Behaviorální biometrie jako lék proti heslům

Behaviorální biometrie analyzuje chování uživatelů a poskytuje hodnocení o stupni pravděpodobnosti, že osoba pokoušející se o přístup je tím, za koho se vydává.

Behaviorální biometrie jako lék proti heslům


Nástroje behaviorální biometrie pracují transparentně v pozadí, takže uživatelé nemusejí nutně vědět, že jsou vlastně současně ověřovaní. Tyto nástroje obvykle využívají technologie v zařízení uživatele včetně akcelerometrů, snímačů tlaku a dotykových displejů.

Signály ze zařízení a jejich snímačů identifikují jedince na základě jejich rychlosti psaní, pohybů rukou, a dokonce způsobu, jak drží zařízení.

Dohromady tyto signály vytvářejí pro každého jednotlivce digitální profil, který se pak tokenizuje a zašifruje. Pokud dojde ke kompromitaci tokenu, je biometrický profil stále bezpečný a použitelný.

„Behaviorální biometrie je technologie nové generace, která se konkrétně zaměřuje na behaviorální faktory a snaží se je používat jako formu autentizace,“ popisuje Ben Goodman, viceprezident pro globální strategii a inovace společnosti ForgeRock, která je poskytovatelem správy identit.

„V této oblasti existuje od našich zákazníků velká poptávka. Všechno, co pomáhá při eliminaci hesel, je velmi přínosné pro kvalitu prostředí koncového uživatele i pro zvýšení bezpečnosti.“

Nenechte se ale chytit do pasti „neracionální radosti“ z behaviorální biometrie či jiné autentizační technologie, upozorňuje Goodman.  

„Nepovažujeme žádnou autentizační technologii za izolovaný všelék. Je potřebné, aby vše pracovalo společně jako nástroje ke zlepšení uživatelského prostředí a bezpečnosti uživatelů. Ať už používají heslo nebo tradiční biometrii s identifikací pomocí obličeje či dotyku, funguje to dohromady.“

Správná sada nástrojů vám podle něj umožní uspořádat různé prostředky, metodiky a signály, které získáte při autentizaci uživatelů, a vytvoří tak nejbezpečnější možnou autentizaci.“

 

Kde ji využít?

Například behaviorální biometrie může být užitečná k eliminaci automatizovaného robotického útoku. Boty sice zadají údaje, jako jsou uživatelská jména a hesla, ale s použitím mnohem vyšší rychlosti, než tak činí člověk, upozorňuje Goodman.

„Mohu vytvořit profil pro člověka v zařízení nebo člověka interagujícího s webem. Když začne interagovat bot nebo něco jiného, je vidět značný rozdíl ve způsobu, jak probíhá interakce s webem či aplikací.“

Biometrie je obzvláště užitečná při autentizaci na pozadí pro akce s nízkým rizikem, jako je například kontrola zůstatku na účtu v bance, protože funguje pro uživatele transparentním způsobem. Uživatel může rychle plnit úkol bez přerušení, dokud bude mít hodnocení jistoty od softwaru dostatečnou hodnotu.

I v případě, když behaviorální biometrie dokáže identifikovat uživatele s dostatečnou jistotou, aby mu to  umožnilo vykonávat citlivější úkoly, jako je převod prostředků, Goodman doporučuje, abyste „do procesu vložili nějaký typ upozornění“, který poskytne uživateli jistotu, že je samozřejmě autentizován.

„Uživatel by mohl vnímat jako nepříjemné, když by otevřel aplikaci, šel by převést deset tisíc dolarů a nikdy by nebyl požádán o ověření otiskem prstu, ověření fotografií nebo něco, co by přidalo do procesu nějakou formu tření jevící se jako ověření.

„Můžeme vkládat takové přídavné prvky a přídavné zabezpečení podle rizika či hodnoty určité transakce a udělat to, když to bude vhodné, na rozdíl od hromady požadavků na počátku. Vytváří to lepší uživatelské prostředí a domníváme se, že z dlouhodobého pohledu i vyšší úroveň zabezpečení.“

Nárůst mobilních zařízení udělal z behaviorální biometrie mnohem životaschopnější autentizační nástroj, domnívá se Goodman.

„Více lidí pracuje se službami v mobilním kontextu. To provozovatelům zabezpečovacích služeb umožňuje shromažďovat mnohem více dat, protože telefony a tablety v sobě mají spoustu snímačů,“ vysvětluje.

S využitím senzorů v těchto zařízeních získají poskytovatelé behaviorální biometrie za delší dobu mnohem více údajů. S využitím strojového učení a umělé inteligence dokázali vytvořit i spolehlivější profily.

„To vše umožnilo získat mnohem vyšší úroveň jistoty při využívání behaviorální biometrie. To je důvod, proč se při zavádění těchto technologií setkáváme s určitým množstvím zásadních změn,“ vysvětluje.

 

Potenciální problémy

S takovým objemem uživatelských dat se však pojí riziko kolize se stále rostoucím počtem předpisů o osobních údajích. Proto je důležité, aby se behaviorální biometrie párovala s nástroji, jaké nabízí např. ForgeRock, aby nad tím uživatelé měli určitou kontrolu.

Goodman upozorňuje, že soukromí a udělení souhlasu jsou pro ně velmi důležité. „Máme technologii nazvanou ‚uživatelem spravovaný přístup‘, která je integrovaná v naší platformě a umožňuje uživateli správu jeho osobních citlivých údajů (PII, Personally Identifiable Information) a udělovat či odvolávat souhlas s jejich sdílením.“

Když se někdo pokusí implementovat tyto typy služeb, a nezohledňuje přitom dlouhodobé důsledky pro ochranu soukromí, připravuje si tak budoucí neúspěch.

Veškerý přínos pro značku, který se může objevit v důsledku poskytování příjemnějšího a bezpečnějšího uživatelského prostředí, se totiž ztratí, když dojde k ohrožení osobních citlivých údajů lidí.“

Potenciální překážkou pro používání behaviorální biometrie je integrace technologie se staršími systémy. „Je to málokdy tak snadné, že byste to jen nainstalovali a fungovalo by to,“ upozorňuje Goodman.

Potřebujete kompletní síť provázání, která tyto věci umožňuje v reálném světě. Goodman ještě poznamenává, že některé společnosti jen chtějí přidat behaviorální biometrii k tomu, co už mají.

„Tak jednoduché to ale není. Musíte ji propojit se staršími systémy, vývojovým prostředím, sadami SDK, rozhraními API, prostě se vším – se všemi podpůrnými technologiemi, které její fungování umožňují.“

Úvodní foto: Fotolia © leowolfert



Vyšlo v SecurityWorld 4/2018








Komentáře