Emberként, technológusként és szervezetként rengeteg technológia és kapcsolódási lehetőség áll rendelkezésünkre.
Ennek egyértelmű előnyei vannak az életvitelünk és a munkánk szempontjából, mivel nagyobb rugalmasságot, termelékenységet és skálázhatóságot biztosít a vállalkozások számára. Sajnos a kiberbűnözőknek is nagyszerű lehetőségeik vannak a lecsapásra. És amikor megteszik, tetteik nemcsak a célszemélyre vagy szervezetre, hanem ügyfeleikre és tágabb értelemben vett érdekeltekre is hatással vannak.
A Microsoft Exchange szoftveréhez való hozzáféréstől kezdve - amely legalább 250 000 szervezet feltört fiókjához vezetett - vagy az Acer ellopott adatainak online kiszivárgásától kezdve egy 50 millió dolláros zsarolóprogram-támadás részeként, a kiberbűnözés nagyon is valós probléma, amely iparágtól vagy vállalati mérettől függetlenül sokakat érint. Nemcsak egy szervezet bevételét, hírnevét és infrastruktúráját károsítja, hanem a rosszindulatú támadások hatásai 2025-ig évente 10,5 milliárd dollárba fognak kerülni a világnak.
A jó hír az, hogy a kiberbűnözés elleni küzdelem jó irányba halad. A kiberbiztonság javítása sok vezető számára prioritás, amit a várható hatalmas beruházások is bizonyítanak - a kiadások 2026-ra várhatóan meghaladják a 260 milliárd dollárt.
A robusztus biztonságra való fokozott összpontosítás az alternatív hitelesítési módszerekre helyezte a hangsúlyt. Különösen azért, mert a számítógépes feltörések és a kiberbűncselekmények 80%-a jelszavak feltörése miatt történt. És bár könnyen megvalósíthatóak, a fogyasztók 60%-a azt állítja, hogy túl sok jelszót kell megjegyeznie, és van, akinek több mint 85 jelszava van a szakmai és személyes fiókjaira. Emellett 41%-uk újra használja, vagy csak kis mértékben változtatja jelszavait. Emberként fontos láncszem vagyunk az informatikai biztonsági láncban, sőt egyesek szerint az emberi hiba az első számú kiberbiztonsági fenyegetés a vállalkozások számára.
Biztonságos-e a biometrikus technológia?
Bár a felhasználók, a technológiai szállítók és a szervezetek soha nem lehetnek teljesen immunisak a támadásokkal szemben, mindenki tehet lépéseket a biztonság növelése érdekében olyan szilárdabb hitelesítési módszerekkel, amelyek kifejezetten az üzleti igényeket szolgálják, és amelyekkel felvehetik a harcot a jövőbeli támadások ellen.
És itt jön a képbe a biometria.
Akár önállóan, akár a többfaktoros hitelesítés integrált részeként a biometrikus technológia megoldást jelenthet, de ez nem egy mindenre megfelelő megközelítés, mivel a szervezeteknek különböző szintű, skálázható biztonságra és hitelesítésre van szükségük. Végül is nem mindenki próbálja megvédeni Fort Knoxot.
A biometriának számos, a kiberbűnözés megfékezését segítő, eredendő biztonsági jellemzője van. A biometria bevezetése például azonnali ugrást jelent az egyfaktoros hitelesítésről, amely csak valamit használ, amit ismer (PIN-kód/jelszó), a többfaktorosra, amely valamin alapul, amivel rendelkezünk, és valamin, ami vagyunk.
Az adatok kezelése szintén kulcsfontosságú. A fogyasztói eszközhitelesítés a "beépített adatvédelem" megközelítést alkalmazza, amely a végfelhasználó biometrikus adatait eredendően védi az eszközön belüli hitelesítési megközelítéssel. Ez azt jelenti, hogy a biometrikus adatok rögzítése, regisztrálása, tárolása és kezelése ugyanazon az eszközön történik, anélkül, hogy az eszköz tulajdonosa valaha is elhagyná az irányítást.
Gyakori tévhit, hogy a biometrikus adatokat, például az ujjlenyomatokat képként tárolják, amelyek ellopása esetén a megfelelő ujjlenyomat és annak bármilyen eszközön vagy alkalmazásban történő felhasználása véglegesen veszélybe kerül. Valójában a biometrikus érzékelőből származó adatokat ujjlenyomat-sablonként rögzítik és tárolják. Ez a matematikai ábrázolás használhatatlanná teszi a hackelést, mivel a sablon kódja nem visszafejthető az eredeti ujjlenyomat-képre, és nem kapcsolható össze más szolgáltatásokkal vagy személyes adatokkal.
Lehet-e hamisítani a biometrikus technológiát?
A korai paródiákhoz elég volt egy nagyon jó minőségű fénymásolat, vagy - meglepő módon - egy gumimackó használata. A kiterjedt kutatás és fejlesztés olyan fejlett érzékelőket és algoritmusokat hozott létre, amelyeket rendkívül nehéz hamisítani. Érdemes megjegyezni, hogy a hamisítás jelentős gondosságot, szakértelmet, pénzt és időt igényel, valamint azt, hogy számos tényező tökéletesen összejöjjön, ami a való világban rendkívül valószínűtlen:
- Egy jó rejtett ujjlenyomat. Ahhoz, hogy egy elég jó minőségű látens ujjlenyomatot lehessen kinyerni, vagy egy önkéntesre van szükség, vagy arra, hogy az áldozatot becserkésszük, amíg egy használható ujjlenyomatot nem tudunk kinyerni.
- Haladó Photoshop-ismeretek. Még ha sikerül is minőségi látens lenyomatot szerezni, fejlett szerkesztési készségekre van szükség a szükséges 3D-s részletesség eléréséhez.
- Laboratóriumi környezet - vagy nagyon hasonló. Az ilyen ujjlenyomatok hatékony formává alakításához általában laboratóriumi környezetre és jelentős erőfeszítésre van szükség.
- Hozzáférés az eszközhöz. A hackelés végrehajtásához a támadónak hosszabb ideig hozzáférésre is szüksége van a szóban forgó eszközhöz. A legtöbb ember bejelenti a készülék elvesztését vagy ellopását, vagy letiltja a bankkártyáját, mielőtt bármit is elérhetne. Emellett a legtöbb eszköz csak kis számú próbálkozást ad a támadóknak a hozzáférés megszerzésére, mielőtt visszaáll a jelszavas hozzáférés és a zárolás.
A médiában látható ujjlenyomat-érzékelős csalás vagy egy koncepció bizonyítása, vagy egy kooperatív csalás, és hónapokig tart, amíg működik, egy magasan képzett csapat és a körülmények tökéletes forgatókönyve mellett. A legtöbb bűnöző ráadásul olyan támadásokra szánja az idejét, amelyek több eszközre, emberre vagy vállalatra replikálhatók és skálázhatók. Az ujjlenyomat meghamisítására fordított idő, pénz és erőfeszítés csak egy személy eszközeihez és szolgáltatásaihoz való hozzáférésben segítené a csalót, valószínűleg korlátozott ideig. A kockázat és a befektetés nagymértékben meghaladja a hasznot.
A biometrikus adatok nem egyformán alkalmasak mindenre
A biometrikus technológia számos robusztus kiberbiztonsági lehetőséget kínál a szervezet egyedi követelményeinek megfelelően. Például:
- első forgatókönyv: A jelszavak, PIN-kódok és token-rendszerek elhagyása a mindennapi hitelesítés során.
A biometria nagyon is reális lehetőséget kínál a vállalkozások és a felhasználók számára, hogy végleg búcsút mondjanak a jelszavaknak és a PIN-kódoknak.
A social engineering támadások során a támadók általában a legkisebb ellenállás útját választják, és leggyakrabban a végfelhasználó a "leggyengébb láncszem" a biztonsági láncban. A fogyasztók sebezhetőek az olyan támadásokkal szemben, mint például az adathalászat, ahol rávehetik őket, hogy olyan információkat adjanak ki, mint a PIN-kód vagy a jelszó. A fogyasztói biometrikus adatokkal a felhasználó csak a személyes eszközén mutatja be a biometrikus adatait, ami azt jelenti, hogy nem adhat ki semmit. Ráadásul a biometrikus adatok nem "pillanthatók meg", mint a PIN-kód egy vállon szörföléses támadás során. Ez kiküszöböli a hibákból vagy önelégültségből eredő kockázatokat is, mint például a könnyen kitalálható vagy több fiókban is használható jelszó létrehozása.
A biztonság azonnali növelése mellett a biometrikus technológia fenntartja, sőt bizonyos esetekben növeli a kényelmet és a felhasználói élményt.
- második forgatókönyv: A nagy értékű eszközök védelme és a kifinomult támadásoknak való ellenállás szükségessége
Bizonyos rendszerek és megvalósítások képesek megakadályozni a rendkívül kifinomult támadásokat, és ezt követően megvédik a legértékesebb célpontokat. Erre remek példa a Fingerprints nemrég bevezetett FPC1523 érzékelője a fizikai és logikai hozzáférési eszközökhöz és alkalmazásokhoz. A modell lehetővé teszi a felhasználók számára, hogy a memória egy biztonságos területén tároljanak egy kulcsot, és "párosítsák" a biztonságos elemet és az érzékelőt, megakadályozva ezzel az érvényes érzékelő cseréjét egy hamis érzékelőre. A kettő közötti kommunikációt is képes titkosítani, így biztosítva az "újrajátszási támadások" elkerülését.
A kiberbiztonság testreszabása a biometrikus technológia segítségével az egyedi igényeknek megfelelően
A biztonság azon az alapfeltevésen alapul, hogy semmi sem 100%-ig biztonságos. A hagyományos megoldások - mint a kulcsok és széfek - a digitális biztonságon keresztül (mint a biometria és a FIDO2 tokenek) azért vannak, hogy megnehezítsék a bűnözők életét, akik nem akarnak foglalkozni azzal, hogy milyen időigényes, költséges és kockázatos lehet, ha megpróbálnak feltörni egy eszközt vagy alkalmazást.
A biometria egyszerű utat biztosít az emberek és a szervezetek számára, hogy az alapvető hagyományos biztonsági intézkedésekről áttérjenek a kifinomultabb, többfaktoros digitális biztonságra. Erre az alapra különböző biometrikus rendszerekkel és megvalósításokkal lehet építeni, amelyek a kisebb léptékű műveletektől kezdve a nagy értékű eszközökkel rendelkezőkig mindent megvédhetnek. Fontos tényező, hogy a biometrikus technológia választási lehetőséget kínál, és lehetővé teszi az egyedi igényekhez, a költségvetéshez és a meglévő infrastruktúrához igazodó biztonsági megoldások integrálását.
