Spesialis tahu bahwa otentikasi kata sandi satu arah sudah usang. Ya, ini cocok untuk sistem yang tidak signifikan seperti Habr, tetapi aset yang sangat berharga tidak dapat diterima untuk dilindungi dengan cara ini. Tidak ada kata sandi "kuat" dan "kuat", bahkan frasa kata sandi kriptografis dengan 44 bit entropi tidak banyak berguna jika tidak didukung oleh faktor otentikasi lainnya.
Faktor Otentikasi:- “Something You Know” - misalnya, kata sandi
- "Sesuatu yang Anda Miliki" - misalnya, ponsel atau token PKI
- "Something You Are" - seperti tulisan tangan keyboard atau fitur biometrik lainnya
Banyak kebocoran basis data dengan informasi pribadi dari pengguna dan karyawan organisasi besar adalah bukti lebih lanjut dari ini. Menurut
Laporan Investigasi Pelanggaran Data Verizon,
81% dari semua sistem informasi yang
diretas dan kebocoran data pada tahun 2017
disebabkan oleh akun yang dikompromikan. Yaitu, kata sandi "curian" atau "bengkok".
Tetapi demi keamanan dan otentikasi yang lebih canggih, Anda harus mengorbankan sesuatu. Sayangnya, privasi pengguna mungkin menderita. Beberapa teknologi modern termasuk memantau perilaku manusia atau mengumpulkan data biometrik.
Jika diterapkan secara tidak benar, sistem keamanan semacam itu dapat berubah menjadi semacam Big Brother, di mana hampir
tidak mungkin untuk memastikan keamanan, sambil mempertahankan anonimitas .
Metode otentikasi baru
Bahkan versi terbaru dari
reCAPTCHA v3 , yang baru-baru ini diumumkan secara resmi oleh Google, menggunakan metode analisis perilaku, yaitu, secara
diam -
diam melacak tindakan pengguna .
Dari sudut pandang webmaster, sistem bekerja seperti ini: bersama dengan halaman, pengguna diberi perpustakaan reCAPTCHA dan fungsi
grecaptcha.execute . Pengguna tidak melihat apa-apa - tetapi sejak saat itu, tindakannya mulai dipantau oleh server Google, dan pemilik situs diberi peringkat pengguna tertentu pada skala dari 0,0 (bot) hingga 1,0 (orang).
Berdasarkan peringkat ini, Anda dapat secara otomatis melarang otentikasi atau tindakan lain di situs. Misalnya, hanya pengguna dengan peringkat lebih tinggi dari 0,5 yang diizinkan memasuki halaman dengan entri data kata sandi.
Meskipun reCAPTCHA tidak secara khusus merupakan sistem otentikasi, ini adalah demonstrasi yang baik dari analisis perilaku,
analisis risiko tingkat lanjut atau model otentikasi berbasis risiko. Ini adalah pendekatan populer dalam sistem otentikasi baru yang saat ini ada
di pasaran . Inilah cara pemasok menggambarkan pendekatan berbasis risiko:
“Kebutuhan untuk otentikasi, set dan jenis faktor yang diperlukan untuk mengotentikasi klien ini, ditentukan berdasarkan penilaian risiko dari peristiwa dan klien di sini dan sekarang. Dengan demikian, proses otentikasi beradaptasi dengan klien, lingkungan dan perangkatnya. Dengan tingkat kepercayaan yang tinggi pada faktor-faktor ini, prosedur otentikasi umumnya tidak terlihat (pada kenyataannya, itu hanya identifikasi) atau minimal untuk klien. Jika suatu risiko teridentifikasi, klien harus mengautentikasi menggunakan satu atau lebih faktor, dan dengan kemungkinan penipuan yang tinggi, akses ke layanan akan sepenuhnya diblokir. "
Prinsip analisis perilaku latar belakang agak mirip dengan algoritma reCAPTCHA v3.
Bahkan, idenya adalah untuk menerapkan otentikasi multi-faktor, sambil mempertahankan atau bahkan
meningkatkan pengalaman pengguna. Misalnya, jika Anda masuk ke sistem perbankan Internet dari perangkat yang dikenal, dari tempat biasa, dan sistem mengenali tulisan tangan keyboard seseorang, maka mereka dapat diizinkan masuk ke sistem tanpa kata sandi sama sekali.
Contoh lain: ketika membayar dari akun pribadi, sistem tidak meminta konfirmasi tambahan untuk operasi standar yang telah diselesaikan klien. Faktor otentikasi kedua dan / atau ketiga diminta ketika pembayaran baru dilakukan ke rekanan baru. Jelas, pembayaran non-standar meningkatkan kemungkinan seseorang menerima akses tidak sah ke akun.
Biometrik di Rusia
Ya, analisis perilaku dengan pengawasan tersembunyi terhadap tindakan pengguna tampaknya merupakan teknologi yang meragukan, tetapi dengan penerapan yang tepat hal ini memungkinkan Anda untuk mempertahankan anonimitas seseorang dan pada saat yang sama memberikan otentikasi dalam sistem. Hal lain adalah pengumpulan data biometrik, yang secara inheren menyiratkan penolakan anonimitas.
Masker yang dicetak 3D memungkinkan Anda mengelabui verifikasi biometrik di ponsel iPhone XYang menjadi perhatian khusus adalah inisiatif untuk menyebarkan identifikasi biometrik di Rusia, di mana database bocor dengan data pribadi warga
telah menjadi hal biasa .
Pada forum teknologi keuangan inovatif Finopolis 2018 baru-baru ini, mereka
mengatakan bahwa di Rusia "tahap diskusi strategis sistem identifikasi biometrik telah selesai", dan sekarang implementasi praktis dari teknologi ini telah dimulai, yang akan memakan waktu "setidaknya tiga tahun."
Kita berbicara tentang
Unified Biometric System , yang menghubungkan bank-bank besar dan organisasi lain dari Federasi Rusia. Pada tahap pertama, ada koleksi besar data biometrik dari populasi, pekerjaan ini dikoordinasikan oleh Rostelecom.
Dari situs web resmi proyek:
Unified Biometric System adalah platform digital untuk identifikasi biometrik jarak jauh, yang memungkinkan Anda memberikan layanan komersial dan pemerintah digital baru untuk warga negara kapan saja, di mana saja. Sistem ini dibuat atas prakarsa Bank Sentral Federasi Rusia dan Kementerian Pengembangan Digital, Telekomunikasi dan Media Massal Federasi Rusia.Relelecom adalah pengembang dan operator Unified Biometric System.
Sistem biometrik tunggal, bersama dengan nama pengguna dan kata sandi dari Layanan Negara, memungkinkan bank untuk membuka rekening, menyimpan atau memberikan pinjaman kepadanya tanpa kehadiran pribadi. Dengan demikian, bank dapat menyelesaikan digitalisasi jalur klien, dan warga negara memiliki kesempatan untuk mendigitalkan keinginan mereka dan menandatangani dokumen dari jarak jauh.
Sistem biometrik tunggal memproses dua jenis biometrik: suara dan wajah, dan tidak secara terpisah, tetapi bersama-sama . Dua modalitas memungkinkan Anda untuk menentukan "orang yang hidup," daripada meniru biometriknya dalam saluran digital.
Wajah dan suara adalah teknologi yang paling terjangkau dan umum hingga saat ini. Identifikasi dengan pola vena, retina, atau sidik jari memerlukan alat bacaan khusus yang tidak tersedia di segmen massa. Namun ketersediaan teknologi saat ini bukan merupakan faktor pembatas untuk penggunaannya di masa depan. Arsitektur sistem memungkinkan Anda untuk menambah modalitas lain.
...
Rostelecom adalah salah satu pemimpin di pasar keamanan siber, oleh karena itu sistem ini dilengkapi dengan tingkat perlindungan yang tinggi.
Aplikasi seluler
"Kunci" untuk Android telah dirilis untuk identifikasi jarak jauh pelanggan bank Rusia. Aplikasi ini bekerja bersama dengan akun di portal layanan publik, sementara itu memindai suara dan wajah pengguna. Dilihat oleh ulasan di Google Play, aplikasi ini sangat tidak stabil, termasuk menggunakan sertifikat yang tidak valid.
Secara umum, pengumpulan informasi biometrik tentang warga secara bertahap menjadi norma di seluruh dunia. Setelah aksi teroris 11/09, perwakilan dari 188 negara di dunia menandatangani perjanjian yang mengakui biometrik wajah sebagai teknologi identifikasi utama untuk paspor dan visa masuk generasi berikutnya. Sebuah chip dijahit menjadi paspor biometrik, di mana ia seharusnya merekam sidik jari, foto retina, jarak antara pupil dan informasi biometrik lainnya dari pemilik.
Kecenderungannya sedemikian rupa sehingga verifikasi biometrik secara bertahap menjadi prosedur standar, dan negara mengambil fungsi mengumpulkan dan menyimpan data biometrik warga. Mungkin verifikasi biometrik akan diterapkan ke berbagai layanan Internet.
Meningkatkan sistem keamanan dan otentikasi, termasuk dengan verifikasi biometrik, penting untuk mengingat hal utama:
Anonimitas adalah hak dasar manusia
Pada Mei 2015, Dewan Hak Asasi Manusia PBB mengadopsi
dokumen yang secara eksplisit menyebut kemungkinan penggunaan Internet secara anonim dan enkripsi data pribadi untuk menjadi bagian dari hak asasi manusia:
Enkripsi dan anonimitas memungkinkan individu untuk menggunakan hak mereka untuk kebebasan berpikir dan berekspresi di era digital dan harus dilindungi dengan hati-hati.
Pengenalan luas paspor biometrik dimulai setelah serangan 11 September. Sejak itu, situasi privasi semakin memburuk dengan dalih memerangi terorisme. PBB mencatat bahwa anonimitas di Internet dapat digunakan oleh penjahat cyber untuk mengatur serangan teroris, tetapi dengan keberhasilan yang sama, kejahatan dapat dilakukan dengan menggunakan saluran komunikasi lain.
Karena terbatasnya jumlah penjahat, semua orang tidak dapat ditolak hak dasarnya , organisasi percaya.
Dengan kata lain, ketika memperkenalkan sistem otentikasi canggih dan pemeriksaan biometrik, penting untuk tidak memercik dengan air dan anak, yaitu, memastikan perlindungan yang tepat dari data pribadi pengguna, terutama informasi biometrik mereka.
