Làm thế nào sinh trắc học thụ động có thể giúp bảo mật dữ liệu CNTT

Tác Giả: Roger Morrison
Ngày Sáng TạO: 23 Tháng Chín 2021
CậP NhậT Ngày Tháng: 1 Tháng BảY 2024
Anonim
Làm thế nào sinh trắc học thụ động có thể giúp bảo mật dữ liệu CNTT - Công Nghệ
Làm thế nào sinh trắc học thụ động có thể giúp bảo mật dữ liệu CNTT - Công Nghệ

NộI Dung


Nguồn: Dwnld777 / Giấc mơ

Lấy đi:

Sinh trắc học thụ động đang mở đường cho bảo mật không có mật khẩu có thể ngăn chặn tin tặc.

Tại thời điểm các biện pháp bảo mật dữ liệu thông thường bị hạn chế bởi các hạn chế như phụ thuộc quá nhiều vào quyền quyết định của người dùng và sự chấp nhận của người dùng, sinh trắc học thụ động có thể có khả năng cung cấp sự cân bằng về bảo mật và sự chấp nhận của người dùng. Các cơ chế bảo mật thông thường như mật khẩu và mã SMS chỉ mạnh bằng người dùng tạo ra chúng. Nó đã được tìm thấy rằng nhiều người dùng có xu hướng thiết lập mật khẩu yếu vì dễ nhớ chúng. Điều đó đánh bại mục đích chính của các cơ chế dựa trên mật khẩu hoặc mã bảo mật. Sinh trắc học thụ động không yêu cầu người dùng chủ động cung cấp thông tin xác thực, thu thập dữ liệu người dùng một cách thụ động dưới các hình thức như kỹ thuật nhận diện khuôn mặt, giọng nói và mống mắt. Mặc dù sinh trắc học thụ động với tư cách là một cơ chế bảo mật CNTT vẫn đang tìm được chỗ đứng riêng của mình, nhưng có thể nói rằng nó cung cấp một sự cân bằng tốt về sự thuận tiện của người dùng và bảo mật dữ liệu.


Sinh trắc học thụ động là gì?

Để xác định sinh trắc học, giám đốc tiếp thị của công ty sinh trắc học EyeVerify, Tinna Hung giải thích, Sinh trắc học dựa vào thứ gì đó bạn đang có, chứ không phải là thứ bạn biết.

Trong trường hợp sinh trắc học thụ động, người ta không cần chủ động tham gia vào quá trình xác minh hoặc nhận dạng, và đôi khi quá trình thậm chí không yêu cầu thông báo của người dùng; việc xác thực chỉ đơn giản diễn ra trong quá trình hoạt động bình thường của người dùng. Trong những trường hợp này, đối tượng không cần phải hành động trực tiếp hoặc thể chất. Khi hệ thống chạy mà không có kiến ​​thức của người dùng, nó sẽ cung cấp mức xác thực cao nhất.

Hệ thống tự động hóa công nghệ về cơ bản đo lường các đặc điểm hành vi hoặc sinh lý của con người, có hoặc không có kiến ​​thức của người dùng. Để có được ý tưởng tốt hơn về những gì sinh trắc học thụ động đòi hỏi, chúng ta có thể xem xét một số ví dụ so sánh của hệ thống này để tương phản với các hệ thống sinh trắc học tích cực. Ví dụ, bất kỳ công nghệ hình học ngón tay hoặc bàn tay sẽ được coi là sinh trắc học hoạt động, cũng như nhận dạng chữ ký và quét võng mạc. Điều này là do người dùng phải đặt tay lên hoặc nhìn vào thiết bị quét để nhận dạng. Tuy nhiên, sinh trắc học thụ động bao gồm các hệ thống nhận dạng giọng nói, khuôn mặt hoặc mống mắt. (Để tìm hiểu thêm về sinh trắc học, hãy xem Những tiến bộ mới trong Sinh trắc học: Mật khẩu an toàn hơn.)


Sinh trắc học thụ động hoạt động như thế nào

Một lời giải thích tuyệt vời về cách hoạt động của sinh trắc học thụ động được đưa ra bởi Ryan Wilk, giám đốc thành công của khách hàng của NuData. Theo lời của anh ấy, thì We Were đang xem xét cách người dùng thực sự tương tác: cách họ gõ, cách họ di chuyển chuột hoặc điện thoại, nơi họ đang sử dụng điện thoại, đọc số đo gia tốc của họ. Khi các dữ liệu đơn lẻ chỉ ra rằng chúng không hữu ích lắm, nhưng khi bạn bắt đầu kết hợp chúng lại với nhau thành một hồ sơ về người dùng đó là ai, bạn bắt đầu xây dựng một thứ gì đó thực sự sâu sắc và thực sự độc đáo, và một cái gì đó cực kỳ khó để giả mạo.

Sinh trắc học thụ động cung cấp cơ hội cho các tổ chức xác minh danh tính của khách hàng tùy thuộc vào hành vi tự nhiên của họ trong các tương tác công nghệ. Quá trình liên tục của giải pháp không xâm phạm này vẫn là vô hình đối với người dùng, vì nó không yêu cầu bất kỳ đăng ký hoặc cho phép để làm việc trong nền; nó không yêu cầu khách hàng thực hiện bất kỳ hành động bổ sung nào trong các hoạt động bình thường của họ. Phân tích thời gian thực của dữ liệu hành vi cung cấp các đánh giá chính xác cho các công ty để tách những kẻ xâm nhập khỏi các khách hàng xác thực. Do thông tin nhận dạng cá nhân (PII) không được ghi lại, tin tặc không bao giờ nhúng tay vào dữ liệu bí mật để can thiệp vào nhận dạng người dùng. Sinh trắc học thụ động là một tiến bộ mang tính cách mạng trong hành trình xác minh danh tính, có khả năng xóa sạch mọi cơ hội gian lận khỏi cốt lõi của khung xác thực tổ chức và có thể thêm một mức độ tin cậy mới trong toàn bộ vòng đời của tài khoản.

Tại sao nó lại quan trọng?

Công nghệ luôn khai sinh ra các hệ thống mới và các rào cản bảo mật để bảo vệ toàn bộ mạng khỏi các hoạt động độc hại. Nhưng, liệu nó có thể ngăn chặn các tin tặc và kẻ lừa đảo xuất sắc tìm thấy lỗ hổng trong hệ thống mãi mãi? Tuy nhiên, khi họ không có kiến ​​thức về một quy trình đang diễn ra, làm thế nào họ có thể vượt qua bài kiểm tra xác minh? Nếu họ không biết về một hệ thống nền, họ sẽ giành được bất kỳ biện pháp phòng ngừa nào ngay từ đầu. Đây là nơi sinh trắc học thụ động khác với các phương pháp xác minh khác. Và vì vậy, tầm quan trọng nằm ở đây quá. Không có gian lận có thể xảy ra khi lý do sử dụng gian lận được đưa ra ngay từ đầu.

Sinh trắc học thụ động giúp bảo mật dữ liệu như thế nào

Yêu cầu cho các hệ thống an ninh tinh vi và thỏa đáng hơn đã tăng lên trong một thời gian dài. Nhu cầu hiện đang thúc đẩy các mạng bảo mật đối với sinh trắc học, và đặc biệt là công nghệ thụ động, nơi người dùng không cần phải được thông báo về quá trình nhận dạng, tùy thuộc vào đặc điểm hành vi. (Để biết thêm về dữ liệu được sử dụng trong sinh trắc học thụ động, hãy xem Cách dữ liệu lớn có thể bảo mật xác thực người dùng.)

Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn

Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.

Hùng giải thích, Một giải pháp sinh trắc học được triển khai tốt sẽ phù hợp một cách tự nhiên với dòng chảy thường xuyên của hành vi người dùng. Sinh trắc học thụ động nắm giữ lợi thế chính của việc tạo một hồ sơ về cách người đó sử dụng máy chứ không chỉ là hồ sơ của chính máy đó. . Như Wilk giải thích, cách tiếp cận thụ động mở ra cuốn sách để hiểu người dùng ở mức độ gần như là một cấp độ tiềm thức.

Một cách tiếp cận thụ động khác, được tạo ra bởi công ty BioCatch, hoạt động bằng cách ghi lại và phân tích các hoạt động của người dùng mà họ không nhận ra họ thậm chí nhận ra họ đã làm. Các đặc điểm vật lý như đo ngón tay trên màn hình cảm ứng, tay hoạt động (trái hoặc phải) bằng chuột hoặc tần số rung của người dùng Tay cầm thiết bị cung cấp kết hợp dữ liệu chính xác để nhận dạng cấp tính của một khách hàng duy nhất. Ngoài ra, các đặc điểm nhận thức như phương pháp hành vi cuộn web của ai đó (phím mũi tên, bánh xe chuột, trang lên xuống, v.v.) hoặc kỹ thuật giữ thiết bị (ngang hoặc dọc, góc nghiêng của thiết bị, v.v.) cũng giúp tăng cường xác thực hệ thống.

Theo Oren Kedem, phó chủ tịch quản lý sản phẩm của BioCatch, họ cũng sử dụng những thách thức vô hình của hồi giáo đối với người dùng, trong đó hoạt động cho thấy sự thay đổi hầu như không đáng chú ý trong hành vi bình thường của người dùng. Ví dụ: ứng dụng có thể thay đổi một vài pixel của con trỏ theo hướng khác hoặc thay đổi một chút tốc độ cuộn trang để kiểm tra phản hồi duy nhất của người dùng. Phản ứng của họ đối với những sự cố này là vô cùng độc đáo, không thể lặp lại.

Như Kedem nói, chúng tôi không chỉ theo dõi những gì bạn làm, chúng tôi cũng ảnh hưởng đến những gì bạn làm. ... Chúng tôi hỏi bạn một câu hỏi mà không cần bạn hỏi và bạn cho chúng tôi một câu trả lời mà bạn biết. Nó có một bí mật mà có thể bị đánh cắp như mật khẩu hoặc mã thông báo.

Hệ thống được lập trình theo cách tự động phát hiện và ngăn chặn các botlo keylogging ghi lại và phát lại các chuyển động của mục tiêu. Điều này là do việc bắt chước phản hồi của người dùng là không thể xảy ra trong trường hợp có những thách thức vô hình, luôn thay đổi trong ứng dụng.

Tác động của nó đến các vấn đề an ninh trong thế giới thực là gì?

Dịch vụ tài chính và ngân hàng trên toàn thế giới đã bắt đầu dựa vào hệ thống mới này. Các nhà cung cấp bảo mật sinh trắc học như EyeVerify và Daon đang hợp tác với các tổ chức tài chính. EyeVerify đang hợp tác với Digital Insight để xác thực hệ thống bảo mật sinh trắc học trong các cơ sở ngân hàng di động và họ sắp ra mắt Eye ID dưới dạng một ứng dụng di động.

Năm 2014, công nghệ sinh trắc học do Daon triển khai đã bảo đảm 10,7 triệu người dùng của Ngân hàng tiết kiệm liên bang USAA trong quá trình trải nghiệm ngân hàng di động liền mạch. Trong trường hợp này, Richard Davey, cố vấn an ninh hàng đầu của USAA, nhận xét, những lo ngại phát sinh từ mối đe dọa lừa đảo, phần mềm độc hại và thông tin từ bên ngoài có nghĩa là các điều khiển xác thực và truy cập sẽ luôn bị đe dọa. Các công nghệ như sinh trắc học giảm thiểu các mối đe dọa đó đồng thời tạo điều kiện cho trải nghiệm người dùng cuối tuyệt đẹp.

Xác minh sinh trắc học bằng giọng nói thụ động ghi lại đăng ký người dùng bằng cách gửi một giọng nói duy nhất thông qua cuộc trò chuyện trong quá trình đăng ký ban đầu. Cuộc trò chuyện ban đầu này yêu cầu được tiếp tục trong 45 giây để khai thác dữ liệu nhận dạng. Sau đó, giọng nói được ghi nhận sẽ xác định người dùng bằng cách so sánh giọng nói tiếp theo thu được trong cuộc hội thoại tiếp theo họ thực hiện với trung tâm liên lạc.

Ngân hàng này đã triển khai công nghệ bảo mật mới cho nhân viên của họ, và sau đó, tại thị trường của họ ở San Antonio, Texas, tiếp theo là California và cuối cùng họ đã tung ra quy mô đầy đủ vào tháng 1 năm 2015. Phản hồi kết quả rất nổi bật. Ba tuần sau khi thực hiện, khoảng 100.000 khách hàng đăng ký xác thực sinh trắc học, và trong vòng mười tháng, số lượng khách hàng phản hồi đã tăng lên hơn một triệu.

Là phương pháp truyền thống Anymore hữu ích?

Một phân tích khảo sát kéo dài 90 ngày được thực hiện bởi Nudata Security vào năm 2015 cho thấy 112% tăng trưởng trong các cuộc tấn công web để lấy mật khẩu và tên người dùng, tăng từ năm 2014. Nguyên nhân đằng sau các tin tặc đạt được tiến bộ so với các hệ thống bảo mật truyền thống là gì? Hãy để ý nghĩ về nó kỹ lưỡng hơn một chút.

Tất cả những gì chúng ta làm là thỏa hiệp sức mạnh của mật khẩu để ghi nhớ chúng dễ dàng. Vâng, đây là thủ phạm. Đã có lúc một người chỉ quản lý hai hoặc ba tài khoản trực tuyến và không quá khó để nhớ mật khẩu quan trọng cho một số ít trường hợp. Vì vậy, quá trình này có liên quan để bảo vệ danh tính người tại thời điểm đó.

Nhưng bây giờ, bức tranh đã thay đổi đáng kể. Tất cả chúng ta đều nắm giữ rất nhiều tài khoản, nhiều đến nỗi đôi khi chúng ta thậm chí không thể theo dõi tất cả. Bây giờ, có thể nhớ một mật khẩu được tạo thành từ các số, ký hiệu và chữ cái ngẫu nhiên cho mỗi tài khoản không? Chắc chắn không phải. Vì vậy, những gì chúng tôi làm là thỏa hiệp các biện pháp phòng ngừa bảo mật bằng cách giữ một mẫu cho tất cả các mật khẩu của chúng tôi với một số thông tin đã biết hoặc chúng tôi tiếp tục quên các lựa chọn ngẫu nhiên của các mật khẩu mạnh và sau đó phải khôi phục chúng mọi lúc.

Giờ đây, cách gián tiếp để giữ an toàn cho danh tính của một người là cung cấp giải pháp cho cả sự hài lòng và bảo mật của người dùng, vì chúng tôi không cần phải lựa chọn để giữ an toàn cho hệ thống của mình và ghi nhớ nó. Tin tặc cũng gặp khó khăn trong việc học cách xác định nơi hệ thống an ninh được triển khai. Do đó, các cách trước đây của họ để có quyền truy cập vào tài khoản khác không hoạt động tốt nữa.

Tương lai là gì?

Theo Grissen và Hung, các hệ thống sinh trắc học sẽ không còn ở giai đoạn tùy chọn, mà sẽ thống trị toàn bộ mạng lưới các hệ thống bảo mật về các vấn đề của bảo mật trên mạng so với sự thuận tiện, trong tương lai gần.

Công nghệ đang phát triển chính xác hơn và trở nên dễ dàng hơn để cài đặt vào các ứng dụng web và ứng dụng di động. Các thuật toán mới đang được triển khai để triển khai từ xa bổ sung để tăng cường các cấu hình hành vi như định hướng thiết bị trên một loạt các thiết bị.

Hợp nhất giữa SIEM (thông tin bảo mật và quản lý sự kiện) và phân khúc thị trường UEBA (phân tích hành vi người dùng và thực thể) là tương lai cho sự phát triển trong mọi khía cạnh của doanh nghiệp, như chúng ta có thể thấy trong trường hợp các nhà cung cấp SIEM, mua lại Splunk Caspida. Họ đang lên kế hoạch cho các con đường tiếp theo để cung cấp trải nghiệm hiệu quả hơn cho khách hàng của họ trong việc triển khai SIEM, thêm lịch sử lâu dài của dữ liệu hiện có vào đó. Các hình thức phân tích hành vi khác nhau đang được chứng minh là một bổ sung bắt buộc để giảm thiểu vấn đề an ninh và để giành chiến thắng trong cuộc chiến tranh lạnh dài hạn chống lại những kẻ lừa đảo.

Phần kết luận

Cuối cùng, chúng ta có thể nói rằng tương lai sẽ mang đến nhiều thời điểm khó khăn cho những kẻ lừa đảo, vì chúng sẽ bị đánh gục bởi cuộc tấn công kết hợp xác minh kiến ​​thức và phân tích hành vi trong các thủ tục bảo mật. Năm 2016, Phó Bộ trưởng Tài chính Sarah Bloom Raskin tuyên bố, thiết kế Hệ thống đang phát triển để đối phó với thách thức xác thực do mật khẩu bị đánh cắp hoặc dễ bị xâm phạm: thế hệ xác minh danh tính trực tuyến tiếp theo kết hợp những gì khách hàng biết và có, với những gì họ làm hoặc sinh trắc học hành vi.