Hoe passieve biometrie kan helpen bij IT-gegevensbeveiliging

Schrijver: Roger Morrison
Datum Van Creatie: 23 September 2021
Updatedatum: 1 Juli- 2024
Anonim
Reimagine the Customer Experience with Passive Biometrics
Video: Reimagine the Customer Experience with Passive Biometrics

Inhoud


Bron: Dwnld777 / Dreamstime

Afhaal:

Passieve biometrie maakt de weg vrij voor beveiliging zonder wachtwoord die hackers kan ontmoedigen.

In een tijd waarin conventionele gegevensbeveiligingsmaatregelen worden beperkt door beperkingen zoals te veel afhankelijkheid van gebruikersbevoegdheid en gebruikersacceptatie, kan passieve biometrie mogelijk een evenwicht bieden tussen veiligheid en gebruikersacceptatie. Conventionele beveiligingsmechanismen zoals wachtwoorden en sms-codes zijn slechts zo sterk als de gebruiker ze maakt. Het is gebleken dat veel gebruikers de neiging hebben om zwakke wachtwoorden in te stellen omdat het gemakkelijk is om ze te onthouden. Dat verslaat het hoofddoel van op wachtwoord of beveiligingscode gebaseerde mechanismen. Passieve biometrische gegevens vereisen niet dat de gebruiker actief inloggegevens verstrekt en passief gebruikersgegevens verzamelt in vormen zoals gezichts-, stem- en irisherkenningstechnieken. Hoewel passieve biometrie als IT-beveiligingsmechanisme zijn niche nog steeds vindt, is het veilig om te zeggen dat het een mooi evenwicht biedt tussen gebruikersgemak en gegevensbeveiliging.


Wat is passieve biometrie?

Om biometrie te definiëren, legt de marketingdirecteur van het biometrische bedrijf EyeVerify uit, verklaart Tinna Hung: "Biometrie vertrouwt op iets dat je bent, in plaats van op iets dat je weet."

In het geval van passieve biometrie hoeft men niet actief deel te nemen aan het verificatie- of identificatieproces, en soms vereist het proces zelfs geen kennisgeving van de gebruiker; de authenticatie vindt eenvoudig plaats tijdens normale gebruikersactiviteiten. In deze gevallen hoeft het onderwerp niet direct of fysiek te handelen. Wanneer het systeem zonder de medeweten van de gebruiker draait, biedt het het hoogste authenticatieniveau.

Het technologisch geautomatiseerde systeem meet in principe de gedrags- of fysiologische kenmerken van een mens, met of zonder medeweten van de gebruiker. Om een ​​beter idee te krijgen van wat passieve biometrie inhoudt, kunnen we enkele vergelijkende voorbeelden van dit systeem bekijken die contrasteren met actieve biometrische systemen. Elke technologie voor vinger- of handgeometrie zou bijvoorbeeld worden beschouwd als actieve biometrie, evenals handtekeningherkenning en retina-scanning. Dit komt omdat de gebruiker zijn hand op moet leggen of in een scanapparaat moet kijken voor herkenning. Passieve biometrie omvat echter stem-, gezichts- of irisherkenningssystemen. (Zie Nieuwe ontwikkelingen in biometrie: een veiliger wachtwoord voor meer informatie over biometrie.)


Hoe passieve biometrie werkt

Een uitstekende uitleg over hoe passieve biometrie werkt, wordt gegeven door Ryan Wilk, de klantensuccesdirecteur van NuData. In zijn woorden: "We kijken naar hoe de gebruiker daadwerkelijk interacteert: hoe ze typen, hoe ze hun muis of telefoon verplaatsen, waar ze hun telefoon gebruiken, hun versnellingsmeterwaarden. ... Als afzonderlijke gegevens naar zichzelf wijzen, zijn ze niet erg nuttig, maar wanneer je ze begint samen te brengen en samen te voegen in een profiel van wie die gebruiker is, begin je iets uit te bouwen dat echt diepgaand en echt uniek is, en iets dat extreem moeilijk te vervalsen. "

Passieve biometrie biedt organisaties de mogelijkheid om de identiteit van hun klanten te verifiëren, afhankelijk van hun natuurlijke gedrag in technologische interacties. Het continue proces van deze niet-opdringerige oplossing blijft onzichtbaar voor de gebruikers, omdat er geen registratie of toestemming nodig is om op de achtergrond te werken; het vraagt ​​de klanten niet om extra acties uit te voeren tijdens hun normale activiteiten. Real-time analyse van gedragsgegevens biedt nauwkeurige beoordelingen aan de bedrijven voor het scheiden van indringers van de authentieke klanten. Aangezien persoonlijk identificeerbare informatie (PII) niet wordt vastgelegd, krijgen hackers nooit vertrouwelijke gegevens in handen om de identificatie van gebruikers te verstoren. Passieve biometrie is een revolutionaire vooruitgang op het gebied van identiteitsverificatie, die de mogelijkheid heeft om elke kans op fraude weg te vagen uit de kern van het authenticatiekader van de organisatie en kan een nieuw niveau van vertrouwen toevoegen in de hele levenscyclus van het account.

Waarom is het belangrijk?

Technologie brengt altijd nieuwe systemen en beveiligingsbarrières voort om het hele netwerk tegen schadelijke activiteiten te beschermen. Maar kan het voorkomen dat briljante hackers en fraudeurs voor altijd gaten in het systeem vinden? Nee. Als ze echter geen kennis hebben van een lopend proces, hoe kunnen ze dan slagen voor de verificatietest? Als ze geen achtergrondsysteem kennen, nemen ze in de eerste plaats geen voorzorgsmaatregelen. Hierin verschilt passieve biometrie van andere verificatiemethoden. En dus ligt het belang ook hier. Geen fraude kan plaatsvinden wanneer de reden voor het gebruik van fraude in het begin is verwijderd.

Hoe passieve biometrie gegevensbeveiliging helpt

De behoefte aan meer geavanceerde en bevredigende beveiligingssystemen is al lang in de lucht. De vraag drijft nu beveiligingsnetwerken naar biometrie, en met name de passieve technologie, waarbij de gebruikers niet hoeven te worden geïnformeerd over het identificatieproces, afhankelijk van gedragskenmerken. (Zie Hoe big data gebruikersauthenticatie kan beveiligen voor meer informatie over de gegevens die worden gebruikt in passieve biometrie.)

Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen

U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.

Hung legde uit: "Een goed geïmplementeerde biometrische oplossing past op natuurlijke wijze in de reguliere stroom van gebruikersgedrag." Passieve biometrie houdt het belangrijkste voordeel van het creëren van een profiel van hoe de persoon de machine gebruikt, en niet alleen een profiel van de machine zelf . Zoals Wilk uitlegt, opent de passieve benadering het boek om de gebruiker te begrijpen op 'bijna een onbewust niveau'.

Een andere passieve benadering, gecreëerd door het bedrijf BioCatch, bestaat uit het registreren en analyseren van activiteiten van de gebruikers waarvan ze niet eens beseffen dat ze het doen. Fysieke kenmerken zoals vingermeting over een touchscreen, de actieve hand (links of rechts) met de muis of de tremorfrequentie van de hand van de gebruiker die het apparaat vasthoudt, bieden een exacte combinatie van gegevens voor acute identificatie van een unieke klant. Bovendien zijn cognitieve eigenschappen zoals de methode van iemands webschuifgedrag (pijltjestoetsen, muiswiel, pagina omhoog en omlaag, enz.) Of de techniek om het apparaat vast te houden (horizontaal of verticaal, de kantelhoek van het apparaat, enz.) helpen om de authenticatie van het systeem te versterken.

Volgens Oren Kedem, de vice-president van productbeheer in BioCatch, gebruiken ze ook "onzichtbare uitdagingen" voor de gebruikers, waarbij de operatie een nauwelijks merkbare verandering in het normale gedrag van de gebruiker vertoont. De toepassing kan bijvoorbeeld een paar pixels van de cursor in een andere richting wijzigen, of de snelheid van de paginascrolling enigszins wijzigen om de unieke reactie van de gebruikers te testen. Hun reacties op deze incidenten zijn ongelooflijk uniek, wat onmogelijk te repliceren is.

Zoals Kedem zegt: "We volgen niet alleen wat je doet, we hebben ook invloed op wat je doet. ... We stellen u een vraag zonder dat u wordt gevraagd en u geeft ons een antwoord dat u weet. Het is een geheim dat niet kan worden gestolen zoals een wachtwoord of een token. "

Het systeem is zo geprogrammeerd dat keylogging-botnets die de bewegingen van het doelwit opnemen en opnieuw afspelen, automatisch worden gedetecteerd en voorkomen. Dit komt omdat de imitatie van een gebruikersreactie zo goed als onmogelijk is in het geval van onzichtbare uitdagingen, die binnen de app steeds veranderen.

Wat is het effect op beveiligingsproblemen in de echte wereld?

Financiële en bankdiensten over de hele wereld zijn op dit nieuwe systeem gaan vertrouwen. Biometrische beveiligingsproviders zoals EyeVerify en Daon werken samen met de financiële organisaties. EyeVerify werkt samen met Digital Insight om biometrische beveiligingssystemen in mobiele bankfaciliteiten te authenticeren en ze staan ​​op het punt hun Eye ID te lanceren als een mobiele app.

In 2014 heeft de door Daon geïmplementeerde biometrische technologie 10,7 miljoen gebruikers van de USAA Federal Savings Bank beveiligd tijdens een naadloze ervaring met mobiel bankieren. In dit geval merkte de belangrijkste beveiligingsadviseur van de VS, Richard Davey, op: "De bezorgdheid die voortvloeit uit de altijd aanwezige dreiging van phishing, malware en blootstelling aan informatie van externe inbreuken betekent dat authenticatie en toegangscontrole altijd zullen worden bedreigd. Technologieën zoals biometrie verminderen die bedreigingen en faciliteren prachtige eindgebruikerservaringen. "

Passieve biometrische identiteitsverificatie registreert de inschrijving van een gebruiker door een unieke stem via conversatie in te dienen tijdens de eerste registratie. Dit eerste gesprek moet 45 seconden worden voortgezet om de herkenningsgegevens te benutten. Vervolgens identificeert de opgenomen stem de gebruiker door de volgende stem, verkregen in het volgende gesprek, te vergelijken met het contactcentrum.

Deze bank implementeerde de nieuwe beveiligingstechnologie voor hun werknemers, en daarna, in hun markt in San Antonio, Texas, gevolgd door Californië en uiteindelijk lanceerde ze deze op volledige schaal in januari 2015. De resulterende reactie was uitstekend. Drie weken na implementatie namen ongeveer 100.000 klanten deel aan biometrische authenticatie en binnen tien maanden nam het aantal reagerende klanten toe tot meer dan een miljoen.

Zijn traditionele methoden meer bruikbaar?

Een 90-daagse enquêteanalyse uitgevoerd door Nudata Security in 2015 onthulde een groei van 112% in webaanvallen om wachtwoorden en gebruikersnamen te krijgen, vanaf 2014. Wat is de oorzaak van de vooruitgang van de hackers ten opzichte van traditionele beveiligingssystemen? Laten we er wat grondiger over nadenken.

Wat we allemaal doen, is de sterkte van onze wachtwoorden in gevaar brengen om ze gemakkelijk te onthouden. Ja, hier ligt de dader. Er was een tijd dat één persoon slechts twee of drie accounts online beheerde, en het was niet zo moeilijk om kritische wachtwoorden te onthouden voor een klein aantal gevallen. Dus het proces was op dat moment relevant om de identiteit van de persoon te beschermen.

Maar nu is het beeld aanzienlijk veranderd. We hebben allemaal veel accounts, zo veel dat we ze soms niet eens kunnen bijhouden. Is het nu mogelijk om een ​​wachtwoord te onthouden dat bestaat uit willekeurige getallen, symbolen en letters voor elk account? Absoluut niet. Dus wat we doen, is de beveiligingsmaatregelen in gevaar brengen door een patroon voor al onze wachtwoorden te houden met een aantal bekende informatie, of we blijven de willekeurige keuzes van sterke wachtwoorden vergeten en moeten ze dan altijd herstellen.

Nu is de indirecte manier om iemands identiteit veilig te houden, de oplossing voor zowel de tevredenheid van de gebruiker als de beveiliging, omdat we geen enkele keuze hoeven te maken om ons systeem veilig te houden en te onthouden. Hackers hebben ook problemen om te leren hoe ze kunnen bepalen waar het beveiligingssysteem wordt geïmplementeerd. Daarom werken hun eerdere manieren om toegang te krijgen tot accounts van anderen niet meer goed.

Wat is de toekomst?

Volgens Grissen en Hung zullen biometrische systemen niet in de optionele fase blijven, maar zullen ze in de nabije toekomst heersen over het hele netwerk van beveiligingssystemen met betrekking tot "veiligheid versus gemak".

De technologie wordt steeds nauwkeuriger en wordt eenvoudiger te installeren in eigen web- en mobiele applicaties. Nieuwe algoritmen zijn bezig met het implementeren van extra telemetrie voor het vergroten van de gedragsprofielen zoals apparaatoriëntatie op een breed scala aan apparaten.

Consolidatie tussen de SIEM (beveiligingsinformatie en event management) en de UEBA (gebruikers- en entiteitsgedraganalyses) marktsegmenten is de toekomst voor de groei in elk aspect van bedrijven, zoals we kunnen zien in het geval van de SIEM-leveranciers, Splunk's acquisitie van Caspida. Ze zijn van plan nieuwe wegen in te slaan om hun klanten een effectievere ervaring te bieden bij hun SIEM-implementaties, en voegen daar de lange geschiedenis van bestaande gegevens aan toe. De verschillende vormen van gedragsanalyse blijken een verplichte toevoeging te zijn om het beveiligingsprobleem te verminderen en de langdurige koude oorlog tegen de fraudeurs te winnen.

Gevolgtrekking

Uiteindelijk kunnen we zeggen dat de toekomst veel zware tijden met zich meebrengt voor fraudeurs, omdat ze zullen worden neergeslagen door de gecombineerde aanval van kennisverificatie en gedragsanalyse in beveiligingsprocedures. In 2016 verklaarde vice-minister van Financiën Sarah Bloom Raskin: “Systeemontwerp evolueert om de authenticatie-uitdaging aan te pakken die wordt geboden door gestolen of gemakkelijk gecompromitteerde wachtwoorden: de volgende generatie van online identiteitsverificatie lijkt te combineren wat klanten weten en hebben, met wat ze doen of gedragsbiometrie. '