services commerciaux et gouvernementaux numériques aux citoyens à tout moment et en tout lieu. Le système a été créé à l'initiative de la Banque centrale de la Fédération de Russie et du Ministère du développement numérique, des télécommunications et des médias de masse de la Fédération de Russie. Rostelecom est le développeur et l'exploitant du système biométrique unifié.
Un système biométrique unique, ainsi qu'un nom d'utilisateur et un mot de passe des services de l'État, permettent aux banques d'ouvrir un compte, de déposer ou de lui accorder un prêt sans présence personnelle. Ainsi, les banques peuvent achever la numérisation du parcours client, et les citoyens ont la possibilité de numériser leur testament et de signer à distance des documents.
Un système biométrique unique traite deux types de biométrie: la voix et le visage, et non séparément, mais ensemble . Deux modalités vous permettent de définir une «personne vivante», plutôt que d'imiter sa biométrie sur un canal numérique.
Le visage et la voix sont les technologies les plus abordables et les plus courantes à ce jour. L'identification par motif veineux, rétine ou empreinte digitale nécessite un équipement de lecture spécial non disponible dans le segment de masse. Mais la disponibilité de la technologie aujourd'hui n'est pas un facteur limitant pour leur utilisation future. L'architecture du système vous permet d'ajouter d'autres modalités.
...
Rostelecom est l'un des leaders du marché de la cybersécurité; par conséquent, le système est doté d'un haut niveau de protection.
L'application mobile
«Key» pour Android a déjà été lancée pour l'identification à distance des clients des banques russes. L'application fonctionne conjointement avec un compte sur le portail des services publics, tout en analysant la voix et le visage de l'utilisateur. À en juger par les avis sur Google Play, l'application est extrêmement instable, y compris en utilisant un certificat non valide.
De manière générale, la collecte d'informations biométriques sur les citoyens devient progressivement la norme dans le monde. Après l'acte terroriste du 11/09, des représentants de 188 pays du monde ont signé un accord reconnaissant la biométrie faciale comme la principale technologie d'identification des passeports et visas d'entrée de la prochaine génération. Une puce est cousue dans des passeports biométriques, où elle est censée enregistrer les empreintes digitales, une photo de la rétine, la distance entre les élèves et d'autres informations biométriques du propriétaire.
Les tendances sont telles que la vérification biométrique devient progressivement une procédure standard, et l'État assume la fonction de collecte et de stockage des données biométriques des citoyens. Peut-être que la vérification biométrique sera appliquée à divers services Internet.
Pour améliorer les systèmes de sécurité et d'authentification, y compris avec la vérification biométrique, il est important de se rappeler l'essentiel:
L'anonymat est un droit humain fondamental
En mai 2015, le Conseil des droits de l'homme des Nations Unies a adopté un
document qui appelle explicitement la possibilité d'une utilisation anonyme d'Internet et du cryptage des données personnelles comme faisant partie des droits humains fondamentaux:
Le chiffrement et l'anonymat permettent aux individus d'exercer leur droit à la liberté de pensée et d'expression à l'ère numérique et doivent être soigneusement protégés.
L'introduction généralisée des passeports biométriques a commencé après les attentats du 11 septembre. Depuis lors, la situation de la vie privée s'est nettement détériorée sous prétexte de lutter contre le terrorisme. L'ONU a noté que l'anonymat sur Internet peut être utilisé par les cybercriminels pour organiser des attaques terroristes, mais avec le même succès, des délits peuvent être commis en utilisant d'autres canaux de communication.
En raison du nombre limité de criminels, toutes les autres personnes ne peuvent se voir refuser le droit fondamental , estime l'organisation.
En d'autres termes, lors de l'introduction de systèmes d'authentification avancés et de contrôles biométriques, il est important de ne pas éclabousser avec l'eau et l'enfant, c'est-à-dire assurer la protection appropriée des données personnelles des utilisateurs, en particulier de leurs informations biométriques.
