Спойлер із заголовка звіту «Кількість випадків використання суворої автентифікації зросла завдяки загрозам нових ризиків та вимогам регуляторів».
Дослідницька компанія Javelin Strategy & Research опублікувала звіт The State of Strong Authentication 2019 (). У цьому звіті написано: який відсоток американських та європейських компаній використовують паролі (і чому паролі зараз мало хто використовує); чому так швидко зростає відсоток використання двофакторної аутентифікації на основі криптографічних токенів; чому одноразові коди, що надсилаються SMS, небезпечні.
Всім, кого цікавить тема сьогодення, минулого та майбутнього аутентифікації на підприємствах і в додатках користувача — ласкаво просимо.
Від перекладача
На жаль, але мова, якою написаний цей звіт досить «сухий» і формальний. І п'ятикратне використання слова «автентифікація» в одному короткому реченні — не криві руки (або мізки) перекладача, а забаганка авторів. При перекладі з двох варіантів — дати читачам більш наближений до оригіналу, або цікавіший текст, іноді вибирав перший, а іноді другий. Але потерпіть, дорогі читачі, зміст звіту того вартий.
Деякі малозначущі і не потрібні для оповідання шматки були вилучені, інакше більшість не подужала весь текст. Охочі ознайомитися зі звітом «без купюр», можуть зробити це мовою оригіналу, пройшовши за посиланням.
На жаль, автори не завжди обережні з термінологією. Так, одноразові паролі (One Time Password - OTP) вони іноді називають паролями, а іноді кодами. З методами аутентифікації все ще гірше. Непідготовленому читачеві не завжди просто здогадатися, що «автентифікація з використанням криптографічних ключів» та «сувора автентифікація» — це те саме. Я постарався максимально уніфікувати терміни, до того ж у звіті є фрагмент з їх описом.
Проте звіт вкрай рекомендується до прочитання, тому що містить унікальні результати досліджень та правильні висновки.
Усі цифри та факти наведені без жодних змін, і якщо ви з ними не згодні, то сперечатися краще не з перекладачем, а з авторами звіту. А ось мої коментарі (зверстані як цитати, а в тексті зазначені італіком) є моїм оцінним судженням і по кожному з них я буду радий посперечатися (як і за якістю перекладу).
Огляд
У наш час для бізнесу важливими є цифрові канали зв'язку з клієнтами. Та й усередині підприємства комунікації між співробітниками більше орієнтовані на цифрове середовище, ніж будь-коли раніше. І те, наскільки безпечними будуть ці взаємодії, залежить від обраного способу автентифікації користувачів. Зловмисники використовують слабку автентифікацію для масового злому облікових записів користувачів. У відповідь регулюючі органи посилюють стандарти, щоб змусити бізнес краще захищати облікові записи та дані користувачів.
Загрози, пов'язані з автентифікацією, поширюються як на споживчі додатки, зловмисники можуть отримати доступ і до додатку, працюючому всередині підприємства. Така операція дозволяє видавати себе за корпоративних користувачів. Зловмисники, використовуючи точки доступу зі слабкою автентифікацією, можуть вкрасти дані та виконати інші шахрайські активності. На щастя, є заходи боротьби із цим. Сувора автентифікація допоможе суттєво знизити ризик атаки зловмисником як на споживчі програми, так і на бізнес-системи підприємств.
У цьому дослідженні розглядається: як підприємства впроваджують автентифікацію для захисту додатків користувача і бізнес-систем підприємства; фактори, які вони враховують під час вибору рішення для аутентифікації; роль, яку сувора автентифікація грає у тому організаціях; переваги, що отримують ці організації.
Резюме
Основні висновки
Починаючи з 2017 року, різко зріс відсоток використання суворої аутентифікації. Зі зростанням числа вразливостей, що стосуються традиційних рішень для аутентифікації, організації посилюють свої можливості аутентифікації за допомогою суворої аутентифікації. Кількість організацій, що використовують багатофакторну аутентифікацію з використанням криптографії (MFA), потроїлася з 2017 року для споживчих та збільшилась майже на 50% для корпоративних додатків. Найшвидше зростання спостерігається в мобільній аутентифікації через зростаючу доступність біометричної аутентифікації.
Тут ми бачимо ілюстрацію приказки «поки грім не вдарить – чоловік не перехреститься». Коли експерти попереджали про ненадійність паролів, ніхто не поспішав запроваджувати двофакторну автентифікацію. Щойно хакери почали красти паролі – народ став запроваджувати двофакторну автентифікацію.
Щоправда, приватні особи набагато активніше впроваджують 2ФА. По-перше, так їм простіше заспокоїти свої страхи, сподіваючись на вбудовану в смартфони біометричну автентифікацію, дуже ненадійну. Організаціям необхідно витратитися на придбання токенів і провести роботи (насправді дуже прості) з їх впровадження. А по-друге, про виток паролів з сервісів типу Facebook і Dropbox не написав лише лінивий, а ось історіями про те, як крали паролі (і що було далі) в організаціях, ІТ-директори цих організацій не поділяться за жодних умов.
Ті, хто не використовує суворої автентифікації, недооцінюють свій ризик для бізнесу та клієнтів. Одні організації, які в даний час не використовують сувору автентифікацію, схильні розглядати логіни та паролі як один з найефективніших і найпростіших у використанні методів автентифікації користувачів. Інші не бачать цінності цифрових активів, якими володіють. Адже варто враховувати те, що кіберзлочинцям цікава будь-яка споживча та ділова інформація. Дві третини компаній, які використовують лише паролі для аутентифікації своїх співробітників, роблять це, тому що вважають, що паролі є досить хорошими для того типу інформації, який вони захищають.
Проте паролі знаходяться на шляху «у могилу». За минулий рік залежність від паролів значно знизилася як для споживчих, так і для корпоративних додатків (з 44% до 31%, і від 56% до 47% відповідно), оскільки організації розширюють застосування традиційної MFA та суворої автентифікації.
Але якщо оцінити ситуацію в цілому, то вразливі способи автентифікації, як і раніше, переважають. Для аутентифікації користувача близько чверті організацій використовують SMS OTP (одноразовий пароль) разом із секретними питаннями. У результаті захисту від уразливості доводиться впроваджувати додаткові засоби захисту, що збільшує витрати. Використання більш надійних методів аутентифікації, таких як апаратні криптографічні ключі, знаходить застосування набагато рідше, приблизно в 5% організацій.
Нормативно-правове середовище, що розвивається, обіцяє прискорити впровадження суворої автентифікації для споживчих додатків. З введенням PSD2, а також нових правил захисту даних у ЄС та ряді штатів США, таких як Каліфорнія, компанії відчувають, що стає спекотно. Майже 70% компаній погоджуються з тим, що вони стикаються з сильним регуляторним тиском для забезпечення суворої автентифікації для своїх клієнтів. Більше половини підприємств вважають, що за кілька років їх методи аутентифікації не будуть достатніми для відповідності нормативним стандартам.
Добре помітна різниця у підходах російських та американо-європейських законодавців до захисту персональних даних користувачів програм та сервісів. Російські кажуть: дорогі власники сервісів, робіть що хочете і як хочете, але якщо ваш адмін зіллє базу, то ми вас покараємо. За кордоном кажуть: ви маєте запровадити комплекс заходів, який не дозволить злити основу. Саме тому там на повну силу впроваджуються вимоги до наявності суворої двофакторної аутентифікації.
Правда, далеко не факт, що наша законодавча машина одного разу не схаменеться і не врахує західний досвід. Ось тоді виявиться, що всім потрібно впровадити 2ФА, що відповідає російським криптографічним стандартам, причому терміново.
Створення надійної основи аутентифікації дозволяє компаніям змістити акцент із задоволенням нормативних вимог на задоволення потреб клієнтів. Для тих організацій, які поки що використовують прості паролі або отримання кодів SMS, найбільш важливим фактором при виборі методу аутентифікації буде відповідність нормативним вимогам. А ось ті компанії, які вже використовують строгу аутентифікацію, можуть зосередитися на виборі тих методів аутентифікації, які підвищують лояльність клієнтів.
При виборі методу корпоративної аутентифікації всередині підприємства вимоги регуляторів не є значним чинником. У цьому випадку набагато важливіша простота інтеграції (32%) та вартість (26%).
В епоху фішингу зловмисники можуть використовувати корпоративну електронну пошту для шахрайства, абманним шляхом отримати доступ до даних, облікових записів (з відповідними правами доступу), і навіть щоб переконати співробітників виконати грошовий переказ на його рахунок. Тому облікові записи корпоративної пошти та порталів мають бути особливо добре захищені.
Google посилив свій захист запровадивши сувору автентифікацію. Понад два роки тому Google опублікував звіт про впровадження двофакторної аутентифікації на базі криптографічних ключів безпеки за стандартом FIDO U2F, повідомивши про вражаючі результати. За даними компанії, проти більш ніж 85 000 співробітників не було проведено жодної атаки фішингу.
Рекомендації
Впроваджуйте сувору автентифікацію для мобільних та онлайн додатків. Багатофакторна автентифікація на основі криптографічних ключів набагато надійніше захищає від злому, ніж традиційні методи MFA. До того ж, використання криптографічних ключів набагато зручніше, тому що не потрібно використовувати та передавати додаткову інформацію — паролі, одноразові паролі або біометричні дані з пристрою користувача на сервер аутентифікації. Крім того, стандартизація протоколів аутентифікації дозволяє набагато простіше впроваджувати нові методи аутентифікації в міру їх появи, знижуючи витрати на використання і захищаючи від складніших схем шахрайства.
Готуйтеся до заходу одноразових паролів (OTP). Вразливості, властиві OTP, стають все більш очевидними, в умовах, коли кіберзлочинці використовують соціальну інженерію, клонування смартфонів та шкідливе програмне забезпечення для компрометації цих засобів аутентифікації. І якщо OTP у деяких випадках мають певні переваги, то тільки з точки зору універсальної доступності для всіх користувачів, але не з точки зору безпеки.
Не можна не помітити, що отримання кодів по SMS або Push-повідомлень, а також генерація кодів за допомогою програм для смартфонів - це і є використання тих одноразових паролів (OTP) до заходу сонця яких нам і пропонують готуватися. З технічної точки рішення дуже правильне, тому що рідкісний шахрай не намагається вивідати одноразовий пароль у довірливого користувача. Але думаю, що виробники подібних систем до останнього чіплятимуться за технологію, що вмирає.
Використовуйте строгу аутентифікацію як маркетинговий інструмент для підвищення довіри клієнтів. Сувора автентифікація може не лише покращити фактичну безпеку вашого бізнесу. Інформування клієнтів про те, що ваш бізнес використовує строгу аутентифікацію, може зміцнити суспільне сприйняття безпеки цього бізнесу – важливий фактор, коли існує значний попит клієнтів на надійні методи аутентифікації.
Проведіть ретельну інвентаризацію та оцінку важливості корпоративних даних та захистіть їх відповідно до важливості. Навіть дані з низьким рівнем ризику, такі як контактна інформація клієнтів (ні, правда, у звіті так і написано "low-risk", дуже дивно, що вони недооцінюють важливість цієї інформації), можуть принести шахраям значну цінність та стати причиною проблем для компанії.
Використовуйте строгу аутентифікацію на підприємстві. Ряд систем є найпривабливішими цілями для злочинців. До них належать такі внутрішні та підключені до Інтернету системи, як бухгалтерська програма або сховище корпоративних даних. Сувора автентифікація не дає зловмисникам отримати несанкціонований доступ, а також дозволяє точно встановити, хто саме зі співробітників скоїв зловмисну діяльність.
Що таке сувора автентифікація?
При використанні строгої автентифікації для автентифікації користувача використовується кілька методів або факторів:
- Чинник знання: загальний секрет між користувачем та суб'єктом автентифікації користувача (наприклад, паролі, відповіді на секретні питання тощо).
- Чинник володіння: пристрій, яким володіє лише користувач (наприклад, мобільний пристрій, криптографічний ключ і т. д.)
- Чинник невід'ємності: фізичні (часто біометричні) характеристики користувача (наприклад, відбиток пальця, малюнок веселки ока, голос, поведінка і т. д.)
Необхідність зламати кілька чинників значно збільшує ймовірність невдачі для зловмисників, оскільки обхід чи обман різних чинників потребує використання кількох типів тактик злому, кожного чинника окремо.
Наприклад, при 2ФА «пароль + смартфон» зловмисник може виконати автентифікацію, підглянувши пароль користувача та зробивши точну програмну копію його смартфона. А це набагато складніше, ніж просто вкрасти пароль.
Але якщо для 2ФА використовується пароль та криптографічний токен, то варіант із копіюванням тут не працює – дублювати токен неможливо. Шахраю необхідно буде непомітно стягнути токен у користувача. Якщо користувач вчасно помітить пропажу і повідомить адміна, то токен буде заблокований і праці шахрая пройдуть даремно. Саме тому для фактора володіння слід використовувати спеціалізовані захищені пристрої (токени), а не пристрої загального призначення (смартфони).
Використання всіх трьох факторів зробить такий метод аутентифікації досить дорогим при впровадженні та досить незручним під час використання. Тому зазвичай використовується два фактори із трьох.
Детальніше принципи двофакторної аутентифікації описані , у блоці «Як працює двофакторна автентифікація».
Важливо відзначити, що принаймні один із факторів аутентифікації, який застосовується при строгому аутентифікації, повинен використовувати криптографію на основі відкритого ключа.
Сувора автентифікація дає набагато серйозніший захист, ніж однофакторна автентифікація на основі класичних паролів та традиційний MFA. Паролі можна підглянути або перехопити за допомогою кейлоггерів, фішингових сайтів або атак, що ґрунтуються на соціальній інженерії (коли обманута жертва сама повідомляє свій пароль). Причому власник пароля нічого не знатиме про факт крадіжки. Традиційна MFA (що включає коди OTP, прив'язку до смартфону або сім-карті), також може бути досить легко зламана, оскільки не заснована на криптографії відкритих ключів (до речі, є безліч прикладів, коли за допомогою прийомів тієї ж соціальної інженерії шахраї вмовляли користувачів повідомити одноразовий пароль).
На щастя, з минулого року використання суворої автентифікації та традиційного MFA набирає сили як у споживчих, так і в корпоративних додатках. Використання суворої автентифікації у споживчих додатках зросло особливо швидко. Якщо у 2017 році її використало всього 5% компаній, то у 2018 році вже втричі більше – 16%. Це можна пояснити зростанням доступності токенів, що підтримують алгоритми криптографії з відкритим ключем (Public Key Cryptography - PKC). Крім того, посилення тиску європейських регуляторів після прийняття нових правил захисту інформації, таких як PSD2 та GDPR, мало сильний ефект навіть за межами Європи (у тому числі в Росії).
Давайте подивимося на ці цифри уважніше. Як бачимо, відсоток приватників, використовують багатофакторну аутентифікацію, протягом року зріс на значні 11%. І сталося це за рахунок любителів паролів, оскільки цифри тих, хто вірить у безпеку Push-повідомлень, SMS та біометрії не змінилися.
А ось із двофакторною автентифікацією для корпоративного застосування все не так добре. По-перше, судячи з звіту, лише 5% співробітників було переведено з парольної автентифікації на токени. А по-друге, на 4% відсотка зросла кількість тих, хто у корпоративному середовищі використовує альтернативні варіанти MFA.
Спробую пограти в аналітика та дам своє тлумачення. У центрі цифрового світу індивідуальних користувачів є смартфон. Тому не дивно, що більшість використовує ті можливості, які надає їм пристрій – біометричну автентифікацію, SMS та Push-сповіщення, а також одноразові паролі, згенеровані додатками на смартфоні. Про безпеку та надійність при використанні звичних інструментів люди зазвичай не замислюються.
Саме тому відсоток користувачів примітивних «традиційних» факторів автентифікації залишається незмінним. Зате ті, хто раніше використовував паролі, розуміють, як сильно ризикують, і при виборі нового фактора автентифікації зупиняються на найновішому та найбезпечнішому варіанті – криптографічному токені.
Що ж до корпоративного ринку, то тут важливо розуміти, яку систему здійснюється аутентифікація. Якщо реалізується вхід до домену Windows, то використовуються криптографічні токени. Можливості щодо їх використання для 2ФА вже закладені і в Windows, і в Linux, а альтернативні варіанти реалізовувати довго і складно. Ось вам і міграція 5% із паролів на токени.
А реалізація 2ФА в корпоративній інформаційній системі дуже залежить від кваліфікації розробників. І розробникам набагато простіше взяти готові модулі з генерації одноразових паролів, ніж розумітися на роботі криптографічних алгоритмів. І в результаті навіть неймовірно критичні до безпеки програми, як системи Single Sign-On або Privileged Access Management використовують OTP як другий фактор.
Безліч уразливостей у традиційних методах аутентифікації
Незважаючи на те, що багато організацій залишаються залежними від застарілих однофакторних систем, уразливості у традиційній багатофакторній автентифікації стають все очевиднішими. Одноразові паролі довжиною зазвичай від шести до восьми символів, що доставляють за допомогою SMS, залишаються найпоширенішою формою аутентифікації (звісно, крім фактора знання пароля). І якщо в популярній пресі згадуються слова "двофакторна автентифікація" або "двоетапна перевірка", то вони майже завжди відносяться до автентифікації за допомогою одноразових SMS-паролей.
Тут автор трохи помиляється. Доставка одноразових паролів за допомогою SMS ніколи не була двофакторною автентифікацією. Це у чистому вигляді другий етап двоетапної аутентифікації, де першим етапом є введення логіну та пароля.
У 2016 році Національний інститут стандартів і технологій (NIST) оновив свої правила автентифікації, щоб унеможливити використання одноразових паролів, що надсилаються за допомогою SMS. Однак ці правила були суттєво пом'якшені після протестів у галузі.
Отже, стежимо за сюжетом. Американський регулятор справедливо визнає, що застаріла технологія не здатна забезпечити безпеку користувачів та вводить нові стандарти. Стандарти, покликані захистити користувачів онлайн та мобільних додатків (у тому числі й банківських). Галузь прикидає скільки грошей доведеться викласти на покупку дійсно надійних криптографічних токенів, на переробку додатків, на розгортання інфраструктури публічних ключів і «встає дибки». З одного боку, користувачів переконували в надійності одноразових паролів, а з іншого боку йшли атаки на NIST. В результаті стандарт пом'якшили, а кількість зломів, крадіжок паролів (і грошей із банківських додатків) різко зросла. Натомість індустрії не довелося розщедрюватися.
З того часу слабкості, властиві SMS OTP, стали очевиднішими. Шахраї використовують різні способи компрометації SMS-повідомлень:
- Дублювання SIM-картки. Зловмисники створюють копію SIM (за допомогою співробітників стільникового оператора, або самостійно, за допомогою спеціального програмного та апаратного забезпечення). В результаті зловмиснику надходить SMS із одноразовим паролем. В одному особливо відомому випадку хакери навіть змогли скомпрометувати обліковий запис AT&T інвестора криптовалюти Майкла Терпіна і вкрасти майже 24 мільйони доларів у криптовалютах. Внаслідок чого Терпін заявив, що AT&T був винен через слабкі заходи перевірки, що призвели до дублювання SIM-карти.
Приголомшлива логіка. Тобто чи правда винен лише AT&T? Ні, вина мобільного оператора в тому, що продавці в салоні зв'язку видали дублікат сімки, безперечно. А як щодо системи аутентифікації біржі криптовалют? Чому вони не використовували надійні криптографічні токени? Грошей на використання було шкода? А чи сам Майкл не винен? Чому він не наполіг на зміні механізму аутентифікації або не користувався лише тими біржами, які реалізують двофакторну аутентифікацію на основі криптографічних токенів?
Впровадження по-справжньому надійних методів аутентифікації затримується саме через те, що до злому користувачі виявляють вражаючу безтурботність, а після – звинувачують у своїх бідах будь-кого і що завгодно, крім стародавніх і «дірявих» технологій аутентифікації
- Шкідливі програми (malware). Однією з ранніх функцій мобільних шкідливих програм було перехоплення та пересилання зловмисникам текстових повідомлень. Також атаки "людина в браузері" (man-in-the-browser) і "людина посередині" (man-in-the-middle) можуть перехоплювати одноразові паролі, коли вони вводяться на заражених ноутбуках або настільних пристроях.
Коли додаток Ощадбанку у вашому смартфоні моргає зеленим значком у статусному рядку - він навіть шукає «зловреди» на вашому телефоні. Мета цього заходу — перетворити недовірене середовище виконання типового смартфона на хоч якимось боком довірене.
До речі, смартфон як абсолютно недовірений пристрій, на якому може виконуватися все, що завгодно — це ще одна причина використовувати для аутентифікації тільки апаратні токени, які захищені та позбавлені вірусів та троянів. - Соціальна інженерія Коли шахраям відомо, що у жертви включені одноразові паролі по SMS, вони можуть безпосередньо зв'язатися з жертвою, видаючи себе за довірену організацію, таку як її банк або кредитний союз, щоб обдурити жертву та змусити її надати щойно отриманий код.
З цим видом шахрайства я неодноразово стикався особисто, наприклад, при спробі щось продати на популярній інтернет-барахолці. Сам я вдосталь знущався з шахрая, який намагався мене обдурити. Але на жаль, регулярно читаю в новинах як чергова жертва шахраїв «не подумала», повідомила код підтвердження і втратила велику суму. І все це тому, що банку просто не хочеться зв'язуватися з використанням криптографічних токенів у свої додатки. Адже якщо щось трапиться, то клієнти самі винні.
Хоча альтернативні методи доставки одноразових паролів можуть пом'якшити деякі вразливості у цьому методі аутентифікації, інші вразливості залишаються чинними. Автономні програми для генерації коду є найкращим захистом від перехоплення, оскільки навіть шкідливі програми практично не можуть безпосередньо взаємодіяти з генератором коду (серйозно? автор звіту забув про віддалене управління?), але OTP все ще можуть бути перехоплені при введенні в браузер (наприклад, використовуючи кейлоггер), через зламаний мобільний додаток; а також можуть бути отримані безпосередньо від користувача за допомогою соціальної інженерії.
Використання декількох інструментів оцінки ризику, таких як розпізнавання пристроїв (виявлення спроб здійснення операцій з пристроїв, що не належать легальному користувачу), геолокація (користувач, який щойно перебував у Москві, намагається виконати операцію з Новосибірська.) та поведінкова аналітика, має велике значення для усунення вразливостей, але жодне з рішень не є панацеєю. Для кожної ситуації та типу даних необхідно ретельно оцінювати ризики та вибирати, яка технологія аутентифікації має бути використана.
Жодне рішення для аутентифікації не є панацеєю
Малюнок 2. Таблиця варіантів аутентифікації
| аутентифікація | фактор | Опис | Ключові вразливості |
| Пароль або PIN | Знання | Фіксоване значення, яке може включати літери, цифри та низку інших знаків | Може бути перехоплений, підглянутий, вкрадений, підібраний чи зламаний |
| Аутентифікація заснована на знаннях | Знання | Запитання, відповіді на які може знати лише легальний користувач | Можуть бути перехоплені, підібрані, отримані методами соціальної інженерії. |
| Апаратні OTP () | володіння | Спеціальний пристрій, який генерує одноразові паролі | Код може бути перехоплений і повторений, або пристрій може бути викрадено |
| Програмні OTP | володіння | Додаток (мобільний, доступний через браузер, або відправляє коди по e-mail), що генерує одноразові паролі | Код може бути перехоплений і повторений, або пристрій може бути викрадено |
| SMS OTP | володіння | Одноразовий пароль, що доставляється за допомогою текстового повідомлення SMS | Код може бути перехоплений і повторений, або смартфон або SIM-картка можуть бути вкрадені або SIM-картка може бути дубльована |
| Смарт-картки () | володіння | Карта, яка містить криптографічний чіп та захищену пам'ять із ключами, що використовує для аутентифікації інфраструктуру відкритих ключів | Може бути фізично вкрадено (але зловмисник не зможе скористатися пристроєм без PIN-коду; у разі кількох неправильних спроб введення пристрій буде заблоковано) |
| Ключі безпеки - токени (, ) | володіння | Пристрій з інтерфейсом USB, що містить криптографічний чіп і захищену пам'ять із ключами, що використовує для аутентифікації інфраструктуру відкритих ключів | Може бути фізично вкрадено (але зловмисник не зможе скористатися пристроєм без знання PIN-коду; у разі кількох неправильних спроб введення пристрій буде заблоковано) |
| Прив'язка до пристрою | володіння | Процес, що створює профіль, часто з використанням JavaScript, або за допомогою маркерів, таких як cookies і Flash Shared Objects для того, щоб гарантувати, що використовується конкретний пристрій | Маркери можуть бути вкрадені (скопійовані), а також характеристики легального пристрою можуть бути імітовані зловмисником на своєму пристрої |
| Поведінка | Невід'ємність | Аналізується як користувач взаємодіє з пристроєм чи програмою | Поведінка може бути зімітована |
| Відбитки пальців | Невід'ємність | Збережені відбитки пальців порівнюються з ліченим оптичним або електронним способом | Зображення може бути викрадено та використано для аутентифікації |
| Сканування очей | Невід'ємність | Порівнюються характеристики ока, такі як малюнок райдужної оболонки зіниці, з новими сканами, отриманими оптичним способом | Зображення може бути викрадено та використано для аутентифікації |
| розпізнавання обличчя | Невід'ємність | Порівнюються характеристики особи з новими сканами, отриманими оптичним способом | Зображення може бути викрадено та використано для аутентифікації |
| Розпізнавання голоса | Невід'ємність | Порівнюються характеристики записаного зразка голосу, з новими зразками | Запис може бути вкрадений і використаний для аутентифікації, або емульований |
У другій частині публікації на нас чекає найсмачніше — цифри та факти, на яких і базуються наведені у першій частині висновки та рекомендації. Буде окремо розглянуто автентифікацію в програмах користувача і в корпоративних системах.
До зустрічі!
Джерело: habr.com