Биометрическая аутентификация: безопасность или угроза?

В области аутентификации можно выделить несколько условных этапов. Сразу небольшой спойлер, кому некогда читать. Самым лучшим с точки зрения безопасности я бы назвал аппаратный токен, следом биометрия и двухфакторка. Самым простым – пароль. Итак, какие варианты всё-таки есть?

Пароль

Сперва это была просто связка “логин” + “пароль”. То есть защита строилась вокруг того, что только вы знаете некую секретную фразу.

Плюсы такого подхода – относительная простота, возможность передать пароль доверенному лицу для совершения операций от вашего имени, низкие затраты на смену аутенификационных данных в случае их компрометации.

Минусы тоже есть – надёжность ниже среднего, поскольку пароли могут быть перехвачены, подсмотрены, подобраны, угаданы. Ну а про ситуацию, когда одинаковый пароль используется на различных сервисах я вообще умолчу – это прям беда.

Двухфакторая аутентификация

Следующий логичный этап. В этом случае отождествление происходит с использованием второго фактора, обладание которым может дополнительно подтвердить вашу личность. Часто в роли второго фактора выступает SMS-код, код из аппаратного аутентификатора, E-mail и т.д. Подразумевается при этом, что захватить контроль над вашим паролем, е-майлом, телефоном злоумышленнику куда сложнее, чем просто паролем.

Плюсы – достаточно хорошая защищённость. Уникальный код каждый раз делает издержки на смену в случае компрометации такими же, как и на простой пароль. Ну и очень важный плюс – вы сможете контролировать сколько раз и когда ваше доверенное лицо входит в ваш аккаунт, поскольку всякий раз вам будет необходимо сообщать одноразовый пароль.

Минусы схожи. В случае утраты второго фактора будет неприятненько. При отсутствии сотовой связи тоже дополнительные сложности с получением кода.

Биометрия

Сперва это позиционировалось как “ВАУ! Спасение от всех бед”, но чем больше мы рассматриваем плюсы и минусы биометрии, тем больше кажется, что это тупиковая ветвь. Ну или по крайней мере не столь хорошая идея, как может показаться на первый взгляд.

фото с сайта pikabu

FaceID на смартфонах, разблокировка по отпечатку пальца и прочие способы.. А слышали что-нибудь про DeepFake? Когда нейросеть “натягивает” фотографию одного человека на видео другого? Причём делает это настолько качественно (то ли ещё будет), что таким способом может быть обмануто очень большое число людей и сервисов. Громкие примеры не так далеко ушли в историю, сколько случаев подлога на полическом поприще? Тоже всё на слуху. А подделка отпечатка пальца тоже уже прошлый этап. В прошлом году (2021) была новость, что искусственным пальцем удалось разблокировать топовый смартфон)

Нет, биометрия – интересный способ. Но та лёгкость обхода ставит её ниже классической двухфакторки (по моему мнению). Уровень вхождения чуть повыше, но по защищённости – не лучше. Так что просто будьте готовы.

А теперь представьте, в случае, если нейросеть обучилась натягивать вашу маску (по каким-либо фото, найденным в Интернете), какие ресурсы необходимо затратить, чтобы сменить скомпрометированные данные? Не представляю. Пластическую операцию что-ли?)

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply