Pokud lze takto snadno obelstít biometrii, musíme si promluvit

10. 1. 2022

Sdílet

 Autor: Depositphotos
Případ spící Číňanky, kterou okradl její bývalý přítel, poukázal na to, jak nedostatečné je k autentizaci použití biometrie.

Je to jedna ze smutných skutečností mobilní autentizace, že průmysl má tendence zprvu podporovat ta nejméně efektivní zabezpečovací řešení. A tak výrobci mobilních telefonů nejdřív fandili autentizaci otiskem prstu (který však mohou ovlivnit čistící prostředky, zranění ruky a řada dalších faktorů) a posléze zaměřili svou pozornost na rozpoznávání tváře.

Ta je, alespoň teoreticky, přesnější. Matematicky vzato ano, jelikož skenuje více referenčních bodů než sken otisku prstu. Realita skutečného světa je však komplikovanější. Rozpoznání tváře si žádá její konkrétní vzdálenost od telefonu, přičemž nenabízí žádné markery, s jejichž pomocí by uživatel rozpoznal, zda je vzdálený správně. To je jeden z důvodů, proč je zhruba 40 % mých pokusů o rozpoznání tváře zprvu zamítnuto, třebaže dvě vteřiny nato je sken schválen jako správný.

Využíváte už ve firmě autonomní agenty postavené na bázi umělé inteligence?

Když s rozpoznáváním tváře přišel Apple, stávalo se, že telefon dokázali odemknout rodinní příslušníci, nejen dvojčata. Od té doby tento typ biometrie prošel vývojem, aktuální případ z Číny však ukazuje, že stále není ideální – muž přistoupil ke spící ženě, své bývalé přítelkyni, pootevřel jí oční víčka, a zakrátko byl v telefonu, s jehož využitím své ex vybílil bankovní účet. Krom toho, že to není ideální způsob, jak svou bývalku získat zpět, z pohledu kyberbezpečnosti případ upozornil na to, že mobilní zařízení potřebují mnohem přísnější metody zabezpečení.

Nejlepší způsob by tak byl využívat slabší metody jako jsou hesla, PINy či jednodušší biometrika k pohodlnému přístupu k účtům s nižší prioritou, například k odemčení telefonu pro zkontrolování předpovědi počasí. Pro zacházení s penězi a přístup k sociálním či podnikovým sítím by měla být vyžadována analytika chování.

Z její podstaty by bylo pro zloděje obtížné napodobit majitele zcizeného zařízení. Přiložit prst bezvládného člověka na jeho telefon či pootevřít víčka spící expřítelkyni je zjevně snadné. PINy a hesla se zcizují ještě snáz. Ovšem napodobit, kolik uživatel udělá překlepů na každých sto slov? Nebo rychlost jeho psaní? Nebo úhel, pod jakým zpravidla telefon drží? To jsou výsostně individuální záležitosti, které je těžké zfalšovat. Jistě, některé faktory analytiky chování lze napodobit, proto je ale třeba využít jich co nejvíce a kombinovat.

Jedna z nejlepších věcí na analytice chování je, že probíhá v tichosti na pozadí, takže pro uživatele je nejen praktická, ale též nenápadná. Jde tedy o pevnější a spolehlivější způsob autentizace, který je pro uživatele snazší využívat ve srovnání s hesly a biometrikou. To ji činí zároveň akceptovatelnější, přičemž fakt, že se děje netušeně, o to víc komplikuje život potenciálnímu zloději či narušiteli, který si nemůže být jist tím, co systém v danou chvíli zrovna měří.

Analytika chování navíc dokáže zmařit i ty nejagresivnější způsoby útočníků jako je například sken tváře pod pohrůžkou použití násilí. Strach a úzkost napadeného totiž znásobí počet překlepů či zpomalí rychlost psaní, což může být zároveň využito pro vyslání nouzového signálu.

Důvod, proč jde pro rok 2022 o tak zásadní téma, je ten, že skrze mobilní zařízení se budeme do citlivých služeb a databází přihlašovat čím dál tím častěji. Nacházíme se v době, kdy IT oddělení nemohou předpokládat, že zabezpečení stolních počítačů je dostatečné. I kdyby byli všichni zaměstnanci vybaveni notebooky s dostatečnými oprávněními, neexistuje firma, která by od přístupu přes mobilní telefony odrazovala. Koneckonců, jejich význam (i související problémy) porostou též s postupným oživováním cestovního ruchu, respektive zaměstnanecké mobility. Útočníci tak budou víc než kdy jindy zaměřeni právě na mobilní zařízení.

ICTS24

Nejčastěji skloňovaným kyberbezpečnostním pojmem dneška je Zero Trust neboli model zabezpečení s nulovou důvěrou. Každá novinka, která jej chce smysluplně uchopit, však musí k autentizaci přistoupit daleko komplexněji a začít důkladnou revizí správy přístupu a nastavení oprávnění. V případě mobilních zařízení autentizace zkrátka musí být jednoznačnou prioritou. Cestou nejmenšího odporu je prohloubení autentizace probíhající přímo v zařízení. Fungovat však může jen tehdy, pokud biometrie bude ne jediným, ale jen jedním z více ověřovacích prvků.

Jste-li skeptičtí, pak možná potřebujete potkat onoho Číňana…

 

Získejte pro svůj produkt či službu ocenění IT produkt roku! Soutěž „IT produkt roku“ vyhlašuje redakce Computerworldu s cílem vyzdvihnout výrobky disponující vlastnostmi, které je významně odlišují od konkurenčních produktů stejné kategorie. Může přitom jít jak o celkově inovativní pojetí produktu, tak o jednotlivé funkční zdokonalení, výrazně zjednodušené ovládání nebo třeba o výjimečně příznivou cenu.

Soutěž probíhá ve třech samostatných kolech v kalendářním roce a každý postupující produkt či služba do jednoho ze tří finálových kol získává právo na titul IT produkt roku.

Máte-li zájem účastnit se soutěže IT produkt roku, neváhejte. Kontaktujte nás prosím na itprodukt@iinfo.cz.

O přihlášku a více informací si můžete napsat nebo zavolat na telefonech 776 204 420 nebo 604 266 707 či 725 326 893, případně na také na adrese itprodukt@iinfo.cz.