专家知道单向密码认证已过时。 是的,它适用于诸如Habr之类的微不足道的系统,但是以这种方式进行保护的真正有价值的资产是不可接受的。 没有“强”和“强”密码,即使其他身份验证因素不支持,即使具有44位熵的密码密码短语也很少使用。
认证因素:- “您知道的事”-例如密码
- “您拥有的东西”-例如,手机或PKI令牌
- “您正在做的事”-例如键盘手写或其他生物特征
大型组织的用户和员工的大量个人信息泄露导致数据库泄漏,这进一步证明了这一点。 根据Verizon的《
数据泄露调查报告》 ,2017年
所有被入侵的信息系统和数据泄漏中,有
81%是
由帐户
遭到破坏
引起的 。 也就是说,“被盗”或“扭曲”密码。
但是为了安全性和更高级的身份验证,您必须牺牲一些东西。 不幸的是,用户隐私可能会受到影响。 一些现代技术包括监视人类行为或收集生物识别数据。
如果实施不正确,则此类安全系统可能会变成某种“老大哥”,几乎
不可能在确保安全性的同时保持匿名性 。
新的身份验证方法
即使是最近由Google正式宣布的
reCAPTCHA v3的最新版本,也使用行为分析的方法,也就是说,它
秘密地跟踪用户的行为 。
从网站管理员的角度来看,系统的工作方式如下:与页面一起,为用户提供了reCAPTCHA库,并
grecaptcha.execute了
grecaptcha.execute函数。 用户什么都没注意到-但是从那一刻开始,他的行为开始受到Google服务器的监视,并且为网站所有者赋予了特定用户的评分,评分范围是0.0(机器人)到1.0(人)。
根据此评级,您可以自动在站点上禁止身份验证或其他操作。 例如,仅允许评分高于0.5的用户进入带有密码数据输入的页面。
尽管reCAPTCHA并不是专门的身份验证系统,但是它很好地演示了行为分析,
高级风险分析或基于风险的身份验证模型。 这是当前
市场上新的身份验证系统中流行的方法。 以下是供应商描述基于风险的方法的方式:
“对身份验证的需求,对这个客户进行身份验证所需的因素集和类型,是基于对事件和客户的风险评估来确定的。 因此,身份验证过程适用于客户端,其环境和设备。 在对这些因素高度信任的情况下,身份验证过程通常对客户端是不可见的(实际上,这只是一种标识),而对于客户端来说则最少。 如果识别出风险,则客户必须使用一种或多种因素进行身份验证,并且欺诈的可能性很高,将完全阻止对服务的访问。”
背景行为分析的原理有点像reCAPTCHA v3算法。
实际上,该想法是在保持甚至
改善用户体验的同时实现多因素身份验证。 例如,如果您从典型位置的已知设备登录Internet银行系统,并且系统识别出某人的键盘笔迹,则可以完全不用密码就允许他们进入系统。
另一个示例:从个人帐户付款时,系统不会要求客户进一步确认标准操作。 当向新交易对手进行新付款时,请求第二和/或第三认证因子。 显然,非标准付款会增加有人收到未经授权访问帐户的可能性。
俄罗斯的生物识别
是的,对用户行为进行隐藏监视的行为分析似乎是一种可疑的技术,但是通过适当的实施,它仍然可以使您保持个人的匿名性,同时在系统中提供身份验证。 另一件事是生物识别数据的收集,这固有地意味着拒绝匿名。
3D打印的面罩可让您愚弄 iPhone X手机中的生物特征验证特别值得关注的是在俄罗斯部署生物识别技术的倡议,那里的公民个人数据数据库泄漏
已变得司空见惯 。
在最近的创新金融技术论坛Finopolis 2018上,他们
说在俄罗斯“生物识别系统的战略讨论阶段已经完成”,现在这项技术的实际实施已经开始,将需要“至少三年”。
我们正在谈论
统一生物识别系统 ,该
系统将大型银行与俄罗斯联邦的其他组织连接起来。 在第一阶段,从人口中收集了大量的生物统计数据,这项工作由Rostelecom协调。
从项目的官方网站:
统一生物识别系统是用于远程生物识别的数字平台,使您可以随时随地为市民提供新的数字商业和政府服务。 该系统是在俄罗斯联邦中央银行和俄罗斯联邦数字发展,电信与大众传播部的倡议下创建的,Rostelecom是统一生物识别系统的开发商和运营商。
单一的生物识别系统,以及国家服务局的用户名和密码,使银行无需亲自到场即可开户,存款或向他提供贷款。 这样,银行就可以完成客户路径的数字化,公民有机会将其意愿数字化并远程签署文件。
单个生物识别系统处理两种类型的生物识别:语音和面部识别,不是分开而是一起进行 。 您可以通过两种方式定义“活人”,而不是在数字渠道中模仿其生物特征。
脸部和语音是迄今为止最便宜且最常见的技术。 通过静脉模式,视网膜或指纹识别需要质量部分中没有的专用读取设备。 但是,当今的技术可用性并不是将来使用它们的限制因素。 系统体系结构允许您添加其他方式。
...
Rostelecom是网络安全市场的领导者之一;因此,该系统提供了高水平的保护。
Android的
“ Key”移动应用程序已经发布,可以远程识别俄罗斯银行的客户。 该应用程序与公共服务门户上的帐户一起使用,同时它扫描用户的声音和面孔。 从Google Play上的评论来看,该应用程序非常不稳定,包括使用无效的证书。
通常,关于公民的生物识别信息的收集正在逐渐成为全世界的常态。 在11/09恐怖行为之后,世界188个国家的代表签署了一项协议,承认人脸生物识别技术是下一代护照和入境签证的主要识别技术。 芯片被缝入生物特征护照中,用来记录指纹,视网膜照片,瞳孔之间的距离以及所有者的其他生物特征信息。
这种趋势使得生物特征认证逐渐成为一种标准程序,并且国家承担起收集和存储公民生物特征数据的功能。 也许生物识别验证将应用于各种Internet服务。
改善安全性和身份验证系统,包括生物特征验证,记住以下要点很重要:
匿名是一项基本人权
2015年5月,联合国人权理事会通过了
一份文件 ,明确要求匿名使用互联网和加密个人数据是基本人权的一部分:
加密和匿名性使个人可以在数字时代行使其思想和表达自由的权利,必须予以认真保护。
9月11日袭击之后,开始广泛使用生物特征护照。 从那时起,以打击恐怖主义为借口,隐私状况明显恶化。 联合国指出,网络犯罪分子可以利用互联网上的匿名组织恐怖袭击,但同样成功的是,可以使用其他通信渠道进行犯罪。 该组织认为,
由于罪犯数量有限,因此不能剥夺所有其他人的基本权利 。
换句话说,在引入高级身份验证系统和生物特征检查时,重要的是不要溅水和儿童,即确保适当保护用户的个人数据,尤其是他们的生物特征信息。
