Os especialistas sabem que a autenticação de senha unidirecional está desatualizada. Sim, é adequado para sistemas insignificantes como o Habr, mas ativos realmente valiosos são inaceitáveis para proteger dessa maneira. Não há senhas “fortes” e “fortes”, mesmo uma frase de senha criptográfica com 44 bits de entropia é de pouca utilidade se não for suportada por outros fatores de autenticação.
Fatores de autenticação:- "Algo que você conhece" - por exemplo, uma senha
- "Algo que você tem" - por exemplo, um telefone celular ou token PKI
- "Algo que você é" - como caligrafia do teclado ou outros recursos biométricos
Inúmeros vazamentos de banco de dados com informações pessoais de usuários e funcionários de grandes organizações são mais uma prova disso. De acordo com o
Relatório de investigações de violação de dados da Verizon,
81% de todos os sistemas de informações
invadidos e vazamentos de dados em 2017 foram
causados por contas comprometidas. Ou seja, senhas "roubadas" ou "distorcidas".
Mas por questões de segurança e autenticação mais avançada, você precisa sacrificar alguma coisa. Infelizmente, a privacidade do usuário pode sofrer. Algumas tecnologias modernas incluem o monitoramento do comportamento humano ou a coleta de dados biométricos.
Se implementados incorretamente, esses sistemas de segurança podem se transformar em algum tipo de Big Brother, onde será quase
impossível garantir a segurança, mantendo o anonimato .
Novos métodos de autenticação
Até a versão mais recente do
reCAPTCHA v3 , anunciada oficialmente oficialmente pelo Google, usa métodos de análise comportamental, ou seja,
controla secretamente as ações do usuário .
Do ponto de vista do webmaster, o sistema funciona assim: junto com a página, o usuário recebe a biblioteca reCAPTCHA e a função
grecaptcha.execute é
grecaptcha.execute . O usuário não percebe nada - mas a partir desse momento, suas ações começam a ser monitoradas pelos servidores do Google, e o proprietário do site recebe uma classificação de um usuário específico em uma escala de 0,0 (bot) a 1,0 (pessoa).
Com base nessa classificação, você pode proibir automaticamente a autenticação ou outras ações no site. Por exemplo, somente usuários com uma classificação maior que 0,5 podem entrar na página com entrada de dados de senha.
Embora o reCAPTCHA não seja especificamente um sistema de autenticação, é uma boa demonstração de análise comportamental, análise
avançada de risco ou um modelo de autenticação baseado em risco. Essa é uma abordagem popular nos novos sistemas de autenticação atualmente
disponíveis no mercado . Veja como os fornecedores descrevem uma abordagem baseada em risco:
“A necessidade de autenticação, o conjunto e o tipo de fatores necessários para autenticar esse cliente são determinados com base na avaliação de risco do evento e do cliente aqui e agora. Assim, o processo de autenticação se adapta ao cliente, seu ambiente e dispositivo. Com um alto nível de confiança nesses fatores, o procedimento de autenticação geralmente é invisível (na verdade, é apenas uma identificação) ou mínimo para o cliente. Se um risco for identificado, o cliente deverá se autenticar usando um ou mais fatores e, com uma alta probabilidade de fraude, o acesso aos serviços será completamente bloqueado. ”
O princípio da análise comportamental em segundo plano é um pouco como o algoritmo reCAPTCHA v3.
De fato, a idéia é implementar a autenticação multifatorial, mantendo ou mesmo
melhorando a experiência do usuário. Por exemplo, se você efetuar login no sistema de Internet banking a partir de um dispositivo conhecido, de um local típico e o sistema reconhecer a letra do teclado de uma pessoa, eles poderão entrar no sistema sem uma senha.
Outro exemplo: ao pagar com uma conta pessoal, o sistema não solicita confirmação adicional para operações padrão que o cliente já concluiu. O segundo e / ou terceiro fator de autenticação são solicitados quando um novo pagamento é feito a uma nova contraparte. Obviamente, um pagamento não padrão aumenta a probabilidade de alguém receber acesso não autorizado a uma conta.
Biometria na Rússia
Sim, a análise comportamental com vigilância oculta das ações do usuário parece ser uma tecnologia duvidosa, mas com a implementação adequada ainda permite manter o anonimato de uma pessoa e, ao mesmo tempo, fornecer autenticação no sistema. Outra coisa é a coleta de dados biométricos, que implicam inerentemente na rejeição do anonimato.
Máscaras impressas em 3D permitem enganar a verificação biométrica em telefones iPhone XParticularmente preocupante é a iniciativa de implantar a identificação biométrica na Rússia, onde vazamentos de bancos de dados com dados pessoais de cidadãos
se tornaram comuns .
Em um fórum recente de tecnologias financeiras inovadoras Finopolis 2018, eles
disseram que na Rússia "a fase de discussão estratégica do sistema de identificação biométrica foi concluída" e agora começou a implementação prática dessa tecnologia, que levará "pelo menos três anos".
Estamos falando do
Sistema Biométrico Unificado , que conecta grandes bancos e outras organizações da Federação Russa. Na primeira etapa, há uma enorme coleta de dados biométricos da população, o trabalho é coordenado pela Rostelecom.
No site oficial do projeto:
O Sistema Biométrico Unificado é uma plataforma digital para identificação biométrica remota, que permite fornecer novos serviços comerciais e governamentais digitais para os cidadãos a qualquer hora, em qualquer lugar. O sistema foi criado por iniciativa do Banco Central da Federação Russa e do Ministério do Desenvolvimento Digital, Telecomunicações e Meios de Comunicação de Massa da Federação Russa.Rostelecom é a desenvolvedora e operadora do Sistema Biométrico Unificado.
Um único sistema biométrico, junto com um nome de usuário e senha dos Serviços do Estado, permite que os bancos abram uma conta, depositem ou concedam um empréstimo a ele sem uma presença pessoal. Assim, os bancos podem concluir a digitalização do caminho do cliente, e os cidadãos têm a oportunidade de digitalizar sua vontade e assinar remotamente os documentos.
Um único sistema biométrico processa dois tipos de biometria: voz e rosto, e não separadamente, mas juntos . Duas modalidades permitem definir uma "pessoa viva", em vez de imitar sua biometria em um canal digital.
O rosto e a voz são as tecnologias mais acessíveis e comuns até o momento. A identificação por padrão de veia, retina ou impressão digital requer equipamento de leitura especial não disponível no segmento de massa. Mas a disponibilidade da tecnologia hoje não é um fator limitante para seu uso no futuro. A arquitetura do sistema permite adicionar outras modalidades.
...
A Rostelecom é uma das líderes no mercado de segurança cibernética, portanto, o sistema possui um alto nível de proteção.
O aplicativo móvel
“Key” para Android já foi lançado para identificação remota de clientes de bancos russos. O aplicativo trabalha em conjunto com uma conta no portal de serviços públicos, enquanto verifica a voz e o rosto do usuário. A julgar pelos comentários no Google Play, o aplicativo é extremamente instável, incluindo o uso de um certificado inválido.
Em geral, a coleta de informações biométricas sobre os cidadãos está gradualmente se tornando a norma em todo o mundo. Após o ato terrorista de 11/09, representantes de 188 países do mundo assinaram um acordo reconhecendo a biometria facial como a principal tecnologia de identificação para passaportes e vistos de entrada da próxima geração. Um chip é costurado nos passaportes biométricos, onde é suposto registrar impressões digitais, uma foto da retina, a distância entre os alunos e outras informações biométricas do proprietário.
As tendências são tais que a verificação biométrica está gradualmente se tornando um procedimento padrão, e o estado assume a função de coletar e armazenar dados biométricos dos cidadãos. Talvez a verificação biométrica seja aplicada a vários serviços da Internet.
Melhorando os sistemas de segurança e autenticação, inclusive com verificação biométrica, é importante lembrar o principal:
O anonimato é um direito humano básico
Em maio de 2015, o Conselho de Direitos Humanos da ONU adotou um
documento que chama explicitamente a possibilidade de uso anônimo da Internet e criptografia de dados pessoais como parte dos direitos humanos básicos:
Criptografia e anonimato permitem que indivíduos exerçam seu direito à liberdade de pensamento e expressão na era digital e devem ser cuidadosamente protegidos.
A introdução generalizada de passaportes biométricos começou após os ataques de 11 de setembro. Desde então, a situação da privacidade se deteriorou acentuadamente sob o pretexto de combater o terrorismo. A ONU observou que o anonimato na Internet pode ser usado por criminosos cibernéticos para organizar ataques terroristas, mas com o mesmo sucesso, crimes podem ser cometidos usando outros canais de comunicação.
Devido ao número limitado de criminosos, todas as outras pessoas não podem ter o direito básico negado , acredita a organização.
Em outras palavras, ao introduzir sistemas avançados de autenticação e verificações biométricas, é importante não espirrar na água e na criança, ou seja, garantir a proteção adequada dos dados pessoais dos usuários, especialmente suas informações biométricas.
