НКЦКИ:Риски и угрозы при использовании биометрической аутентификации

Биометрия - система распознавания людей по одной или нескольким уникальным физическим или поведенческим чертам. Является одной из самых старых форм идентификации.Существует и так называемая поведенческая биометрия, которая основана на уникальных для каждого человека особенностях поведения и действиях. Её примерами может служить походка, голос, почерк, в том числе клавиатурный почерк

Под биометрической аутентификацией понимается такой метод аутентификации, который основывается на предъявлении уникальных биологических характеристик человека, таких как: отпечаток пальца, сетчатки или оболочки глаза, геометрии лица, форма ладони и многое другое.

Где применяют биометрическую аутентификацию

Биометрическая аутентификация нашла свое применение во многих отраслях, включая военную отрасль, охрану правопорядка, финансы и электронную коммерцию. Их применяют разработчики мобильных устройств и компьютеров в качестве альтернативы парольной защиты. А так же во многих странах мира биометрические данные внедрены в электронные паспорта

Риски и угрозы при использовании биометрической аутентификации

Биометрический «спуфинг».

Спуфинг – это практика обмана системы безопасности с использованием поддельной или скопированной, информации, в данном случае биометрической. Например, отпечаток пальца можно сфотографировать с какого-либо предмета и скопировать его. Поддельный отпечаток можно использовать для разблокировки мобильного устройства или платежной системы, что позволит злоумышленникам получить доступ к данным и банковскому счету пользователя.Системы распознавания лиц, часто используемые для защиты смартфонов или планшетов, также уязвимы. Известны случаи, когда защищенные с их помощью устройства, получалось разблокировать, просто показав фотографию владельца.

Ошибочность.

Отказ в доступе легитимному пользователю или ошибочное предоставление доступа постороннему человеку. К примеру, метод распознавания по лицу не рекомендуют использовать тем, у кого есть брат или сестра-близнец. В биометрическом методе, , всегда присутствует вероятность ложноотрицательного и ложноположительного срабатывания.

Биометрические данные хранятся на серверах компаний.

Нет гарантии, что базы с этими данными надежно защищены и не передаются третьим лицам. Если злоумышленники получат доступ к такой базе данных, то смогут использовать скомпрометированные учетные записи для кражи личной информации и денежных средств.

Рекомендации от НКЦКИ по минимизации рисков и угроз при использовании биометрической аутентификации:

Используйте двухфакторную аутентификацию. Например, отпечаток пальца в сочетании с надежным паролем или аутентификацией при помощи СМС-сообщения. Это защитит Ваши данные, даже если один из идентификаторов (пароль или отпечаток пальца) будет украден.
По возможности храните биометрические данные на устройстве, а не у поставщика услуг, даже если данные зашифрованы. Этим Вы снизите риски, связанные с утечками баз данных. Зачастую компании хранят базы биометрических данных не на отдельных серверах, а на общих серверах, где хранятся и многие другие данные компании или приложения, которые потенциально могут стать целью компьютерных атак злоумышленников.Если компания не предоставляет возможность хранить биометрические данные на устройстве пользователя, оцените потенциальные риски их утечки, прежде чем предоставлять пользоваться услугами этой компании и предоставлять ей свои данные.

Источник

Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!

Страница ВКонтакте - Защита информации Якутии

Страница Одноклассники - Защита информации Якутии

Подписывайтесь на YouTube-канал - Защита информации Якутии

Rutube-канал - Защита информации Якутии

Telegram канал - Защита информации Якутии