Skirtingi autentifikavimo būdai – kas laimėtų saugumo lenktynes?

Reklama publikuota: 2020-10-15
svg svg

Ilgą laiką buvęs mūsų atpažinimo karaliumi, slaptažodis sulaukia vis daugiau kritikos. Neretai slaptažodžiai kuriami tokie, kad juos būtų lengva įsiminti, tie patys naudojami skirtingoms paskyroms, tad juos programišiams išgauti tampa vis paprasčiau. Netylant kalboms apie augančius saugumo poreikius, atsiranda vis daugiau autentifikavimo sprendimų. Tad ką apie autentifikaciją turėtume papasakoti savo darbuotojams ir kokius atpažinimo būdus verta naudoti verslo organizacijoms?

Biometriniai duomenys

Itin sparčiai populiarėjantis būdas autentifikacijai – biometrinių duomenų naudojimas. Tam reikalingi keli „ingredientai“ – jūsų biologiniai duomenys, prietaisas, kuris juos nuskaito bei programa, kuri juos apdoroja. Dažniausiai naudojami biologiniai duomenys yra šie:

  • Veidas (veido matmenys, tarpas tarp akių, akiduobių gylis, žandikaulio linija ir pan.);
  • Balsas (tembras, gylis, virpesiai ir pan.);
  • Piršto atspaudas (unikalių piršto pagalvėlę dengiančių vagelių raštai bei atstumai tarp jų);
  • Būdinga elgsena (rašymo stilius, stovėsenos bei bendravimo manieros ir pan.).

nuotrauka::1 right

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Vytautas Pranckėnas, biometrinius atpažinimo sprendimus kuriančios lietuviškos įmonės Neurotechnology produktų vadovas, sako, kad šie skirtingi būdai turi savų pliusų ir savų minusų:

„Biometriniai duomenys ir juos atpažįstančios sistemos yra tik keli komponentai – labai svarbūs ir patys įrenginiai, aplinka, kurioje vyksta atpažinimas bei naudojimo tikslai. Kuris biometrinių duomenų tipas yra patikimiausias? Šiuo metu tai – piršto atspaudas, kuris ir kiekvienam žmogui unikalus, ir atpažinimo technologijos yra gana pažangios. Akies rainelė taip pat labai patikima, tačiau rinkoje šiuo metu mažiau įrenginių akies rainelės nuskaitymui. Veido atpažinimas, nors labai paplitęs, nėra toks patikimas – šiam autentifikacijos būdui daug iššūkių kelia kaukės bei galimybė panaudoti žmogaus nuotrauką. Balso atpažinimas neretai yra tiesiog nepraktiškas, nes ‚įsimaišo‘ pašalinių garsų.“

Specialistas taip pat pabrėžia, kad organizacijoms renkantis atpažinimo sistemas, svarbūs būna ne vienas, bet keli kriterijai:

„Dažnai atpažinimo sistemoms keliamas lūkestis – kad šios efektyviai padėtų identifikuoti asmenį, o efektyvumas pasižymi balansu tarp patogumo ir saugumo. Neretai šios sistemos yra pajėgios turėti gana nedidelę tolerancijos ribą, tačiau tuomet jomis tampa ne taip patogu naudotis, nes, pavyzdžiui, ant piršto antspaudo skaitytuvo susikaupus nešvarumams arba tiesiog pridėjus nešvarią ranką, jis gali nesuveikti. Taip pat neretai galvojama ir apie pačias situacijas, kai bus naudojama autentifikacija – ar bus patogu? Todėl veido atpažinimo sistemos tokios paplitusios, nors nėra pačios patikimiausios – veidą galima nuskaityti per atstumą, nereikia tiesioginio kontakto su įrenginiu. Šis elementas tapo ypač svarbus dabar, kai žmonės stengiasi liesti kuo mažiau paviršių.“

Ar biometrinių duomenų naudojimas autentifikacijai yra saugesnis nei kito pobūdžio priemonės? Šiuo metu vagystėse biometrinės autentifikacijos spragomis nėra plačiai naudojamasi, ypač palyginus su slaptažodžių panaudojimu. Pastaruoju atveju skaitmeniniai nusikaltėliai atakas gali vykdyti nuotoliniu būdu. Tuo metu biometrinė autentifikacija reikalauja turėti įrenginį, su kuriuo susietas vartotojo piršto atspaudas ar veido atvaizdas, pavyzdžiui, jūsų telefoną. Taip pat, ties biometrinių duomenų saugumo klausimu darbuojasi nemažai įmonių, pasitelkiamas dirbtinis intelektas. Pavyzdžiui, amerikiečių kompanija Trueface siekia dirbtinio intelekto pagalba kuo labiau sumažinti tikimybę, kad veido atpažinimui tiesiog bus pasinaudota žmogaus nuotrauka.

Kelių faktorių autentifikavimas

Įrenginio ar programėlės prašymas po slaptažodžio suvedimo, dar ir patvirtinti gavus raidinį ar skaitinį kodą, jau nieko nebestebina. Kelių skirtingų faktorių autentifikavimo būdai išties sumažina tikimybę, kad prie įrenginio ar paskyros bus lengva prisijungti pašaliniams asmenims. Visgi, svarbu atkreipti dėmesį, kad į priekį žengiant apsaugos priemonėms, tobulėja ir programišiai – pranešama apie vis daugiau atvejų, kai tų kelių faktorių patvirtinimas yra išviliojamas gerai pažįstamu el. manipuliavimo (angl. phishing) metodu. Deja, neretai kelių faktorių autentifikacijos sprendimai sulaukia kritikos dėl nepatogumo juos naudojant – jie prailgina prisijungimo laiką ir tai ypač erzina, kai veiksmą reikia atlikti itin greitai.

Autentifikacija ir saugumas

Daiktai ar technologijos savaime nėra saugūs ar nesaugūs. Svarbu, kaip juos naudojame tam tikruose scenarijuose: pavyzdžiui, autentifikuojantis elektroninėje erdvėje ar pasirašant elektroninį dokumentą.

nuotrauka::2 right

„Kaip ir kirvis ir peilis – sunku palyginti jų saugumą, bet suprantame, kad pjaustant pomidorus salotoms, peilis turi būti saugiai naudojamas, kad nesusižeistumėme. Turint kirvį, tai padaryti sunkiau, nes jis turėtų būti labai aštrus, ir virtuvėje su juo dirbti būtų sudėtingiau. Visas išvardintas biometrines technologijas galima naudoti saugiam autentifikavimui, o štai saugiam dokumentų pasirašymui tinka tik e-parašas – EIDAS standartais apibrėžta forma (fiziškai apsaugotas nuo modifikavimo, vienareikšmiškai susietas su asmeniu). Naudodami žodį „saugumas“, turime išties pagalvoti apie bent kelis dalykus – kad informacija bus ne tik apsaugota, bet ir pasiekiama bei nepakeista“, — sako Vilius Benetis, NRD Cyber Security vadovas.

Tokiu atveju reikia galvoti tiek apie rezultato, tiek ir apie priemonės saugumą (kad priemonės būtų prieinamos). Taip pat kiekvienam iš mūsų yra svarbu, kad saugus naudojimas būtų ir patogus. Nors biometriniai duomenys užtikrina pakankamai aukšto lygio apsaugą, jie patys turi būti naudojami itin atsakingai. Savo biometrinių duomenų asmuo negali pakeisti, todėl kibernetiniams nusikaltėliams kartą juos gavus, toliau jais naudotis gali būti nesaugu, rizikinga (piktavalis gali arba apsimesti asmeniu, arba sumažinti asmens privatumą – sugebėdamas identifikuoti ir atpažinti asmenį tarp žmonių aibės – kaip pavyzdys, Kinija, dėl skirtingų privatumo įstatymų, yra itin pažengusi šioje srityje) ir tuomet teks pasirinkti kitas alternatyvas. Todėl, norintiems naudoti biometrinę apsaugą, pravartu įvertinti ir pačių įrenginių, kuriuose ji naudojama, saugumą. Turime būti tikri, kad biometriniai duomenys naudojami atpažinimui yra užšifruoti ir tinkamai saugomi pačiame įrenginyje. Taip bando elgtis stipriausi mobilių telefonų gamintojai. Be to, reikia atkreipti dėmesį į tai, kokioms programėlėms savo telefone suteikiame prieigą prie biometrinių duomenų, naudojamų identifikavimui.

Atpažinimo sprendimai versle

Namų ir darbo erdvės tampa vis glaudžiau susijusios – asmeninėms reikmėms yra naudojami darbiniai įrenginiai ir atvirkščiai. Greičiausiai savo organizacijoje jau edukuojate darbuotojus apie „stiprius“ ir „nestiprius“ slaptažodžius. Jeigu to dar nedarote, galite pasinaudoti Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos sukurta medžiaga. Tačiau verta kalbėti ne tik apie slaptažodžius, bet ir apie kitus autentifikacijos būdus, apie kelių faktorių autentifikaciją ir susijusias rizikas. Nėra vieno unikalaus saugaus atpažinimo būdo, nes apsaugos priemonių kūrėjai bei programišiai nuolatos konkuruoja ir  stengiasi tobulėti savo srityje.

Jeigu planuojate savo paslaugų teikime naudoti kurį nors atpažinimo sprendimą, svarbu įsivertinti, kokius duomenis ketinate apsaugoti. Kibernetinio saugumo bendruomenė sutinka, kad slaptažodžių retai kur beužtenka saugumui užtikrinti. Biometrinės prisijungimo priemonės taip pat nėra tobulos, bet gerai tinka tam tikrose srityse, pavyzdžiui, bankininkystėje arba teisėsaugoje. Kelių faktorių autentifikacija turi nemažai pranašumų, tačiau verta pagalvoti ar skirtingi duomenys negali būti išvilioti naudojant tą patį metodą, kaip, pavyzdžiui, el. manipuliavimą. Taip pat, ar bus balansas tarp saugumo užtikrinimo bei vartotojo patogumo.

Svarbu domėtis, kokie pokyčiai vyksta saugumo sprendimų fronte. Biometrinių ar asmeninių duomenų apsaugos inovacijų perspektyvoje matomos dvi sritys – tikslesni algoritmai, skirti kokybiškiau atpažinti konkretų asmenį, taip neleidžiant padirbtiems biometrijos duomenims apgavinėti daviklius, bei geresnė biometrinių duomenų apsauga įrenginiuose, kur jie yra saugomi.

Straipsnį inicijavo NRD Cyber Security, kibernetinio saugumo įmonė, kuri specializuojasi kibernetinių incidentų stebėjime ir reagavimo gebėjimų stiprinime. Daugiau apie kibernetinių grėsmių stebėjimą ir reagavimą galite sužinoti spalio 21 d. vyksiančioje konferencijoje Kibernetinė gynyba Lietuvoje 2020: stebėjimas ir reagavimas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17
„Grinda“: kryptis – sostinės susisiekimo infrastruktūros kompetencijų centras Verslo tribūna

Asfalto danga nusidėvi. Vienose gatvėse – dėl intensyvaus sunkiasvorių transporto priemonių eismo, kitose,...

2021.10.21
NRD Cyber Security kviečia į konferenciją „Kibernetinė gynyba Lietuvoje 2021: Kas svarbu saugantis šiandien?“ Verslo tribūna

Spalio 27 d. vyks kasmetinė kibernetinio saugumo konferencija „Kibernetinė gynyba Lietuvoje 2021: Kas svarbu...

2021.10.20
Pasitikrinkite, ar jūsų kibernetiniai langai ir durys – atsparūs Verslo tribūna

Lietuva nebėra užkampis, kuris kibernetiniams sukčiams yra neįdomus. Be kitų priežasčių, tam įtakos turi ir...

2021.10.08
SVV ir tvarumas – misija įmanoma? Verslo tribūna

Ar esate nedidelis prekybininkas, o gal kirpyklos savininkas, arba kuriate rankų darbo žaislus – visam...

2021.09.29
Vilnius kuria skaitmeninį lietaus nuotekų sistemos kloną Verslo tribūna

„Londone nuolat lyja“. Girdėta? O ar girdėta, kad Vilniuje lyja ir dažniau, ir smarkiau nei Londone? Beje,...

2021.09.23
Nefinansinė darbuotojų motyvacija – ne tik įmanoma, bet ir būtina Verslo tribūna 1

Gal Jūsų verslas yra gana mažas, kolektyvas ne tik puikiai pažįsta vienas kitą, bet žino ir kiekvieno šeimos...

2021.07.21
Įvyko kibernetinio saugumo incidentas - kaip išvengti krizės? Verslo tribūna

2020 metų išvakarės tapo įsimintina diena tuometinei didžiausiai pasaulyje valiutų keitimo paslaugas...

2021.07.14
Kibernetinės krizės: kaip pasiruošti, kad nepasidarytų karšta Verslo tribūna

Kai tenka susitelkti ir skubiai sureaguoti į kibernetinį incidentą, organizacijoje labai greitai gali...

2021.06.14
Verslas verslui: paslauga gali būti ir tvari, ir ekonomiškai naudinga Verslo tribūna 1

Domėtis gaminių pakuočių tvarumu, ekologija, plastiko rūšiavimu ar net nekilnojamojo turto energetine klase...

2021.06.09
Vilniaus „Grinda“ padvigubino darbo našumą Verslo tribūna

Vilniaus miesto savivaldybės valdoma „Grinda“ sugebėjo prisitaikyti prie pandemijos sukeltų ekonominės...

2021.05.27

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku