Это один из печальных фактов мобильной аутентификации, который в отрасли изначально склонен поддерживать наименее эффективные варианты безопасности. Следовательно, телефоны изначально поддерживали аутентификацию на основе отпечатков пальцев (на которые могут повлиять рецепты, чистящие средства, травмы рук и десятки других факторов), а затем перешли к распознаванию лиц.
Теоретически распознавание лиц должно быть более точным. С математической точки зрения это справедливо, поскольку он исследует гораздо больше точек данных, чем сканирование отпечатка пальца. Но реальность в реальном мире гораздо более проблематична. Он требует точного расстояния от телефона и при этом не предлагает маркеров предварительного сканирования, чтобы пользователь мог знать, когда он ударил его правильно. Это одна из причин, по которой я вижу, что функция распознавания лиц отклоняет сканирование примерно в 40% случаев — даже если через две секунды оно подтверждает положительный результат сканирования.
На раннем этапе развертывания Apple члены семьи могли иногда разблокировать телефоны друг друга. Это касалось не только однояйцевых близнецов. Даже матери и сыновья могут пройти «аутентификацию» распознавания лиц .
Но недавний случай в Китае показывает, что проблемы с распознаванием лиц у Apple по-прежнему серьезны. В Китае мужчина подошел к спящей женщине (своей бывшей девушке), открыл ей веки, получил зеленый свет на распознавание лиц и смог снять деньги с ее банковского счета .
Во-первых, это вряд ли один из лучших способов вернуться к бывшему. Но с точки зрения кибербезопасности это подтверждает тот факт, что мобильные устройства нуждаются в гораздо более строгих методах аутентификации.
Лучшим способом было бы использовать более слабые методы, такие как пароли, PIN-коды и более слабые биометрические данные, для удобного доступа к низкоприоритетным учетным записям, например разблокировка телефона для проверки прогноза погоды . Но для доступа к банкам / деньгам, входа в социальные сети и любого подключения к корпоративным системам должна потребоваться поведенческая аналитика.
Сама природа поведенческой аналитики затрудняет проведение аналитики. вор, чтобы выдать себя за человека. Можно отвести палец без сознания или откинуть веко при условии, что вор имеет физический доступ к пользователю и телефону. К сожалению, PIN-коды легко украсть через плечевой серфинг, особенно для тех, у кого есть расширенный физический доступ.
Но имитируя, сколько опечаток этот пользователь делает каждые 100 слов? Или их точная скорость набора текста? Или под углом, под которым они держат телефон? Они персонализированы, и их сложно подделать. Да, некоторые факторы поведенческой аналитики легко подделать, включая IP-адрес пользователя, местоположение и отпечаток пальца телефона. Вот почему при развертывании поведенческой аналитики необходимо использовать как можно больше факторов, сочетая факторы, которые легко подделать, и факторы, которые сложно подделать.
Одна из лучших особенностей поведенческой аналитики — это то, что она работает бесшумно в фоновом режиме, а это означает, что она почти настолько же проста (для пользователя), насколько и практична. Он предлагает лучшее из обоих миров: это гораздо более строгий и надежный метод аутентификации, но он проще для пользователей, чем пароль или биометрические данные.
Что касается ИТ, то отсутствие трения делает пользователей более восприимчивыми. Кроме того, эта «фоновая» природа еще больше усложняет задачу для вора / злоумышленника, потому что злоумышленник не может быть уверен, что система проверяет в любой момент.
Вот почему ИТ-директорам и директорам по информационной безопасности не следует сильно доверять биометрии. Даже самые жестокие и агрессивные методы атаки — такие как приставление пистолета к голове пользователя и приказ ему получить доступ к конфиденциальным корпоративным файлам — можно предотвратить с помощью поведенческой аналитики. Если страх и нервозность от такой атаки увеличивают количество опечаток и замедляют скорость набора текста, этого может быть достаточно, чтобы связаться с руководителем. Если этот супервизор затем запросит видеосеанс, чтобы убедиться, что все в порядке, это может заставить злоумышленника уйти. (Это особенно верно, если злоумышленник подозревает, что супервизор уже послал полицию и использует вопросы видеосессии, чтобы просто потянуть время.)
Причина, по которой это такая критическая проблема для К 2022 году неуклонный рост мобильного доступа к вашим наиболее конфиденциальным базам данных на предприятии (включая корпоративные облачные учетные записи), вероятно, будет продолжать расти. Сейчас мы находимся в точке, где ИТ-специалисты больше не могут рассчитывать на достаточную защиту настольных компьютеров. Даже если ИТ-отдел выдал ноутбуки всем сотрудникам с достаточными привилегиями, нет компании, которая препятствовала бы доступу к мобильным устройствам. Поскольку в этом году путешествия на некоторых участках медленно возвращаются, проблемы, связанные с дорожным воином, вернутся. Однако теперь злоумышленники — особенно те, кто проявляет особый интерес к вашим системам — будут все больше сосредоточены на этих мобильных взаимодействиях.
Самое популярное и аморфное модное словечко в области кибербезопасности в наши дни это нулевое доверие. Любое значимое развертывание Zero Trust должно начинаться с гораздо более надежного подхода к аутентификации, наряду с жестким анализом управления доступом / контролем привилегий. В мобильных устройствах аутентификация должна быть подавляющим приоритетом. Путь наименьшего сопротивления — просто использовать встроенную аутентификацию мобильного устройства. Это может работать как долго как биометрия — это всего лишь половина — изучена дюжина факторов.
Если вы все еще настроены скептически, вам нужно встретиться с бывшим парнем из Китая.
Авторские права © 2022 IDG Communications, Inc.
