Skirtingi autentifikavimo būdai – kas laimėtų saugumo lenktynes?

Publikuota: 2020-10-15
svg svg

Ilgą laiką buvęs mūsų atpažinimo karaliumi, slaptažodis sulaukia vis daugiau kritikos. Neretai slaptažodžiai kuriami tokie, kad juos būtų lengva įsiminti, tie patys naudojami skirtingoms paskyroms, tad juos programišiams išgauti tampa vis paprasčiau. Netylant kalboms apie augančius saugumo poreikius, atsiranda vis daugiau autentifikavimo sprendimų. Tad ką apie autentifikaciją turėtume papasakoti savo darbuotojams ir kokius atpažinimo būdus verta naudoti verslo organizacijoms?

Biometriniai duomenys

Itin sparčiai populiarėjantis būdas autentifikacijai – biometrinių duomenų naudojimas. Tam reikalingi keli „ingredientai“ – jūsų biologiniai duomenys, prietaisas, kuris juos nuskaito bei programa, kuri juos apdoroja. Dažniausiai naudojami biologiniai duomenys yra šie:

  • Veidas (veido matmenys, tarpas tarp akių, akiduobių gylis, žandikaulio linija ir pan.);

  • Balsas (tembras, gylis, virpesiai ir pan.);
  • Piršto atspaudas (unikalių piršto pagalvėlę dengiančių vagelių raštai bei atstumai tarp jų);
  • Būdinga elgsena (rašymo stilius, stovėsenos bei bendravimo manieros ir pan.).

nuotrauka::1 right

Vytautas Pranckėnas, biometrinius atpažinimo sprendimus kuriančios lietuviškos įmonės Neurotechnology produktų vadovas, sako, kad šie skirtingi būdai turi savų pliusų ir savų minusų:

„Biometriniai duomenys ir juos atpažįstančios sistemos yra tik keli komponentai – labai svarbūs ir patys įrenginiai, aplinka, kurioje vyksta atpažinimas bei naudojimo tikslai. Kuris biometrinių duomenų tipas yra patikimiausias? Šiuo metu tai – piršto atspaudas, kuris ir kiekvienam žmogui unikalus, ir atpažinimo technologijos yra gana pažangios. Akies rainelė taip pat labai patikima, tačiau rinkoje šiuo metu mažiau įrenginių akies rainelės nuskaitymui. Veido atpažinimas, nors labai paplitęs, nėra toks patikimas – šiam autentifikacijos būdui daug iššūkių kelia kaukės bei galimybė panaudoti žmogaus nuotrauką. Balso atpažinimas neretai yra tiesiog nepraktiškas, nes ‚įsimaišo‘ pašalinių garsų.“

Specialistas taip pat pabrėžia, kad organizacijoms renkantis atpažinimo sistemas, svarbūs būna ne vienas, bet keli kriterijai:

„Dažnai atpažinimo sistemoms keliamas lūkestis – kad šios efektyviai padėtų identifikuoti asmenį, o efektyvumas pasižymi balansu tarp patogumo ir saugumo. Neretai šios sistemos yra pajėgios turėti gana nedidelę tolerancijos ribą, tačiau tuomet jomis tampa ne taip patogu naudotis, nes, pavyzdžiui, ant piršto antspaudo skaitytuvo susikaupus nešvarumams arba tiesiog pridėjus nešvarią ranką, jis gali nesuveikti. Taip pat neretai galvojama ir apie pačias situacijas, kai bus naudojama autentifikacija – ar bus patogu? Todėl veido atpažinimo sistemos tokios paplitusios, nors nėra pačios patikimiausios – veidą galima nuskaityti per atstumą, nereikia tiesioginio kontakto su įrenginiu. Šis elementas tapo ypač svarbus dabar, kai žmonės stengiasi liesti kuo mažiau paviršių.“

Ar biometrinių duomenų naudojimas autentifikacijai yra saugesnis nei kito pobūdžio priemonės? Šiuo metu vagystėse biometrinės autentifikacijos spragomis nėra plačiai naudojamasi, ypač palyginus su slaptažodžių panaudojimu. Pastaruoju atveju skaitmeniniai nusikaltėliai atakas gali vykdyti nuotoliniu būdu. Tuo metu biometrinė autentifikacija reikalauja turėti įrenginį, su kuriuo susietas vartotojo piršto atspaudas ar veido atvaizdas, pavyzdžiui, jūsų telefoną. Taip pat, ties biometrinių duomenų saugumo klausimu darbuojasi nemažai įmonių, pasitelkiamas dirbtinis intelektas. Pavyzdžiui, amerikiečių kompanija Trueface siekia dirbtinio intelekto pagalba kuo labiau sumažinti tikimybę, kad veido atpažinimui tiesiog bus pasinaudota žmogaus nuotrauka.

Kelių faktorių autentifikavimas

Įrenginio ar programėlės prašymas po slaptažodžio suvedimo, dar ir patvirtinti gavus raidinį ar skaitinį kodą, jau nieko nebestebina. Kelių skirtingų faktorių autentifikavimo būdai išties sumažina tikimybę, kad prie įrenginio ar paskyros bus lengva prisijungti pašaliniams asmenims. Visgi, svarbu atkreipti dėmesį, kad į priekį žengiant apsaugos priemonėms, tobulėja ir programišiai – pranešama apie vis daugiau atvejų, kai tų kelių faktorių patvirtinimas yra išviliojamas gerai pažįstamu el. manipuliavimo (angl. phishing) metodu. Deja, neretai kelių faktorių autentifikacijos sprendimai sulaukia kritikos dėl nepatogumo juos naudojant – jie prailgina prisijungimo laiką ir tai ypač erzina, kai veiksmą reikia atlikti itin greitai.

Autentifikacija ir saugumas

Daiktai ar technologijos savaime nėra saugūs ar nesaugūs. Svarbu, kaip juos naudojame tam tikruose scenarijuose: pavyzdžiui, autentifikuojantis elektroninėje erdvėje ar pasirašant elektroninį dokumentą.

nuotrauka::2 right

„Kaip ir kirvis ir peilis – sunku palyginti jų saugumą, bet suprantame, kad pjaustant pomidorus salotoms, peilis turi būti saugiai naudojamas, kad nesusižeistumėme. Turint kirvį, tai padaryti sunkiau, nes jis turėtų būti labai aštrus, ir virtuvėje su juo dirbti būtų sudėtingiau. Visas išvardintas biometrines technologijas galima naudoti saugiam autentifikavimui, o štai saugiam dokumentų pasirašymui tinka tik e-parašas – EIDAS standartais apibrėžta forma (fiziškai apsaugotas nuo modifikavimo, vienareikšmiškai susietas su asmeniu). Naudodami žodį „saugumas“, turime išties pagalvoti apie bent kelis dalykus – kad informacija bus ne tik apsaugota, bet ir pasiekiama bei nepakeista“, — sako Vilius Benetis, NRD Cyber Security vadovas.

Tokiu atveju reikia galvoti tiek apie rezultato, tiek ir apie priemonės saugumą (kad priemonės būtų prieinamos). Taip pat kiekvienam iš mūsų yra svarbu, kad saugus naudojimas būtų ir patogus. Nors biometriniai duomenys užtikrina pakankamai aukšto lygio apsaugą, jie patys turi būti naudojami itin atsakingai. Savo biometrinių duomenų asmuo negali pakeisti, todėl kibernetiniams nusikaltėliams kartą juos gavus, toliau jais naudotis gali būti nesaugu, rizikinga (piktavalis gali arba apsimesti asmeniu, arba sumažinti asmens privatumą – sugebėdamas identifikuoti ir atpažinti asmenį tarp žmonių aibės – kaip pavyzdys, Kinija, dėl skirtingų privatumo įstatymų, yra itin pažengusi šioje srityje) ir tuomet teks pasirinkti kitas alternatyvas. Todėl, norintiems naudoti biometrinę apsaugą, pravartu įvertinti ir pačių įrenginių, kuriuose ji naudojama, saugumą. Turime būti tikri, kad biometriniai duomenys naudojami atpažinimui yra užšifruoti ir tinkamai saugomi pačiame įrenginyje. Taip bando elgtis stipriausi mobilių telefonų gamintojai. Be to, reikia atkreipti dėmesį į tai, kokioms programėlėms savo telefone suteikiame prieigą prie biometrinių duomenų, naudojamų identifikavimui.

Atpažinimo sprendimai versle

Namų ir darbo erdvės tampa vis glaudžiau susijusios – asmeninėms reikmėms yra naudojami darbiniai įrenginiai ir atvirkščiai. Greičiausiai savo organizacijoje jau edukuojate darbuotojus apie „stiprius“ ir „nestiprius“ slaptažodžius. Jeigu to dar nedarote, galite pasinaudoti Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos sukurta medžiaga. Tačiau verta kalbėti ne tik apie slaptažodžius, bet ir apie kitus autentifikacijos būdus, apie kelių faktorių autentifikaciją ir susijusias rizikas. Nėra vieno unikalaus saugaus atpažinimo būdo, nes apsaugos priemonių kūrėjai bei programišiai nuolatos konkuruoja ir  stengiasi tobulėti savo srityje.

Jeigu planuojate savo paslaugų teikime naudoti kurį nors atpažinimo sprendimą, svarbu įsivertinti, kokius duomenis ketinate apsaugoti. Kibernetinio saugumo bendruomenė sutinka, kad slaptažodžių retai kur beužtenka saugumui užtikrinti. Biometrinės prisijungimo priemonės taip pat nėra tobulos, bet gerai tinka tam tikrose srityse, pavyzdžiui, bankininkystėje arba teisėsaugoje. Kelių faktorių autentifikacija turi nemažai pranašumų, tačiau verta pagalvoti ar skirtingi duomenys negali būti išvilioti naudojant tą patį metodą, kaip, pavyzdžiui, el. manipuliavimą. Taip pat, ar bus balansas tarp saugumo užtikrinimo bei vartotojo patogumo.

Svarbu domėtis, kokie pokyčiai vyksta saugumo sprendimų fronte. Biometrinių ar asmeninių duomenų apsaugos inovacijų perspektyvoje matomos dvi sritys – tikslesni algoritmai, skirti kokybiškiau atpažinti konkretų asmenį, taip neleidžiant padirbtiems biometrijos duomenims apgavinėti daviklius, bei geresnė biometrinių duomenų apsauga įrenginiuose, kur jie yra saugomi.

Straipsnį inicijavo NRD Cyber Security, kibernetinio saugumo įmonė, kuri specializuojasi kibernetinių incidentų stebėjime ir reagavimo gebėjimų stiprinime. Daugiau apie kibernetinių grėsmių stebėjimą ir reagavimą galite sužinoti spalio 21 d. vyksiančioje konferencijoje Kibernetinė gynyba Lietuvoje 2020: stebėjimas ir reagavimas.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Skirtingi autentifikavimo būdai – kas laimėtų saugumo lenktynes? Verslo tribūna

Ilgą laiką buvęs mūsų atpažinimo karaliumi, slaptažodis sulaukia vis daugiau kritikos. Neretai slaptažodžiai...

2020.10.15

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus