बॉयोमीट्रिक्स प्रमाणीकरण का भविष्य?

में आज मैट होनन द्वारा प्रकाशित एक लेख पढ़ना वायर्ड योग्य "पासवर्ड को मारें: क्यों वर्णों का एक स्ट्रिंग हमें सुरक्षित नहीं कर सकता" (जिसे हमारी भाषा में अनुवादित किया गया है: "पासवर्ड को मारना: वर्णों की एक स्ट्रिंग अब हमारी सुरक्षा क्यों नहीं कर सकती है?"), मुझे कुछ दिनों पहले इस समुदाय के कुछ सदस्यों के साथ एक वार्तालाप याद आया जिसमें उल्लेख किया गया था कि कितना व्यापक है फिंगरप्रिंट रीडर का उपयोग एक प्रमाणीकरण तंत्र के रूप में होता है, विशेष रूप से सबसे अधिक उपयोग किए जाने वाले मोबाइल उपकरणों में और उनके उपयोग से होने वाले लाभ।

प्रश्न में लेख हाल के उदाहरण प्रस्तुत करता है कि कैसे कुछ उपयोगकर्ताओं (लेख के लेखक सहित) के खातों को हैक किया गया है, जो हमारी जानकारी और गोपनीयता की सुरक्षा के लिए पासवर्ड और वर्तमान प्रमाणीकरण और सत्यापन तंत्र की वास्तविक अक्षमता को उजागर करता है। और वह इस कथन के कारणों का तर्क देता है, वे सभी बहुत मान्य हैं और जिन्हें चार बड़े समूहों में संक्षेपित किया जा सकता है:

1.- प्रसंस्करण क्षमता में वृद्धि जो नेटवर्क पर उपलब्ध ब्रूट बल और पासवर्ड शब्दकोशों के उपयोग के माध्यम से पासवर्ड हैकिंग की अनुमति देती है। वर्तमान सीपीयू और जीपीयू की क्षमता के साथ, ब्रूट बल द्वारा व्यापक रूप से उपलब्ध हैकिंग कार्यक्रमों का उपयोग करके, शब्दकोशों के साथ जो हम नेटवर्क पर आसानी से प्राप्त कर सकते हैं, किसी एन्क्रिप्टेड फ़ाइल का पासवर्ड ढूंढने से पहले यह केवल समय की बात है। यहां तक ​​कि जब यह माना जाता है कि यह "सुरक्षित" है, क्योंकि इसमें पत्र, संख्या और अन्य वर्ण शामिल हैं, इस वृद्धि के साथ कि ये क्षमता भविष्य में बढ़ती रहेगी।

2.- एक ही उपयोगकर्ता द्वारा पासवर्ड का पुन: उपयोग। हमने कभी क्या किया है? हम विभिन्न सेवाओं में खुद को प्रमाणित करने के लिए एक ही ईमेल खाते का उपयोग करते हैं, यहां तक ​​कि, हम उसी उपयोगकर्ता नाम और पासवर्ड का उपयोग करते हैं जब हम नेटवर्क पर विभिन्न स्थानों में पंजीकरण करते हैं, उसी "बैकअप" ईमेल पते के साथ हमारे खातों को "अस्तर" करने के अलावा, यदि किसी को हमारे किसी खाते की सुविधा मिलती है, तो वे व्यावहारिक रूप से उन सभी तक पहुँच प्राप्त करते हैं।

3.- पासवर्ड्स चुराने के लिए पिसिंग और मालवेयर का इस्तेमाल। यहां, उपयोगकर्ता के सामान्य ज्ञान को सबसे अधिक प्रभावित करता है, क्योंकि यदि आप आमतौर पर आपके द्वारा प्राप्त किए गए मेल या कितने पृष्ठों के लिंक पर क्लिक करते हैं, तो आप स्वयं को उस जानकारी को देने के लिए सामने आते हैं जो बाद में आपके खिलाफ उपयोग की जाएगी।

4.- "सोशल इंजीनियरिंग" का उपयोग। यहां दो व्यापक रूप से उपयोग किए जाने वाले पहलू हैं। एक ओर, अधिक से अधिक हम अपना जीवन नेट पर रख रहे हैं: फेसबुक, लिंक्डिन, व्यक्तिगत ब्लॉग, आदि। सभी को उपलब्ध कराएं, हमारे जीवन का विस्तृत विवरण (जहां हम अध्ययन करते हैं, जो हमारे मित्र हैं, हमारे पालतू जानवर का नाम, आदि आदि), जो ज्यादातर मामलों में लगभग सभी सेवाओं के सत्यापन के सवालों के जवाब हैं। जो हम रजिस्टर करते हैं। दूसरी ओर, हैकर्स की क्षमता ग्राहक सेवाओं के साथ बातचीत करने के लिए सोशल इंजीनियरिंग टूल का उपयोग करने की अनुमति देती है, जो उन्हें हमारे बारे में जानकारी का लाभ उठाते हुए, इन सेवाओं को समझाने के लिए अनुमति देता है कि वे उपयोगकर्ता सच्चे हैं और प्राप्त करें हमारे खातों की पकड़।

खैर, सूचना समाज के विकास के साथ, यह एक निर्विवाद तथ्य है कि इंटरनेट पर हमारी मौजूदगी बढ़ती रहेगी, जबकि हम अपने दैनिक जीवन के लिए ऑनलाइन सेवाओं के उपयोग पर अधिक हद तक निर्भर होंगे, जिसे जोड़ा गया एनएफसी (नियर फील्ड कम्युनिकेशन) तकनीक के उपयोग के जरिए भुगतान के लिए मोबाइल फोन को इलेक्ट्रॉनिक वॉलेट में बदलने का इरादा, सुरक्षा के संदर्भ में एक आदर्श तूफान के लिए सामग्री हैं, केवल पासवर्ड के उपयोग से बचना असंभव है और वर्तमान लोगों की तरह सत्यापन तंत्र।

जैसा कि सभी मामलों में जिसमें सुरक्षा शामिल है, प्रमाणीकरण प्रणाली की ताकत बनाम उपयोग में आसानी और गोपनीयता की गोपनीयता के बीच एक समझौता स्थापित करना आवश्यक है। दुर्भाग्यवश, अब तक, प्रमाणीकरण तंत्र की मजबूती के लिए उपयोग में आसानी प्रबल हो गई है।

इस राय में एक संयोग प्रतीत होता है कि इस समस्या का समाधान एक प्रमाणीकरण प्रक्रिया की गारंटी के लिए पासवर्ड, संयोजन पैटर्न के विश्लेषण और बायोमेट्रिक उपकरणों के उपयोग में निहित है जो उपयोगकर्ताओं के लिए जीवन को आसान बनाता है, अधिक सत्यापन तंत्र के साथ। वर्तमान से निश्चित।

नेटवर्क में कुछ सेवा प्रदाता पहले से ही पासवर्ड के पूरक के रूप में उपयोग पैटर्न का उपयोग करना शुरू कर चुके हैं, यही कारण है कि, उदाहरण के लिए, जब हम अपने जीमेल खाते को एक आईपी से एक्सेस करते हैं जो हम आमतौर पर करते हैं, तो यह हमें एक सत्यापन स्क्रीन पर भेजता है। किसी अन्य विधि (फोन कॉल या पाठ संदेश) द्वारा सत्यापित करने के लिए, कि हम खाते के कानूनी उपयोगकर्ता हैं। इस पहलू पर, सर्वसम्मति प्रतीत होती है कि यह केवल एक समय की बात है कि नेटवर्क के अधिकांश सेवा प्रदाता समान रूपांतरों को अपनाते हैं।

जो अभी भी गायब है वह यह है कि बायोमेट्रिक तंत्र या उपकरणों का उपयोग प्रमाणीकरण के भाग के रूप में शुरू नहीं किया गया है, विभिन्न रूप हैं, सबसे सरल से जैसे कि आवाज पैटर्न मान्यता या चेहरे की पहचान (सॉफ्टवेयर द्वारा पूरी तरह से निष्पादन योग्य) और जिसके लिए मोबाइल उपकरणों में पहले से ही आवश्यक हार्डवेयर (माइक्रोफोन और कैमरे) होते हैं, यहां तक ​​कि सबसे जटिल जैसे कि फिंगरप्रिंट रीडर या आईरिस स्कैनर।

हालाँकि इस संबंध में पहले से ही कुछ कदम उठाए जा रहे हैं, जैसे कि कुछ एंड्रॉइड फोन पर मोबाइल फोन को अनलॉक करने के लिए चेहरे की पहचान या इन मुद्दों में विशेष कंपनी ऑटेनटेक के ऐप्पल द्वारा हाल ही में खरीदी गई, इसका उपयोग उपाख्यानों से परे नहीं है और क्या अधिक चिंता की बात यह है कि नेटवर्क में सेवाओं के साथ प्रमाणीकरण के इन रूपों के एकीकरण पर अभी तक चर्चा शुरू नहीं हुई है।

मेरी राय में, चेहरे या आवाज की पहचान, हालांकि उन्हें लागू करना सबसे आसान है और अतिरिक्त हार्डवेयर की आवश्यकता नहीं है, कम से कम सुरक्षित तरीके हैं, जबकि आईरिस स्कैनर मोबाइल उपकरणों में एकीकृत करने के लिए पूरी तरह से असंभव हैं, जो हमें फिंगरप्रिंट के लिए सबसे अच्छा विकल्प छोड़ देता है पाठक, जो उनके कम आयाम और "कुंजियों" की बहुलता के कारण सही समाधान होगा; मुझे समझाएं: यदि हम फ्लू के कारण कर्कश हैं या हमें कोई दुर्घटना हुई है या हमारे चेहरे पर चोट लगी है, आवाज या चेहरे की पहचान जटिल होगी, जबकि एक फिंगरप्रिंट रीडर के साथ, हम कई उंगलियों के उपयोग को कॉन्फ़िगर कर सकते हैं, इसलिए एक दुर्घटना में हमें अपने डेटा और सेवाओं तक पहुँचने से नहीं रोका जा सकता है।

वर्तमान में पहले से ही कुछ नोटबुक हैं जो इन मॉडलों में पर्याप्त मूल्य वृद्धि को ध्यान दिए बिना, अपने विन्यास में फिंगरप्रिंट पाठकों को एकीकृत करते हैं, जो हमें यह अनुमान लगाने की अनुमति देता है कि उनकी लागत महत्वपूर्ण नहीं है, इस तथ्य के बावजूद कि उनका उपयोग बढ़ाया नहीं गया है। दूसरी ओर, दुर्भाग्यवश इस समय बहुत कम ऐसे मोबाइल डिवाइस हैं जिनमें फिंगरप्रिंट रीडर हैं और उनमें एकीकरण का चलन नहीं है।

कुछ राय बताती हैं कि हम क्लासिक चिकन और अंडे की स्थिति का सामना कर रहे हैं: पाठकों को उपकरणों में एकीकृत नहीं किया जाता है क्योंकि नेटवर्क सेवाएं उन्हें प्रमाणीकरण तंत्र के रूप में उपयोग नहीं करती हैं, लेकिन बदले में, नेटवर्क सेवाएं तंत्र प्रमाणीकरण के कारण उनका उपयोग नहीं करती हैं। उपकरणों की छोटी संख्या जो उन्हें मानक के रूप में एकीकृत करती है। यह गॉर्डनियन गाँठ है कि कोई भी इस समय काटने की हिम्मत नहीं करता है।

इस दोष से परे, जिसमें हम खुद को पाते हैं, मुझे लगता है कि इसके कार्यान्वयन के लिए हल करने की स्थिति है और यह प्रमाणीकरण में उंगलियों के निशान के उपयोग के लिए आवश्यक मानकों की स्थापना है, अर्थात्, फिंगरप्रिंट रीडर एक छवि को स्कैन करता है और से यह, एक प्रकार का इलेक्ट्रॉनिक हस्ताक्षर उत्पन्न किया जाना चाहिए, जो वह है जो प्रमाणीकरण के लिए "पासवर्ड" के रूप में सेवा को भेजा जाएगा, इसलिए उस हस्ताक्षर को उत्पन्न करने के लिए एल्गोरिथ्म को यह गारंटी देनी चाहिए कि विभिन्न पाठक एक ही पदचिह्न के समान हस्ताक्षर उत्पन्न करते हैं, सुरक्षा के लिए बाधा के बिना और यह कुछ आसान नहीं लगता है।

हां, मुझे पता है कि इस बिंदु पर कुछ लोग फिल्म में दिखाई देने वाली चीजों को सामने लाएंगे, जहां एक ग्लास पर बायीं तरफ एक फिंगरप्रिंट उठाकर वे इसे एक इंस्टॉलेशन तक पहुंचने के लिए उपयोग करने का प्रबंधन करते हैं, लेकिन यह, स्क्रीन पर शानदार परिणाम से परे है, मुझे नहीं लगता कि यह एक फैशन बन जाएगा जिसे हमें भविष्य में ध्यान रखना चाहिए; जब तक हम में से कोई एक 007 एजेंट नहीं है या उसके पास फोर्ट नॉक्स का एक्सेस कोड नहीं है।

जैसा कि इस पोस्ट को जन्म देने वाले लेख के लेखक कहते हैं, किसी समस्या को हल करने में पहला कदम उसके अस्तित्व की मान्यता है ताकि तब समाधानों का प्रस्ताव शुरू करने में सक्षम हो और ठीक यही है। मैं उन सभी को सलाह देता हूं जो उस लेख को पढ़ सकते हैं जिसका मैं संदर्भ देता हूं, क्योंकि यह बहुत ही निराशाजनक है, साथ ही साथ पढ़ने के लिए सुखद है (जो दुर्भाग्य से अंग्रेजी नहीं जानते हैं वे आनंद नहीं ले पाएंगे), कुछ को शामिल करने के अतिरिक्त प्रोत्साहन के साथ हैकर्स ने "प्रतिष्ठित" सेवाओं को कैसे प्राप्त करने की कोशिश की है।

क्या आप मेरी राय से सहमत हैं या क्या आप उनमें से एक हैं जो अभी भी मानते हैं कि पासवर्ड हमारे लिए पर्याप्त हैं?