認証とパスワードはどうなりますか? Javelin レポート「強力な認証の状態」のコメント付き翻訳

レポートのタイトルのネタバレです。「新たなリスクと規制要件の脅威により、強力な認証の使用が増加しています。」
調査会社「Javelin Strategy & Research」は、レポート「2019年強力な認証の現状」を発表した（ PDF形式のオリジナルはここからダウンロードできます）。 このレポートには次のことが記載されています: アメリカとヨーロッパの企業の何パーセントがパスワードを使用しているか (そして、現在パスワードを使用している人がほとんどいない理由)。 暗号トークンに基づく XNUMX 要素認証の使用がなぜこれほど急速に増加しているのか。 SMS 経由で送信されたワンタイム コードが安全ではない理由。

企業および消費者向けアプリケーションにおける認証の現在、過去、未来に興味がある方はどなたでも歓迎です。

翻訳者より

残念ながら、このレポートが書かれている言語は非常に「無味乾燥」で形式的です。 そして、短い文の中に「認証」という言葉が XNUMX 回も使われているのは、翻訳者の曲がった手 (または頭脳) ではなく、著者の気まぐれです。 読者に原文に近い文章を提供するため、またはより興味深い文章を提供するための XNUMX つの選択肢から翻訳するとき、私は最初の文章を選択することもあれば、XNUMX 番目の文章を選択することもありました。 しかし、親愛なる読者の皆さん、辛抱強く待ってください。このレポートの内容にはそれだけの価値があります。

ストーリーにとって重要ではない不要な部分がいくつか削除されました。そうでなければ、大部分がテキスト全体を理解することができなかったでしょう。 レポートを「ノーカット」で読みたい方は、リンクをクリックして元の言語で読むことができます。

残念ながら、著者は用語に常に注意しているわけではありません。 したがって、ワンタイム パスワード (ワンタイム パスワード - OTP) は「パスワード」と呼ばれることもあれば、「コード」と呼ばれることもあります。 認証方法に関してはさらに悪いことです。 訓練されていない読者にとって、「暗号キーを使用した認証」と「強力な認証」が同じものであることを推測するのは必ずしも容易ではありません。 可能な限り用語を統一するよう努めましたが、報告書自体には用語の説明が断片的に記載されています。

それにもかかわらず、このレポートにはユニークな研究結果と正しい結論が含まれているため、一読することを強くお勧めします。

すべての数字と事実はわずかな変更なしで提示されており、それらに同意できない場合は、翻訳者ではなくレポートの著者と議論することをお勧めします。 そして、これが私のコメントです（引用としてレイアウトされ、テキスト内でマークされています） イタリアの) は私の価値判断であり、それぞれについて (翻訳の品質についても同様に) 喜んで議論させていただきます。

Обзор

今日、顧客とのコミュニケーションのデジタル チャネルは企業にとってこれまで以上に重要になっています。 そして社内では、従業員間のコミュニケーションがこれまで以上にデジタル志向になっています。 これらのやり取りの安全性は、選択したユーザー認証方法によって異なります。 攻撃者は弱い認証を使用してユーザー アカウントを大規模にハッキングします。 これに応えて、規制当局は企業にユーザーアカウントとデータの保護を強化するよう基準を厳格化している。

認証関連の脅威は消費者向けアプリケーションを超えて広がり、攻撃者は企業内で実行されているアプリケーションにもアクセスできるようになります。 この操作により、企業ユーザーになりすますことが可能になります。 認証が弱いアクセス ポイントを使用する攻撃者は、データを盗んだり、その他の不正行為を実行したりする可能性があります。 幸いなことに、これに対処するための対策があります。 強力な認証は、コンシューマー アプリケーションとエンタープライズ ビジネス システムの両方に対する攻撃者による攻撃のリスクを大幅に軽減するのに役立ちます。

この調査では、企業がエンドユーザー アプリケーションと企業ビジネス システムを保護するために認証をどのように実装するかについて調査します。 認証ソリューションを選択する際に考慮する要素。 強力な認証が組織内で果たす役割。 これらの組織が得られる利益。

サマリー

主な調査結果

2017 年以降、強力な認証の使用が急激に増加しました。 従来の認証ソリューションに影響を与える脆弱性の数が増加しているため、組織は強力な認証によって認証機能を強化しています。 暗号化多要素認証 (MFA) を使用する組織の数は、コンシューマー アプリケーションでは 2017 年以来 50 倍に増加し、エンタープライズ アプリケーションでは XNUMX% 近く増加しました。 生体認証の利用可能性が高まっていることにより、モバイル認証が最も急速に成長しています。

ここには、「雷が落ちるまでは、人は自分を越えることはない」ということわざが例えられています。 専門家がパスワードの安全性の危険性について警告したとき、二要素認証の導入を急ぐ人は誰もいませんでした。 ハッカーがパスワードを盗み始めるとすぐに、人々は XNUMX 要素認証を実装し始めました。

確かに、個人は 2FA をより積極的に導入しています。 まず、スマートフォンに組み込まれている生体認証に頼ることで、不安を和らげやすくなりますが、実際には非常に信頼性が低いです。 組織はトークンの購入に資金を費やし、トークンを実装するための作業 (実際には非常に単純です) を実行する必要があります。 そして第二に、Facebook や Dropbox などのサービスからのパスワード漏洩について書かないのは怠け者だけですが、これらの組織の CIO は、いかなる状況であっても、組織内でパスワードがどのように盗まれたか (そして次に何が起こったのか) についての話を共有することはありません。

強力な認証を使用しない企業は、ビジネスや顧客に対するリスクを過小評価しています。 現在強力な認証を使用していない一部の組織は、ログインとパスワードを最も効果的で使いやすいユーザー認証方法の XNUMX つとみなす傾向があります。 自分が所有するデジタル資産の価値を理解していない人もいます。 結局のところ、サイバー犯罪者はあらゆる消費者情報や企業情報に興味を持っていることを考慮する価値があります。 従業員の認証にパスワードのみを使用している企業の XNUMX 分の XNUMX は、保護する情報の種類にはパスワードで十分であると考えているため、そうしています。

しかし、パスワードは墓場まで行く途中です。 組織が従来の MFA と強力な認証の使用を増やすにつれて、過去 44 年間でコンシューマー アプリケーションとエンタープライズ アプリケーションの両方でパスワードへの依存度が大幅に低下しました (それぞれ 31% から 56%、47% から XNUMX%)。
しかし、状況全体を見ると、依然として脆弱な認証方法が蔓延しています。 ユーザー認証には、約 5 分の XNUMX の組織が SMS OTP (ワンタイム パスワード) とセキュリティの質問を使用しています。 その結果、脆弱性を防ぐために追加のセキュリティ対策を実装する必要があり、コストが増加します。 ハードウェア暗号キーなど、より安全な認証方法の使用頻度ははるかに低く、組織の約 XNUMX% で使用されています。

進化する規制環境により、消費者アプリケーションへの強力な認証の導入が加速すると予想されます。 PSD2 の導入や、EU およびカリフォルニア州など米国のいくつかの州における新しいデータ保護規則の導入により、企業はその熱意を感じています。 70% 近くの企業が、顧客に強力な認証を提供するという強い規制圧力に直面していることに同意しています。 企業の半数以上は、数年以内に自社の認証方法が規制基準を満たさなくなると考えています。

プログラムやサービスのユーザーの個人データの保護に対するロシアとアメリカ・ヨーロッパの議員のアプローチの違いは明らかです。 ロシア人はこう言います：親愛なるサービスオーナーの皆さん、好きなことを好きなようにしてください。ただし、管理者がデータベースをマージした場合は、私たちがあなたを罰します。 海外では「次のような一連の措置を講じなければならない」と言われています。 許さない ベースを排水します。 そのため、厳格な XNUMX 要素認証の要件がそこで実装されています。
確かに、私たちの立法機関がいつか正気に戻って西側の経験を考慮に入れなくなるということは、決して事実ではありません。 その後、ロシアの暗号化標準に準拠した 2FA を全員が早急に実装する必要があることが判明しました。

強力な認証フレームワークを確立すると、企業は規制要件を満たすことから顧客のニーズを満たすことに焦点を移すことができます。 依然として単純なパスワードを使用しているか、SMS 経由でコードを受信して​​いる組織にとって、認証方法を選択する際の最も重要な要素は、規制要件への準拠です。 しかし、すでに強力な認証を使用している企業は、顧客ロイヤルティを高める認証方法の選択に重点を置くことができます。

企業内で企業認証方法を選択する場合、規制要件は重要な要素ではなくなりました。 この場合、統合の容易さ (32%) とコスト (26%) の方がはるかに重要です。

フィッシングの時代、攻撃者は企業メールを使って詐欺を行う可能性があります。 データやアカウント (適切なアクセス権付き) に不正にアクセスしたり、従業員に自分のアカウントに送金するよう説得したりすることさえあります。 したがって、企業の電子メール アカウントとポータル アカウントは特にしっかりと保護する必要があります。

Google は強力な認証を実装することでセキュリティを強化しています。 2 年以上前、Google は FIDO U85F 標準を使用した暗号化セキュリティ キーに基づく 000 要素認証の実装に関するレポートを発行し、素晴らしい結果を報告しました。 同社によれば、XNUMX 人を超える従業員に対してフィッシング攻撃は一度も実行されていません。

提言

モバイルおよびオンライン アプリケーションに強力な認証を実装します。 暗号キーに基づく多要素認証は、従来の MFA 方法よりもはるかに優れたハッキン​​グに対する保護を提供します。 さらに、暗号キーを使用すると、パスワード、ワンタイム パスワード、生体認証データなどの追加情報を使用してユーザーのデバイスから認証サーバーに転送する必要がないため、非常に便利です。 さらに、認証プロトコルを標準化すると、新しい認証方法が利用可能になったときにその実装がはるかに簡単になり、実装コストが削減され、より高度な詐欺スキームから保護されます。

ワンタイム パスワード (OTP) の廃止に備えてください。 サイバー犯罪者がソーシャル エンジニアリング、スマートフォンのクローン作成、マルウェアを使用してこれらの認証手段を侵害するにつれて、OTP に固有の脆弱性がますます明らかになってきています。 また、場合によっては OTP に特定の利点があるとしても、それはすべてのユーザーが普遍的に利用できるという観点からのみであり、セキュリティの観点からはそうではありません。

SMS やプッシュ通知でコードを受信したり、スマートフォン用のプログラムを使用してコードを生成したりすることは、同じワンタイム パスワード (OTP) の使用であり、その使用の拒否に備える必要があることに気づかないわけにはいきません。 技術的な観点から見ると、この解決策は非常に正しいものです。なぜなら、騙されやすいユーザーからワンタイム パスワードを聞き出そうとしない詐欺師は稀だからです。 しかし、そのようなシステムのメーカーは、最後まで消えゆく技術にしがみつくと思います。

強力な認証をマーケティング ツールとして使用して、顧客の信頼を高めます。 強力な認証は、ビジネスの実際のセキュリティを向上させるだけではありません。 ビジネスで強力な認証を使用していることを顧客に知らせることで、そのビジネスのセキュリティに対する一般の認識を強化できます。これは、強力な認証方法に対する顧客の需要が大きい場合に重要な要素です。

企業データの徹底的なインベントリと重要性評価を実施し、重要性に応じてデータを保護します。 顧客の連絡先情報などのリスクの低いデータであっても (いや、本当に、報告書には「低リスク」と書かれていますが、この情報の重要性を過小評価しているのは非常に奇妙です）、詐欺師に多大な価値をもたらし、会社に問題を引き起こす可能性があります。

強力なエンタープライズ認証を使用します。 多くのシステムが犯罪者にとって最も魅力的な標的となっています。 これらには、会計プログラムや企業データ ウェアハウスなどの内部システムやインターネットに接続されたシステムが含まれます。 強力な認証により、攻撃者による不正アクセスが防止され、どの従業員が悪意のある活動を行ったのかを正確に判断することも可能になります。

強力な認証とは何ですか?

強力な認証を使用する場合、ユーザーの信頼性を検証するためにいくつかの方法または要素が使用されます。

• 知識要素: ユーザーとユーザーの認証されたサブジェクト間の共有秘密 (パスワード、秘密の質問への回答など)
• 所有要因: ユーザーのみが所有するデバイス (モバイル デバイス、暗号キーなど)
• 整合性係数: ユーザーの物理的 (多くの場合は生体認証) 特性 (指紋、虹彩のパターン、声、行動など)

さまざまな要素をバイパスまたは欺くには、要素ごとに複数の種類のハッキング戦術を使用する必要があるため、複数の要素をハッキングする必要があると、攻撃者が失敗する可能性が大幅に高まります。

たとえば、2FA「パスワード + スマートフォン」を使用すると、攻撃者はユーザーのパスワードを調べ、スマートフォンのソフトウェアの正確なコピーを作成することで認証を実行できます。 そして、これは単にパスワードを盗むよりもはるかに困難です。

ただし、パスワードと暗号化トークンが 2FA に使用されている場合、ここではコピー オプションは機能しません。トークンを複製することは不可能です。 詐欺師はユーザーからこっそりトークンを盗む必要があります。 ユーザーが時間のロスに気づき管理者に通知すると、トークンはブロックされ、詐欺師の努力は無駄になります。 このため、所有権要素では、汎用デバイス (スマートフォン) ではなく、専用の安全なデバイス (トークン) の使用が必要になります。

XNUMX つの要素をすべて使用すると、この認証方法の実装に非常にコストがかかり、使用が非常に不便になります。 したがって、通常は XNUMX つの要素のうち XNUMX つが使用されます。

二要素認証の原理についてさらに詳しく説明します ここで、「XNUMX 要素認証の仕組み」ブロックで説明します。

強力な認証で使用される認証要素の少なくとも XNUMX つは公開キー暗号化を使用する必要があることに注意することが重要です。

強力な認証は、従来のパスワードや従来の MFA に基づく単一要素認証よりもはるかに強力な保護を提供します。 パスワードは、キーロガー、フィッシング サイト、またはソーシャル エンジニアリング攻撃 (被害者がだまされてパスワードを明らかにする場合) を使用して盗み見されたり、傍受されたりする可能性があります。 さらに、パスワードの所有者は盗難について何も知りません。 従来の MFA (OTP コード、スマートフォンまたは SIM カードへのバインドを含む) も、公開キー暗号化に基づいていないため、非常に簡単にハッキングされる可能性があります (ちなみに、詐欺師が同じソーシャル エンジニアリング手法を使用して、ユーザーにワンタイム パスワードを与えるよう誘導した例は数多くあります。).

幸いなことに、昨年以来、強力な認証と従来の MFA の使用がコンシューマ アプリケーションとエンタープライズ アプリケーションの両方で注目を集めています。 消費者向けアプリケーションにおける強力な認証の使用は、特に急速に増加しています。 2017 年にそれを使用している企業はわずか 5% でしたが、2018 年にはすでに 16 倍の 2% に達していました。 これは、公開キー暗号化 (PKC) アルゴリズムをサポートするトークンの可用性が増加したことで説明できます。 さらに、PSDXNUMX や GDPR などの新しいデータ保護規則の導入に伴う欧州規制当局からの圧力の増大は、欧州外にも強い影響を及ぼしています (ロシアも含めて).

これらの数字を詳しく見てみましょう。 ご覧のとおり、多要素認証を使用する個人の割合は、年間で 11% という大幅な増加を見せています。 そして、プッシュ通知、SMS、生体認証のセキュリティを信じている人の数は変わっていないため、これは明らかにパスワード愛好家を犠牲にして起こっています。

しかし、企業向けの二要素認証では状況はそれほど良くありません。 まず、レポートによると、パスワード認証からトークンに移行した従業員はわずか 5% でした。 次に、企業環境で代替 MFA オプションを使用する人の数が 4% 増加しました。

私はアナリストを演じて、私なりの解釈をしてみます。 個人ユーザーのデジタル世界の中心はスマートフォンです。 したがって、大半の人が、生体認証、SMS、プッシュ通知、スマートフォン自体のアプリケーションによって生成されるワンタイム パスワードなど、デバイスが提供する機能を使用しているのも不思議ではありません。 使い慣れたツールを使用するとき、人々は通常、安全性や信頼性について考えません。

これが、原始的な「従来の」認証要素のユーザーの割合が変わらない理由です。 しかし、これまでパスワードを使用していた人は、自分たちがどれだけのリスクを負っているかを理解しているため、新しい認証要素を選択するときは、最新で最も安全なオプションである暗号トークンを選択します。

法人市場では、どのシステムで認証が行われるかを理解することが重要です。 Windows ドメインへのログインが実装されている場合は、暗号化トークンが使用されます。 2FA にそれらを使用する可能性は Windows と Linux の両方にすでに組み込まれていますが、代替オプションを実装するには時間がかかり、困難です。 パスワードからトークンへの 5% の移行はこれで終わりです。

そして、企業情報システムにおける 2FA の実装は、開発者の資格に大きく依存します。 また、開発者にとっては、暗号化アルゴリズムの動作を理解するよりも、ワンタイム パスワードを生成する既製のモジュールを使用する方がはるかに簡単です。 その結果、シングル サインオンや特権アクセス管理システムなどの非常にセキュリティ クリティカルなアプリケーションでも、OTP が XNUMX 番目の要素として使用されます。

従来の認証方法には多くの脆弱性がある

多くの組織が依然として従来の単一要素システムに依存している一方で、従来の多要素認証の脆弱性がますます明らかになってきています。 SMS 経由で配信される、通常 XNUMX ～ XNUMX 文字の長さのワンタイム パスワードは、依然として最も一般的な認証形式です (もちろん、パスワード要素は別です)。 また、一般報道で「XNUMX 要素認証」または「XNUMX 段階認証」という言葉が言及される場合、ほとんどの場合、SMS ワンタイム パスワード認証を指します。

ここで著者は少し間違っています。 SMS 経由でのワンタイム パスワードの配信は、これまで XNUMX 要素認証ではありませんでした。 これは最も純粋な形では XNUMX 段階認証の第 XNUMX 段階であり、第 XNUMX 段階ではログイン名とパスワードを入力します。

2016 年に米国標準技術研究所 (NIST) は認証ルールを更新し、SMS 経由で送信されるワンタイム パスワードの使用を排除しました。 しかし、業界の抗議を受けて、これらの規則は大幅に緩和されました。

それでは、プロットを追ってみましょう。 アメリカの規制当局は、時代遅れのテクノロジーではユーザーの安全を確保できないことを正しく認識しており、新しい基準を導入しています。 オンラインおよびモバイル アプリケーション (銀行アプリケーションを含む) のユーザーを保護するために設計された標準。 業界は、真に信頼できる暗号トークンの購入、アプリケーションの再設計、公開鍵インフラストラクチャの導入にどれだけの資金を費やさなければならないかを計算しており、「後ろ足で立ち上がり」つつあります。 ユーザーがワンタイム パスワードの信頼性を確信する一方で、NIST に対する攻撃がありました。 その結果、基準が緩和され、ハッキングやパスワード (および銀行アプリケーションからの金銭) の盗難が急増しました。 しかし、業界は資金をつぎ込む必要はなかった。

それ以来、SMS OTP に固有の弱点がさらに明らかになりました。 詐欺師はさまざまな方法を使用して SMS メッセージを侵害します。

• SIMカードの重複。 攻撃者は SIM のコピーを作成します (携帯電話会社の従業員の助けを借りて、または独自に特別なソフトウェアとハ​​ードウェアを使用して)）。 その結果、攻撃者はワンタイム パスワードが記載された SMS を受信します。 特に有名なケースでは、ハッカーが仮想通貨投資家マイケル・ターピンの AT&T アカウントを侵害し、24 万ドル近くの仮想通貨を盗むことさえできました。 その結果、ターピン氏は、SIMカードの複製を引き起こした検証手段が不十分だったため、AT&Tに過失があったと述べた。
  

  驚くべきロジック。 では、本当に AT&T だけのせいなのでしょうか？ いいえ、通信販売店の販売員が重複した SIM カードを発行したのは間違いなく携帯電話会社の責任です。 仮想通貨取引所の認証システムはどうなるのでしょうか？ なぜ強力な暗号トークンを使用しなかったのでしょうか? 導入にお金をかけるのは残念でしたか？ マイケル自身に責任があるんじゃないの？ なぜ彼は認証メカニズムを変更すること、または暗号トークンに基づく XNUMX 要素認証を実装する取引所のみを使用することを主張しなかったのでしょうか?

  真に信頼できる認証方法の導入が遅れているのは、ユーザーがハッキングする前に驚くべき不注意を示し、その後、自分たちの問題を古代の「漏洩した」認証技術以外の誰かのせいにするためです。

• マルウェア。 モバイル マルウェアの初期の機能の XNUMX つは、テキスト メッセージを傍受して攻撃者に転送することでした。 また、感染したラップトップやデスクトップ デバイスにワンタイム パスワードが入力されると、ブラウザー攻撃や中間者攻撃によってワンタイム パスワードが傍受される可能性があります。
  

  スマートフォン上の Sberbank アプリケーションがステータス バーの緑色のアイコンを点滅させると、スマートフォン上の「マルウェア」も探します。 このイベントの目標は、一般的なスマートフォンの信頼できない実行環境を、少なくとも何らかの形で信頼できる実行環境に変えることです。
  ちなみに、スマートフォンは何でもできる完全に信頼できないデバイスであるため、認証にスマートフォンを使用するもう XNUMX つの理由があります。 ハードウェアトークンのみ、保護されており、ウイルスやトロイの木馬から保護されています。

• ソーシャルエンジニアリング。 詐欺師は、被害者が SMS 経由で OTP を有効にしていることを知ると、銀行や信用組合などの信頼できる組織を装い、被害者に直接連絡して、被害者を騙して、受け取ったばかりのコードを提供させることができます。
  

  私自身、人気のオンラインフリーマーケットなどで商品を売ろうとした際に、この種の詐欺に何度も遭遇しました。 私自身も、私をだまそうとする詐欺師を思う存分からかいました。 しかし、悲しいことに、また別の詐欺師の被害者が「何も考えずに」確認コードを教えてしまい、多額の損失を被ったことをニュースでよく目にしました。 そしてこれはすべて、銀行がアプリケーションでの暗号トークンの実装に対処したくないからです。 結局のところ、何かが起こった場合、クライアントは「自分自身の責任を負う」ことになります。

代替の OTP 配信方法により、この認証方法の脆弱性の一部が軽減される可能性がありますが、他の脆弱性は残ります。 スタンドアロンのコード生成アプリケーションは、マルウェアであってもコード ジェネレーターと直接対話することがほとんどできないため、盗聴に対する最善の保護となります (真剣に？ レポートの作成者はリモートコントロールのことを忘れたのでしょうか?)、ただし OTP はブラウザに入力されると傍受される可能性があります (たとえばキーロガーを使用する）、ハッキングされたモバイルアプリケーションを通じて。 また、ソーシャル エンジニアリングを使用してユーザーから直接取得することもできます。
デバイス認識などの複数のリスク評価ツールの使用 (正規のユーザーに属さないデバイスからトランザクションを実行しようとする試みの検出)、地理位置情報 (モスクワに来たばかりのユーザーがノボシビルスクから操作を実行しようとしました）と行動分析は脆弱性に対処するために重要ですが、どちらの解決策も万能薬ではありません。 状況やデータの種類ごとにリスクを慎重に評価し、どの認証技術を使用するかを選択する必要があります。

認証ソリューションは万能薬ではありません

図 2. 認証オプションの表

認証	要因	説明	主要な脆弱性
パスワードまたはPIN	知識	固定値。文字、数字、その他の文字を含めることができます。	傍受、スパイ、盗難、拾い上げ、ハッキングされる可能性がある
知識ベースの認証	知識	正規ユーザーのみが知り得る答えを問う質問	ソーシャルエンジニアリング手法を使用して傍受、拾い上げ、取得できる
ハードウェア OTP (例)	所持	ワンタイムパスワードを生成する特別なデバイス	コードが傍受されて繰り返されたり、デバイスが盗まれたりする可能性があります
ソフトウェアOTP	所持	ワンタイムパスワードを生成するアプリケーション (モバイル、ブラウザ経由でアクセス、または電子メールでコードを送信)	コードが傍受されて繰り返されたり、デバイスが盗まれたりする可能性があります
SMSOTP	所持	ワンタイムパスワードはSMSテキストメッセージで配信されます	コードが盗まれて繰り返されたり、スマートフォンやSIMカードが盗まれたり、SIMカードが複製されたりする可能性があります。
スマートカード (例)	所持	暗号チップと、認証に公開鍵インフラストラクチャを使用する安全な鍵メモリを搭載したカード	物理的に盗まれる可能性があります (ただし、攻撃者は PIN コードを知らなければデバイスを使用できません。 間違った入力が数回試行されると、デバイスはブロックされます)
セキュリティ キー - トークン (例, もう一つの例)	所持	暗号化チップと、認証に公開鍵インフラストラクチャを使用する安全な鍵メモリを備えた USB デバイス	物理的に盗まれる可能性があります (ただし、攻撃者は PIN コードを知らなければデバイスを使用できません。何度か誤って入力しようとすると、デバイスはブロックされます)。
デバイスへのリンク	所持	プロファイルを作成するプロセス。多くの場合、JavaScript を使用するか、Cookie や Flash 共有オブジェクトなどのマーカーを使用して、特定のデバイスが使用されていることを確認します。	トークンは盗まれる (コピーされる) 可能性があり、合法的なデバイスの特性が攻撃者によってそのデバイス上で模倣される可能性があります。
行動	固有性	ユーザーがデバイスまたはプログラムとどのように対話するかを分析します	行動は真似できる
指紋	固有性	保存された指紋は、光学的または電子的に取得された指紋と比較されます。	画像が盗まれて認証に使用される可能性がある
アイスキャン	固有性	虹彩パターンなどの目の特性を新しい光学スキャンと比較します	画像が盗まれて認証に使用される可能性がある
顔認識	固有性	顔の特徴を新しい光学スキャンと比較	画像が盗まれて認証に使用される可能性がある
音声認識	固有性	録音された音声サンプルの特徴を新しいサンプルと比較します	記録が盗まれて認証に使用されたり、エミュレートされる可能性があります

出版物の後半では、前半で与えられた結論と推奨事項の基礎となる数字と事実という最もおいしいものが私たちを待っています。 ユーザー アプリケーションと企業システムでの認証については、個別に説明します。

そこを参照してください！

出所： habr.com