Биометрические технологии аутентификации – европейский взгляд

[mmMike]

Сдавая отпечатки пальцев на шангенскую визу, при получении загран паспорта…
Осознаю, что лично я никогда не выберу аутентификацию по отпечаткам пальцев для более менее серьезных сервисов.
Ни как не убеждают фразы "большинство опрошенных считает, что наибольшую защиту среди всех биометрических технологий обеспечивает сканирование отпечатков пальцев" в безопасности биометрических технологий.
Если завтра все дружно прыгнут с обрыва… я что, то же должен прыгнуть?

Не ту аудиторию выбрали для убеждения. Домохозяйкам с начальным и средним образованием рассказывайте…
Правильно название для этой аудитории "потребители".

Извините, если грубо. Но достали рекламные статьи и менеджеры на работе, прибегающими с предложениями от банков "а давайте нал в банкомате по отпечатку выдавать! все говорят что это можно и круто".

Круто… модно… только кто потом за фрод отвечать будет..

[GemaltoRussia]

@mmMike спасибо за комментарий. Можно припомнить много случаев, когда свежая технология казалась ненужной и даже опасной, но позже была принята – в основном, из-за удобства и преимущества перед другими. А по поводу "кто отвечать будет" у нас был материал) https://habrahabr.ru/company/gemaltorussia/blog/321308/

[VitalKoshalew]

Припомните, пожалуйста, ещё одну технологию безопасности, которую продолжают использовать (и насаждать) после того, как, например, 5.6 миллионов ключей было украдено (и не у кого-нибудь, а у правительства США) и заменить их принципиально невозможно.

[GemaltoRussia]

@VitalKoshalew спасибо за комментарий. Об утечках мы также неоднократно писали, и факт утечек только говорит о необходимости повышения безопасности https://habrahabr.ru/company/gemaltorussia/blog/314352/ Отдельные факты взлома/утечек не могут стать причиной полного отказа от технологии, как, например, факты квартирных краж не заставляют отказаться от дверных замков – технологии развиваются, из них выбирают лучшие на данном этапе, в том числе, исходя из предпочтений пользователей, о чем, в частности, и говорится в статье.

[VitalKoshalew]

Об утечках мы также неоднократно писали, и факт утечек только говорит о необходимости повышения безопасности

Вы нашли способ обеспечения абсолютной безопасности и невзламываемости сложных систем? Если безопасность не абсолютная, то какой сценарий действий вы предлагаете в случае взлома? Выкинуть всё купленное у вас биометрическое оборудование и вернуться в исходную точку?

Отдельные факты взлома/утечек не могут стать причиной полного отказа от технологии, как, например, факты квартирных краж не заставляют отказаться от дверных замков

Вы подменяете понятия. Квартирный замок можно заменить, пароль можно сбросить, сертификат отозвать. Вы предлагаете именно что отказаться от дверного замка после взлома.

[GemaltoRussia]

@VitalKoshalew во всех случаях речь идет о снижении рисков и ущерба от взлома.

[Neraverin]

Пожалуйста, не используйте слова биометрия и аутентификация вместе. Человек не в состоянии контролировать распространение своей биометрической информации — это всё равно, что защитить свои данные паролем, который у вас на лбу написан. Плюс любой фактор аутентификации должен иметь возможность его смены при компрометации. Если ваши отпечатки будут скомпрометированы, что делать будем? Пальцы пересаживать?

[GemaltoRussia]

@Neraverin спасибо за комментарий. Совершенной защиты еще, к сожалению, не придумали. Отпечаток пальца или другой биометрический фактор может использоваться совместно с другими – для повышения безопасности.

[VitalKoshalew]

«Безопасность» это у вас buzzword или регламентированная система мероприятий? Если второе, то что в любом регламенте написано о следующих действиях пользователя?

• Пользователь использует одинаковый пароль для различных ресурсов: рабочих и личных.
• Пользователь передал пароль третьим лицам (сотрудникам консульских отделов других стран, правоохранительным органам).
• Пользователь записал пароль у себя на кисти руки и ходит так по городу.
• Пользователь постоянно теряет бумажки с записанным паролем в случайных местах.

Каким образом система, которая вынуждает всех пользователей ежеминутно нарушать все мыслимые регламенты, может «повысить безопасность»? Скорее, безопасность будет понижена, т.к. покупатели, которым вы пообещали «повысить безопасность», будут думать, что у них есть дополнительный (а то и единственный!) фактор аутентификации, которого нет!

[GemaltoRussia]

@VitalKoshalew в статье изложено мнение пользователей, 68% которых "хотели бы использовать биометрические технологии в качестве метода аутентификации при осуществлении платежа" (по данным Visa), как указано выше, возможно, совместно с другими методами. Просвещение пользователей в области использования сильных паролей – важная часть программы обеспечения безопасности (как комплекса мер), однако, она не являлась темой этой статьи.

[VitalKoshalew]

Как интересно: в официальном блоге компании, предлагающей банкам "security architecture for biometric fingerprint authentication… [that] replaces conventional username/password authentication for applications such as payment, eticketing, digital access and 2-factor strong authentication with swift and secure fingerprint recognition", опубликована статья с апологетикой принятия отпечатков пальцев в качестве механизма аутентификации, целиком состоящая из argumentum ad populum.

В комментариях официальный, надо полагать, представитель компании заявляет, что использование отпечатков пальцев «повышает безопасность».

В ответ на возражения, оказывается, что в статье просто «изложено мнение пользователей». Как говорят в интернетах, «мопед не мой»…

И чтобы вы не делали вид, что не поняли, что я написал в прошлом комментарии — отпечаток пальца может рассматриваться исключительно как частный случай пароля (something that you know), так как поддаётся элементарному копированию. Исходя из вышеперечисленных неустранимых недостатков, пароль «1234» лучше, так как его хотя бы можно сменить.