Biometrics อนาคตของการพิสูจน์ตัวตน?

วันนี้อ่านบทความที่เผยแพร่โดย Mat Honan in มีสาย มีคุณสมบัติ "ฆ่ารหัสผ่าน: เหตุใดอักขระหลายตัวจึงไม่สามารถปกป้องเราได้อีกต่อไป" (ซึ่งแปลเป็นภาษาของเราคือ "การฆ่ารหัสผ่าน: ทำไมอักขระหลายตัวจึงไม่สามารถปกป้องเราได้อีกต่อไป") ฉันจำบทสนทนาเมื่อสองสามวันก่อนกับสมาชิกบางคนในชุมชนนี้ซึ่งเขาพูดถึงว่า การใช้เครื่องอ่านลายนิ้วมืออย่างแพร่หลายเป็นกลไกการตรวจสอบความถูกต้องโดยเฉพาะอย่างยิ่งในอุปกรณ์พกพาที่มีการใช้งานมากที่สุดและข้อดีของการใช้งานจะมีให้

บทความดังกล่าวนำเสนอตัวอย่างล่าสุดว่าบัญชีของผู้ใช้บางราย (รวมถึงผู้เขียนบทความ) ถูกแฮ็กอย่างไรโดยเน้นถึงความไม่สามารถใช้งานรหัสผ่านได้จริงและกลไกการตรวจสอบและยืนยันตัวตนในปัจจุบันเพื่อปกป้องข้อมูลและความเป็นส่วนตัวของเราและเขาระบุเหตุผลของ คำแถลงนี้ทุกข้อใช้ได้มากและสามารถสรุปได้เป็นสี่กลุ่มใหญ่:

1.- เพิ่มความสามารถในการประมวลผลที่อนุญาตให้แฮ็กรหัสผ่านโดยใช้พจนานุกรมกำลังดุร้ายและรหัสผ่านที่มีอยู่ในเครือข่าย มาด้วยความจุของ CPU และ GPU ในปัจจุบันโดยใช้โปรแกรมแฮ็คที่มีอยู่อย่างแพร่หลายโดย brute force ด้วยพจนานุกรมที่เราสามารถเข้าถึงได้อย่างง่ายดายบนเครือข่ายเป็นเพียงเรื่องของเวลาก่อนที่จะมีคนจัดการค้นหารหัสผ่านของไฟล์ที่เข้ารหัส แม้ว่ามันจะ "ปลอดภัย" เพราะมันมีตัวอักษรตัวเลขและตัวอักษรอื่น ๆ แต่ความสามารถเหล่านี้จะเพิ่มขึ้นอย่างต่อเนื่องในอนาคต

2.- การใช้รหัสผ่านซ้ำโดยผู้ใช้รายเดิม เราเคยทำอะไรมาบ้าง? เราใช้บัญชีอีเมลเดียวกันเพื่อรับรองความถูกต้องของตัวเองในบริการต่างๆแม้ว่าเราจะใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันเมื่อเราลงทะเบียนในที่ต่างๆบนเครือข่ายนอกเหนือจากการ "ผูกมัด" บัญชีของเราด้วยที่อยู่อีเมล "สำรอง" เดียวกันด้วยเหตุนี้ ว่าหากมีคนเข้าถึงบัญชีใดบัญชีหนึ่งของเราพวกเขาจะสามารถเข้าถึงบัญชีทั้งหมดได้

3.- การใช้ pishing และมัลแวร์เพื่อขโมยรหัสผ่าน นี่คือสิ่งที่มีอิทธิพลต่อสามัญสำนึกของผู้ใช้มากที่สุดเพราะโดยปกติแล้วคุณจะคลิกลิงก์ของจำนวนอีเมลที่คุณได้รับหรือจำนวนหน้าเว็บที่คุณเข้าชมคุณจะถูกส่งมอบข้อมูลด้วยตัวคุณเองซึ่งจะถูกนำไปใช้ในภายหลัง

4.- การใช้“ วิศวกรรมสังคม” มีสองด้านที่ใช้กันอย่างแพร่หลายที่นี่ ในแง่หนึ่งเราวางชีวิตบนอินเทอร์เน็ตมากขึ้นเรื่อย ๆ เช่น Facebook, Linkedin, บล็อกส่วนตัวและอื่น ๆ ให้ทุกคนเข้าถึงรายละเอียดโดยละเอียดเกี่ยวกับชีวิตของเรา (ที่เราศึกษาใครเป็นเพื่อนชื่อสัตว์เลี้ยงของเรา ฯลฯ ) ซึ่งโดยส่วนใหญ่แล้วคำตอบสำหรับคำถามการตรวจสอบของบริการเกือบทั้งหมดใน ที่เราลงทะเบียน ในทางกลับกันความสามารถของแฮกเกอร์ในการใช้เครื่องมือวิศวกรรมสังคมเพื่อโต้ตอบกับบริการลูกค้าช่วยให้พวกเขาบรรลุเป้าหมายได้อย่างง่ายดายโดยใช้ประโยชน์จากข้อมูลที่พวกเขามีเกี่ยวกับเราเพื่อโน้มน้าวบริการเหล่านี้ว่าผู้ใช้เป็นจริงและได้รับ ถือบัญชีของเรา

ด้วยการพัฒนาของสังคมข้อมูลจึงเป็นความจริงที่ปฏิเสธไม่ได้ว่าการปรากฏตัวของเราบนอินเทอร์เน็ตจะเติบโตอย่างต่อเนื่องในขณะที่เราจะพึ่งพาการใช้บริการออนไลน์ในชีวิตประจำวันของเราในระดับที่มากขึ้นซึ่งเพิ่มความตั้งใจ ในการเปลี่ยนโทรศัพท์มือถือให้เป็นกระเป๋าเงินอิเล็กทรอนิกส์สำหรับการชำระเงินโดยใช้เทคโนโลยี NFC (Near Field Communication) เป็นส่วนผสมสำหรับพายุที่สมบูรณ์แบบในด้านความปลอดภัยซึ่งเป็นไปไม่ได้ที่จะหลีกเลี่ยงด้วยการใช้รหัสผ่านและกลไกการตรวจสอบเพียงอย่างเดียวเช่นเดียวกับรหัสปัจจุบัน .

ในทุกเรื่องที่เกี่ยวข้องกับความปลอดภัยจำเป็นต้องสร้างความประนีประนอมระหว่างความแข็งแกร่งของกลไกการตรวจสอบสิทธิ์เทียบกับความสะดวกในการใช้งานและความเป็นส่วนตัวของบริการที่เป็นปัญหา น่าเสียดายที่จนถึงขณะนี้ความสะดวกในการใช้งานได้รับผลกระทบจากความแข็งแกร่งของกลไกการตรวจสอบสิทธิ์

ดูเหมือนจะมีความบังเอิญในความเห็นที่ว่าการแก้ปัญหานี้อยู่ที่การรวมกันของรหัสผ่านการวิเคราะห์รูปแบบการใช้งานและการใช้อุปกรณ์ไบโอเมตริกซ์เพื่อรับประกันกระบวนการตรวจสอบสิทธิ์ที่ทำให้ชีวิตของผู้ใช้ง่ายขึ้นโดยมีกลไกการตรวจสอบที่แน่นอนกว่า คนปัจจุบัน

ผู้ให้บริการบางรายในเครือข่ายได้เริ่มใช้รูปแบบการใช้งานเป็นส่วนเสริมของรหัสผ่านแล้วนั่นคือเหตุผลที่ตัวอย่างเช่นเมื่อเราเข้าถึงบัญชี Gmail ของเราจาก IP อื่นนอกเหนือจากที่เราทำอยู่ระบบจะส่งเราไปยังหน้าจอการตรวจสอบ เพื่อตรวจสอบโดยวิธีอื่น (โทรศัพท์หรือข้อความ) ว่าเราเป็นผู้ใช้บัญชีตามกฎหมาย ในแง่นี้ดูเหมือนจะมีความเห็นตรงกันว่าเป็นเพียงเรื่องของเวลาที่ผู้ให้บริการส่วนใหญ่ในเครือข่ายใช้รูปแบบที่คล้ายคลึงกัน

สิ่งที่ยังขาดหายไปคือการใช้กลไกหรืออุปกรณ์ไบโอเมตริกซ์ซึ่งเป็นส่วนหนึ่งของการตรวจสอบความถูกต้องยังไม่ได้เริ่มนำมาใช้มีหลายรูปแบบตั้งแต่แบบง่ายที่สุดเช่นการจดจำรูปแบบเสียงหรือการจดจำใบหน้า (สามารถใช้งานซอฟต์แวร์ได้อย่างสมบูรณ์) และอุปกรณ์เคลื่อนที่ อุปกรณ์ต่างๆมีฮาร์ดแวร์ที่จำเป็นอยู่แล้ว (ไมโครโฟนและกล้อง) แม้แต่อุปกรณ์ที่ซับซ้อนที่สุดเช่นเครื่องอ่านลายนิ้วมือหรือเครื่องสแกนม่านตา

แม้ว่าจะมีการดำเนินการบางขั้นตอนในเรื่องนี้แล้วเช่นการจดจำใบหน้าเพื่อปลดล็อกมือถือในโทรศัพท์ Android บางรุ่นหรือการซื้อล่าสุดโดย Apple ของ บริษัท AuthenTec ซึ่งเชี่ยวชาญในประเด็นเหล่านี้ แต่การใช้งานจะไม่เกินความสำคัญและอะไรคือ สิ่งที่น่ากังวลกว่าคือการรวมรูปแบบการพิสูจน์ตัวตนเหล่านี้เข้ากับบริการในเครือข่ายยังไม่ได้เริ่มมีการพูดคุย

ในความคิดของฉันการจดจำใบหน้าหรือเสียงแม้ว่าจะเป็นวิธีที่ง่ายที่สุดในการใช้งานและไม่ต้องใช้ฮาร์ดแวร์เพิ่มเติม แต่ก็เป็นวิธีที่ปลอดภัยน้อยที่สุดในขณะที่เครื่องสแกนม่านตาไม่สามารถรวมเข้ากับอุปกรณ์พกพาได้โดยสิ้นเชิงซึ่งทำให้เราเป็นตัวเลือกที่ดีที่สุดสำหรับลายนิ้วมือ ผู้อ่านซึ่งเนื่องจากขนาดที่ลดลงและความหลายหลากของ "คีย์" จึงเป็นทางออกที่สมบูรณ์แบบ ให้ฉันอธิบาย: ถ้าเราเสียงแหบเนื่องจากไข้หวัดหรือเราประสบอุบัติเหตุหรือเราได้รับบาดเจ็บที่ใบหน้าการจดจำเสียงหรือใบหน้าจะทำได้ยากในขณะที่มีเครื่องอ่านลายนิ้วมือเราสามารถกำหนดค่าการใช้นิ้วหลาย ๆ นิ้วได้ดังนั้น อุบัติเหตุในครั้งเดียวไม่สามารถป้องกันไม่ให้เราเข้าถึงข้อมูลและบริการของเราได้

ปัจจุบันมีโน้ตบุ๊กบางรุ่นที่รวมตัวอ่านลายนิ้วมือไว้ในการกำหนดค่าโดยไม่สังเกตเห็นการเพิ่มราคาอย่างมากในรุ่นเหล่านี้ซึ่งช่วยให้เราสามารถสรุปได้ว่าค่าใช้จ่ายของพวกเขาไม่ได้มีนัยสำคัญแม้ว่าจะไม่มีการขยายการใช้งานก็ตาม ในทางกลับกันน่าเสียดายที่ในขณะนี้มีอุปกรณ์พกพาจำนวนน้อยมากที่มีเครื่องอ่านลายนิ้วมือและการรวมเข้าด้วยกันดูเหมือนจะไม่เป็นเทรนด์

ความคิดเห็นบางส่วนบอกว่าเรากำลังเผชิญกับสถานการณ์ไก่และไข่แบบคลาสสิก: ผู้อ่านไม่ได้รวมอยู่ในอุปกรณ์เนื่องจากบริการเครือข่ายไม่ได้ใช้เป็นกลไกการตรวจสอบสิทธิ์ แต่ในทางกลับกันบริการเครือข่ายไม่ได้ใช้เป็นกลไกในการตรวจสอบเนื่องจากมีขนาดเล็ก จำนวนอุปกรณ์ที่รวมเข้าด้วยกันเป็นมาตรฐาน นี่ดูเหมือนจะเป็นปมกอร์เดียนที่ไม่มีใครกล้าตัดออกในขณะนี้

นอกเหนือจากแรงผลักดันที่เราพบในตัวเองแล้วฉันคิดว่ายังมีสถานการณ์ที่ต้องแก้ไขสำหรับการนำไปใช้และนั่นคือการกำหนดมาตรฐานที่จำเป็นสำหรับการใช้ลายนิ้วมือในการตรวจสอบความถูกต้องนั่นคือเครื่องอ่านลายนิ้วมือจะสแกนภาพและจาก ต้องสร้างลายเซ็นอิเล็กทรอนิกส์ชนิดหนึ่งซึ่งเป็นลายเซ็นที่จะถูกส่งไปยังบริการเป็น "รหัสผ่าน" สำหรับการตรวจสอบความถูกต้องดังนั้นอัลกอริทึมในการสร้างลายเซ็นนั้นจะต้องรับประกันว่าผู้อ่านที่แตกต่างกันจะสร้างลายเซ็นที่เท่ากันในลักษณะเดียวกัน โดยไม่เป็นอันตรายต่อความปลอดภัยและดูเหมือนจะไม่ใช่เรื่องง่าย

ใช่ฉันรู้ว่า ณ จุดนี้บางคนจะนำสิ่งที่พวกเขาเห็นในภาพยนตร์มาใช้โดยการเพิ่มลายนิ้วมือที่ทิ้งไว้บนกระจกพวกเขาจัดการเพื่อใช้เพื่อเข้าถึงการติดตั้ง แต่สิ่งนี้นอกเหนือไปจากผลลัพธ์ที่น่าประทับใจบนหน้าจอก็คือ ไม่ใช่ฉันคิดว่ามันจะกลายเป็นแฟชั่นที่เราควรดูแลในอนาคต เว้นแต่เราคนใดคนหนึ่งจะเป็นตัวแทน 007 หรือมีรหัสการเข้าถึง Fort Knox

ในฐานะผู้เขียนบทความที่ก่อให้เกิดโพสต์นี้กล่าวว่าขั้นตอนแรกในการแก้ปัญหาคือการรับรู้ถึงการมีอยู่ของมันเพื่อที่จะสามารถเริ่มเสนอแนวทางแก้ไขได้และนั่นคือสิ่งที่เกี่ยวข้องกับมัน ฉันขอแนะนำให้ทุกคนที่สามารถอ่านบทความที่ฉันอ้างถึงได้เพราะมันเป็นภาพประกอบที่ดีและอ่านสนุก (ซึ่งน่าเสียดายที่ผู้ที่ไม่รู้ภาษาอังกฤษจะไม่สามารถเพลิดเพลินได้) ด้วยแรงจูงใจเพิ่มเติมจากการมีบางส่วน มุกเกี่ยวกับวิธีที่แฮกเกอร์หลอกล่อบริการที่ "มีชื่อเสียง" ให้เข้าถึงได้

คุณเห็นด้วยกับความคิดเห็นของฉันหรือคุณเป็นหนึ่งในคนที่ยังเชื่อว่ารหัสผ่านเพียงพอสำหรับเรา