Будущее биометрической идентификации, PIN-коды и пароли

Биометрия становится удобным методом аутентификации, занимающим всё более важное место в сфере обеспечения безопасности. Многие потребители уже имеют опыт работы с устройствами, основанными на биометрической идентификации, и все больше компаний предлагают подобные решения, как в области контроля доступа, так и для удовлетворения повышенных требований к информационной безопасности.

Доверие к биометрии – ответ на кибернетические угрозы, которые становятся все более сложными и целенаправленными. Исследования точности биометрической идентификации показывают, что лучшие результаты достигаются в случае комбинации методов математических алгоритмов и участия человека. Человек – не только слабое звено в вопросе обеспечения безопасности, он по-прежнему является важным элементом этого процесса. Для повышения точности и надёжности идентификации рекомендуется использовать многофакторный подход. Биометрия развивается в сторону многофакторной аутентификации. Например, по 2D и 3D-сканированию лица, по комбинации сканирования лица и радужной оболочки глаз.

Другие варианты: по рисунку кровеносных сосудов и отпечаткам пальца; по ID устройствам или контрольному коду конфигурации сканера и ещё одному биометрическому фактору. 15 мая 2018 года компания Apple получила патент США, в котором описывается механизм биометрической идентификации одновременно по чертам лица и рисунку на нём кровеносных сосудов.

Хотя биометрия становится удобным методом аутентификации, в ближайшее время отказа от паролей не ожидается. Например, Huawei при использовании биометрической разблокировки просит вводить пароль каждые три дня, а iPhone можно разблокировать с помощью сканирования лица или отпечатка пальца, но для изменения настроек устройства требуется ввод пароля. Он будет запрашиваться при каждой перезагрузке телефона, а также в некоторых других случаях:

• если Touch ID не использовался в течение восьми часов;
• если устройство ни разу не разблокировали с помощью пароля на протяжении шести дней;
• если устройством не пользовались на протяжении 48 часов; если был принят сигнал блокировки от сервиса Find My iPhone;
• после пятой неудачной попытки авторизоваться при помощи Touch ID;
• при добавлении новых отпечатков пальцев для Touch ID;
• для обновления прошивки устройства.

Защитить данные можно с помощью шифрования, но для этого необходим ключ. Поэтому, несмотря на то, что современные смартфоны имеют самые совершенные датчики для идентификации по лицу, они по-прежнему требуют ввод кода доступа для шифрования данных внутреннего хранилища. Сегодня биометрические функции хорошо зарекомендовали себя в СКУД, в области разграничения доступа к информационным ресурсам и финансовым данным, но пароли по-прежнему остаются необходимыми. Именно поэтому усовершенствованные решения по управлению паролями требуются как для потребительских, так и для корпоративных технологий. Биометрическая идентификация и секретные пароли дополняют друг друга, позволяя повысить общий уровень безопасности.

Чтобы отказаться от использования паролей, необходимо их чем-то заменить. Например, использовать в качестве ключа шифрования информацию о персональном устройстве пользователя: IMEI, ID SIM-карты, номер мобильного телефона или их комбинации. Слабая сторона этого решения заключается в том, что перечисленные данные не совсем секретные. Они зарегистрированы в информационных системах и имеют печатную копию.

Уникальный цифровой код устройства в этом отношении значительно надёжней. Такая защита может использоваться и для управления корпоративным доступом: тогда в ее качестве выступят не только параметры персональных устройств, но и ID корпоративного идентифицирующего оборудования. Например, серийный номер сканера вен ладони. Это защитит от компрометации биометрических данных и сделает невозможным их использование на других устройствах.

Описанный метод защиты практически незаменим для облачных услуг по управлению доступом или учёту рабочего времени. Из огромного многообразия (нескольких миллионов шаблонов) биометрических данных поиск и сравнение производятся только для разрешённых на конкретном устройстве сотрудников (их биометрических шаблонов).

Это повышает уровень безопасности и позволяет существенно увеличить скорость и точность биометрической идентификации за счёт уменьшения числа сравниваемых шаблонов – ниже порога вероятности возникновения ошибки.

Если для облачного решения требуется более высокий уровень безопасности, возможно мультимодальное решение, где одна модальность реализована в виде биометрической идентификации, вторая обеспечивает контроль идентификации на разрешённом устройстве, а третья представляет собой PIN-код, известный только конкретному пользователю.

Однако и у решения с контролем использования конкретного устройства идентификации есть слабая сторона. Оно не приемлемо для платёжных терминалов, в тех случаях, когда заранее не известно, на каком устройстве будет производиться биометрическая идентификация. Для таких ситуаций разрабатываются отменяемые алгоритмы биометрической идентификации, и, конечно, надо обязательно использовать PIN-код, который известен только одному пользователю.