Aplikacja uwierzytelniająca to metoda uwierzytelniania wieloskładnikowego (MFA), która dodaje dodatkową warstwę zabezpieczeń do kont w Internecie. Zamiast aplikacji Google Authenticator można wykorzystać rozwiązanie Keep...
Przegląd
Istnieje błędne przekonanie dotyczące danych biometrycznych i ich roli w zabezpieczaniu prywatnych informacji. Powszechnie uważa się, że funkcje biometryczne, takie jak Touch ID lub Face ID, mogą być używane w celu wyeliminowania tradycyjnych haseł. Jest to jednak dalekie od prawdy. Jak opisano tutaj, biometria służy jedynie jako funkcja zapewniająca wygodę użytkownikom lub jako drugi składnik uwierzytelniania.
W dalszym ciągu potrzebujemy haseł
Każde oprogramowanie, aplikacja w chmurze czy strona internetowa, z których korzystamy na co dzień, wymagają założenia konta. Zazwyczaj oznacza to podanie nazwy użytkownika (lub adresu e-mail) i hasła. Wiele usług oferuje również opcję „zaloguj się za pomocą Google” lub „zaloguj się za pomocą Facebooka”, które delegują uwierzytelnianie zaufanemu zewnętrznemu dostawcy tożsamości, korzystając z protokołów OAuth lub OpenID Connect. Ci dostawcy tożsamości wymagają nie tylko nazwy użytkownika i hasła, ale zazwyczaj wymagają również drugiego składnika uwierzytelniania (np. jednorazowego hasła przesyłanego za pośrednictwem wiadomości tekstowej lub jej odpowiednika). W świecie biznesu istnieje duża liczba powszechnie wykorzystywanych dostawców tożsamości, takich jak Okta, Azure i JumpCloud, którzy używają innego protokołu (SAML 2.0), aby zapewnić możliwości logowania jednokrotnego (SSO). Należy podkreślić, że każdy z tych dostawców ostatecznie wymaga użycia nazwy użytkownika ORAZ hasła podczas logowania się do ich systemów.
Jak działa biometria na urządzeniach mobilnych
Jako przykład weźmy iOS. Po aktywowaniu funkcji Touch ID dane odcisków palców są przechowywane przez Apple w chipsecie na urządzeniu i nie są w żaden sposób dostępne dla programistów Twórcy oprogramowania, którzy chcą wykorzystać Touch ID, mogą zapewnić, aby system operacyjny poprosił Cię o podanie odcisku palca i poczekać na „pozytywny” albo „negatywny” wynik. Jeśli wynik jest „pozytywny”, niektóre dane, które programista zapisał w pęku kluczy, mogą zostać pobrane (na przykład klucz szyfrowania lub hasło). Można to wykorzystać, aby pominąć ekran logowania aplikacji i automatycznie zalogować użytkownika. Wykorzystanie tego procesu zapewnia użytkownikowi po prostu wygodę, nie wymagając od niego wpisywania hasła. Natomiast w dalszym ciągu hasło jest przekazywane między pękiem kluczy a aplikacją.
A co jeśli hasło dla konkretnej aplikacji jest słabe (np. 123456)? Fakt, że użyto biometrii do wyciągnięcia hasła z pęku kluczy i przekazania go aplikacji, nie wpływa na zwiększenie bezpieczeństwa. Jeśli aplikacja zezwoliła na to słabe hasło, można założyć, że haker po drugiej stronie świata może je odgadnąć i zalogować się do tej samej aplikacji.
Aplikacje, które wykorzystują dane biometryczne do logowania, po prostu przechowują hasło w pęku kluczy lub zabezpieczonym elemencie na urządzeniu. Dane biometryczne nigdy nie są przekształcane bezpośrednio w hasło lub klucz. Mogą być jedynie wykorzystywane jako operacja, która może mieć wynik „pozytywny” albo „negatywny” do pobierania informacji ze sprzętu, które były tam wcześniej zapisane przez aplikację. Dlatego biometria zapewnia jedynie wygodę, a nie dodatkowe zabezpieczenie.
Powszechnie wiadomo, że producenci sprzętu, tacy jak Apple i Google, nigdy nie dostarczą programistom stron internetowych lub aplikacji rzeczywistych danych biometrycznych używanych do identyfikacji użytkowników. Byłoby to ujawnienie prywatnych informacji użytkownika i narażałoby dane biometryczne na potencjalną kradzież lub włamanie.
Dlaczego hasło ostatecznie zawsze jest wymagane?
Pierwszym głównym powodem, dla którego wymagane są hasła, jest to, że można je zmienić. Jeśli hasło do usługi wyciekło przez przypadek lub zostało skradzione, można je po prostu zresetować na docelowej stronie internetowej. Nie da się jednak zresetować odcisku palca ani swojej twarzy.
Po drugie, tylko silne i unikalne hasło jest odporne na atak siłowy, ponieważ jest zapisane tylko w Twojej głowie (lub zaszyfrowane w menedżerze haseł).
I wreszcie, w przypadku najbezpieczniejszych produktów, hasła są szyfrowane. Szyfrowanie wymaga klucza szyfrowania do deszyfrowania przechowywanych informacji. Klucz można uzyskać tylko za pomocą silnego hasła, które za każdym razem jest wpisywane dokładnie w ten sam sposób. Klucza szyfrowania nie można uzyskać bezpośrednio z odcisku palca. Dzieje się tak dlatego, że systemy operacyjne nie dostarczają programistom nieprzetworzonych danych biometrycznych, co groziłoby publicznym ujawnieniem Twoich odcisków palców. Nawet jeśli nieprzetworzone dane biometryczne byłyby dostępne dla programistów, nie byłyby w formie, która mogłaby być używana jako klucz szyfrowania. Deszyfrowanie działa albo nie – klucz nie może się nie zgadzać nawet o jedno 0 lub 1. Powszechnie wiadomo, że dane biometryczne nigdy nie są dokładne, a wynik „pozytywny” lub „negatywny” jest szacunkowy. Deszyfrowanie nigdy nie może być wykonane na podstawie oszacowania.
Jesteś tak silny, jak Twoje hasło
Faktem jest, że w systemie iOS funkcje Touch ID i Face ID mogą być ominięte przez wpisanie kodu urządzenia. Dla większości osób jest to kombinacja 4 lub 6 cyfr. Apple i Android zmuszają użytkowników do ciągłego wprowadzania tego kodu jako mechanizmu awaryjnego. Dlatego, jeśli wycieknie kod urządzenia, haker może zalogować się do urządzenia i ustawić nowy odcisk palca lub zresetować identyfikator twarzy. Może to być zaskoczeniem dla wielu użytkowników i zachęcić do ustawienia silniejszego alfanumerycznego kodu urządzenia. Ważne jest, aby szukać produktu, który pozwala klientom zrezygnować z używania Touch ID i ograniczyć korzystanie z funkcji biometrycznych.
Szyfrowanie ma znaczenie
Poszukaj produktu, który wykorzystuje szyfrowanie Zero-Knowledge. Oznacza to, że informacje przechowywane w produkcie są szyfrowane i deszyfrowane tylko na poziomie urządzenia – przy użyciu klucza szyfrowania, który pochodzi z Twojego głównego hasła.
Jeśli strona internetowa, aplikacja lub usługa pozwala na zalogowanie się bez użycia hasła lub jeśli usługa nie wykonuje deszyfrowania po stronie klienta, oznacza to, że informacje są przechowywane na ich serwerach, w pełni otwarte. Jeśli pracownicy tej firmy chcą zobaczyć Twoje informacje, mają pełną możliwość, aby to zrobić. Oznacza to również, że jeśli firma ma błąd w swoim oprogramowaniu, Twoje informacje teoretycznie mogą zostać ujawnione w Internecie.
Może to nie mieć dla Ciebie znaczenia, w zależności od rodzaju informacji przechowywanych w usłudze. Ale w przypadku poufnych plików, haseł i innych tajnych informacji, może to mieć katastrofalne skutki. Prywatne i poufne informacje powinny być szyfrowane na poziomie urządzenia, a to można ostatecznie osiągnąć tylko za pomocą klucza szyfrowania, który pochodzi z tego, co znajduje się w Twojej głowie, czego nikt inny nie zna (hasła!).
Niezwykle trudno jest zbudować produkt typu Zero-Knowledge. Dlatego większość firm tego nie robi. Dla użytkowników i firm ważne jest, aby rozumieć, jakie informacje są przechowywane i jaki poziom wygody zapewnia firma, która chroni Twoje informacje.
W odniesieniu do biometrii głównym wnioskiem jest to, że dane biometryczne nie mogą bezpośrednio szyfrować informacji. Dlatego też każda usługa, która nie ma ochrony w postaci hasła i opiera się całkowicie na biometrii w celu umożliwienia dostępu, nie może być uznawana za w pełni bezpieczną.
Biometria jako drugi składnik uwierzytelniania
Dane biometryczne mogą być cenne w większości zastosowań jako drugi składnik logowania do urządzenia, zachowując jednocześnie najwyższy poziom bezpieczeństwa. Na przykład po wpisaniu hasła lub użyciu menedżera haseł do zalogowania się do strony internetowej lub aplikacji na komputerze, na urządzeniu mobilnym może zostać wyświetlona prośba o uwierzytelnienie za pomocą odcisku palca lub twarzy.
Ten typ przepływu pracy wymagałby od programisty aplikacji lub strony internetowej zintegrowania się z aplikacją mobilną lub usługą uwierzytelniania strony trzeciej, która obsługuje urządzenia biometryczne. Aby można było poprawnie zastosować uwierzytelnianie biometryczne jako drugi składnik, musi istnieć funkcja rejestracji i zaplecze, które zapewnia bezpieczne przekazywanie informacji dotyczących drugiego składnika między aplikacją a serwerami zaplecza.
W przypadku wykorzystywania danych biometrycznych jako drugiego składnika najważniejszym elementem ochrony informacji jest zatem kanał komunikacji pomiędzy urządzeniem biometrycznym a serwerami zaplecza. Haker próbujący włamać się na konto chronione przez urządzenie biometryczne będzie próbował oszukać serwery, aby zostać uwierzytelnionym jako użytkownik, zamiast próbować włamać się do czytnika linii papilarnych. Dlatego zaufanie, jakim obdarzasz swoją aplikację lub dostawcę oprogramowania, opiera się nie tylko na tym, że posiada uwierzytelnianie biometryczne, ale także na metodzie wdrożenia.
Podsumowanie
Biometria staje się coraz powszechniejsza, ale ważne jest, aby rozumieć różnicę między bezpieczeństwem, które zapewnia, a uzyskaną wygodą. Każdy użytkownik i organizacja ma inny poziom niechęci do podejmowania ryzyka. Dane biometryczne nie mogą same zapewnić bezpieczeństwa, a silna strategia zarządzania hasłami ma kluczowe znaczenie w zapobieganiu cyberatakom i kradzieży danych.
Urządzenia mobilne i komputery stacjonarne, które wykorzystują uwierzytelnianie biometryczne, zapewniają po prostu wygodny sposób przeniesienia hasła z fizycznego sprzętu do aplikacji, do której się logujesz. Posiadanie słabego hasła lub używanie tego samego hasła dla wielu aplikacji i stron internetowych nadal oznacza narażanie się na atak hakerów i kradzież danych, nawet jeśli używa się urządzenia biometrycznego. Jednak dane biometryczne stosowane jako drugi składnik mogą stanowić wygodny i cenny mechanizm bezpieczeństwa, gdy są bezpiecznie wdrażane przez dostawcę oprogramowania.
Craig Lurey
Dyrektor ds. technologii, Keeper Security