생체 인식 인증의 미래?

오늘 Mat Honan이 출판 한 기사를 읽고 유선 자격있는 "암호를 죽이십시오 : 문자열이 더 이상 우리를 보호 할 수없는 이유" (우리 언어로 번역 된 것은 : "암호를 죽이는 것 : 왜 문자열이 우리를 더 이상 보호 할 수 없습니까?"), 저는 며칠 전에이 커뮤니티의 일부 회원들과의 대화를 기억했습니다. 특히 가장 널리 사용되는 모바일 장치에서 지문 판독기의 사용이 인증 메커니즘으로 얼마나 널리 퍼지지 않았는 지에 대해 언급했습니다.

문제의 기사는 일부 사용자 (기사 작성자 포함)의 계정이 해킹 된 방법에 대한 최근 사례를 보여 주며, 우리의 정보와 개인 정보를 보호하기위한 암호와 현재 인증 및 확인 메커니즘의 실제 무능력을 강조합니다. 그리고 그는이 진술에 대한 이유를 주장하는데, 모두 매우 타당하며 XNUMX 개의 큰 그룹으로 요약 될 수 있습니다.

1.- 네트워크에서 사용 가능한 무차별 암호 대입 및 암호 사전을 사용하여 암호 해킹을 허용하는 처리 용량 증가. 어서, 현재 CPU와 GPU의 용량으로, 무차별 대입으로 널리 사용되는 해킹 프로그램을 사용하고, 네트워크에서 쉽게 얻을 수있는 사전과 함께, 누군가가 암호화 된 파일의 암호를 찾는 것은 시간 문제 일뿐입니다 , 문자, 숫자 및 기타 문자가 포함되어 있기 때문에 "안전"하다고 여겨지는 경우에도 이러한 용량은 향후 계속해서 증가 할 것입니다.

2.- 동일한 사용자에 의한 암호 재사용. 우리는 무엇을 했습니까? 우리는 동일한 이메일 계정을 사용하여 다른 서비스에서 자신을 인증합니다. 심지어 동일한 "백업"이메일 주소로 계정을 "연결"하는 것 외에도 네트워크의 여러 위치에 등록 할 때 동일한 사용자 이름과 비밀번호를 사용합니다. 누군가가 우리 계정 중 하나에 액세스하면 사실상 모든 계정에 액세스 할 수 있습니다.

3.- 피싱 및 멀웨어를 사용하여 암호를 도용합니다. 여기에서 사용자의 상식에 가장 큰 영향을 미치는 것은 일반적으로 수신 한 메일의 양이나 방문하는 페이지의 링크를 클릭하면 나중에 사용되는 정보를 직접 전달하기 위해 노출되기 때문입니다.

4.- "사회 공학"의 사용. 여기에는 널리 사용되는 두 가지 측면이 있습니다. 한편으로는 Facebook, Linkedin, 개인 블로그 등 인터넷에 점점 더 많은 삶을 배치하고 있습니다. 대부분의 경우 확인 질문에 대한 답인 모든 사람에게 우리 삶의 세부 사항 (공부하는 곳, 친구, 애완 동물 이름 등)을 제공합니다. 우리가 등록하는 거의 모든 서비스의. 반면에 해커가 사회 공학 도구를 사용하여 고객 서비스와 상호 작용할 수있는 능력은 고객 서비스와 상호 작용하여 상대적으로 쉽게 달성하고 우리에 대한 정보를 활용하여 이러한 서비스가 사용자임을 확신하도록합니다. 진실하고 우리 계좌를 확보하십시오.

글쎄요, 정보 사회의 발전과 함께 인터넷에서의 우리의 존재는 계속해서 성장할 것이며 우리는 일상 생활을위한 온라인 서비스 사용에 더 크게 의존 할 것입니다. NFC (Near Field Communication) 기술을 사용하여 휴대폰을 전자 지갑으로 바꾸려는 의도는 보안 측면에서 완벽한 폭풍의 요소이며 비밀번호만으로는 피할 수 없습니다. 그리고 현재의 것과 같은 검증 메커니즘.

보안이 관련된 모든 문제에서와 마찬가지로 인증 메커니즘의 강도와 해당 서비스의 사용 용이성 및 개인 정보 보호 사이에 절충안을 설정해야합니다. 안타깝게도 지금까지 사용 편의성이 인증 메커니즘의 강도를 떨어 뜨리고 있습니다.

이 문제에 대한 해결책은 암호, 사용 패턴 분석 및 생체 인식 장치의 사용을 결합하여 사용자의 삶을 더 쉽게 만들고 더 많은 검증 메커니즘을 통해 인증 프로세스를 보장하는 것이라는 의견이 일치하는 것 같습니다. 현재의 것보다 확실합니다.

네트워크의 일부 서비스 제공 업체는 이미 사용 패턴을 비밀번호 보완 수단으로 사용하기 시작했습니다. 예를 들어, 일반적으로 사용하는 IP가 아닌 다른 IP에서 Gmail 계정에 액세스 할 때 확인 화면으로 이동하여 다른 방법 (전화 통화 또는 문자 메시지)으로 당사가 계정의 합법적 인 사용자인지 확인합니다. 이러한 측면에서 네트워크에있는 대부분의 서비스 제공 업체가 유사한 변형을 채택하는 것은 시간 문제라는 합의가있는 것 같습니다.

아직 누락 된 것은 인증의 일부로 생체 인식 메커니즘 또는 장치의 사용이 시작되지 않았으며 음성 패턴 인식 또는 얼굴 인식 (소프트웨어로 완전히 실행 가능)과 같은 가장 단순한 것부터 다양한 형태가 있다는 것입니다. 모바일 장치에는 이미 필요한 하드웨어 (마이크 및 카메라)가 있으며 지문 판독기 또는 홍채 스캐너와 같은 가장 복잡한 하드웨어도 있습니다.

이와 관련하여 일부 Android 휴대폰에서 모바일 잠금을 해제하기위한 안면 인식 또는 이러한 문제를 전문으로하는 AuthenTec 회사의 최근 구매와 같은 일부 단계가 이미 취해졌지만 그 사용은 일화를 넘어서는 것은 아닙니다. 더 걱정되는 것은 이러한 인증 형태와 네트워크 서비스의 통합에 대한 논의가 아직 시작되지 않았다는 것입니다.

제 생각에 안면 또는 음성 인식은 구현하기 가장 쉽고 추가 하드웨어가 필요하지 않지만 가장 안전한 방법이지만 홍채 스캐너는 모바일 장치에 통합하는 것이 완전히 불가능합니다. 크기가 줄어들고 "키"의 다양성이 완벽한 솔루션이 될 수있는 지문 판독기에 가장 적합한 옵션입니다. 설명해 드리겠습니다. 독감으로 쉰 상태이거나 사고를 당했거나 얼굴에 부상을 입었을 경우 음성 또는 얼굴 인식이 복잡 할 수 있지만 지문 판독기를 사용하면 여러 손가락을 사용하도록 구성 할 수 있습니다. 사고가 발생한다고해서 데이터와 서비스에 액세스하는 데 방해가되지는 않습니다.

현재 이미 이러한 모델의 상당한 가격 인상없이 지문 판독기를 구성에 통합하는 일부 노트북이 있습니다. 이로 인해 사용하지 않았음에도 불구하고 비용이 중요하지 않다고 추론 할 수 있습니다. 펼친. 반면에 안타깝게도 현재 지문 판독기가있는 모바일 장치는 거의 없으며 이들의 통합은 추세가 아닌 것 같습니다.

일부 의견은 우리가 고전적인 닭과 달걀 상황에 직면하고 있음을 시사합니다. 네트워크 서비스가 인증 메커니즘으로 사용하지 않기 때문에 독자가 장치에 통합되지 않지만 차례로 네트워크 서비스는이를 메커니즘으로 사용하지 않습니다. 표준으로 통합 된 소수의 장치로 인한 인증. 이것은 현재 아무도 감히 자르지 않는 고르 디우스 매듭 인 것 같습니다.

우리가 발견하는 이러한 임 패스를 넘어서, 구현을 위해 해결해야 할 상황이 있다고 생각합니다. 그것은 인증에서 지문 사용에 필요한 표준, 즉 지문 판독기가 이미지를 스캔하는 데 필요한 기준을 설정하는 것입니다. 그리고 그로부터 일종의 전자 서명이 생성되어야합니다. 이것은 인증을위한 "비밀번호"로 서비스에 전송되는 것입니다. 따라서 해당 서명을 생성하는 알고리즘은 서로 다른 독자가 동일한 서명을 생성하도록 보장해야합니다. 보안에 해를 끼치 지 않고 동일한 공간을 차지하며 단순하지 않은 것 같습니다.

예,이 시점에서 일부 사람들은 유리에 남아있는 지문을 들어서 설치물에 액세스하는 데 사용하는 영화에서 본 것을 가져 오지만 화면에 나타나는 장관을 넘어서는 그렇지 않습니다. 앞으로는 우리가 챙겨야 할 패션이 될 것 같아요. 우리 중 한 명이 007 요원이거나 Fort Knox에 대한 액세스 코드를 가지고 있지 않는 한.

이 게시물을 작성하는 기사의 저자가 말했듯이 문제 해결의 첫 번째 단계는 문제의 존재를 인식 한 다음 해결책 제안을 시작할 수있는 것입니다. 이것이 바로 문제입니다. 나는 내가 참조하는 기사를 읽을 수있는 모든 사람에게 추천한다. 왜냐하면 그것은 매우 예시 적이기 때문이고 읽기도 즐겁기 때문이다 (불행히도 영어를 모르는 사람들은 즐길 수 없을 것이다). 해커는 "유명한"서비스를 속여 액세스 권한을 얻었습니다.

제 의견에 동의하십니까? 아니면 여전히 암호만으로도 충분하다고 생각하는 분입니까?