Идентификация биометрическая – использующая для идентификации людей уникальные физические атрибуты, такие как отпечатки пальцев – долгое время считается безопасной. Однако, эта технология, став привлекательной для банков и их клиентов, привлекла внимание киберпреступников.
С точки зрения организации огромным преимуществом таких методов, как сканирование радужной оболочки или анализ системы капилляров, является тот факт, что они уменьшают коэффициент ошибочных отказов (ошибка первого рода) и ошибочных принятий (ошибка второго рода). Клиентам нравится биометрия тем, что эта технология работает быстрее и освобождает их от паролей и других секретных кодов.
К сожалению, технология сканирования отпечатков пальцев является не только массово распространенной, но и не достаточно надежной, как и должна быть. Например, пользователи устройств под управлением iOS и Android регулярно жалуются на то, что их гаджеты «не узнают» законных владельцев – или путают их с другими людьми.
Биометрия в банкоматах
Биометрические банкоматы пока найти очень сложно, но несколько десятков «подземных» разработчиков программного обеспечения уже продают на черном рынке биометрические скиммеры. Эти устройства имеют задачу кража отсканированных отпечатков пальцев.
Другие разработчики подполья пытаются создавать устройства, которые способны записывать результаты сканирования радужной оболочки глаза и макет вен. Более того, использование скиммеров это не единственный способ кражи биометрических данных: атаки Man-in-the-middle и им подобные остаются такими эффективными, как при использовании имён пользователей и паролей.
Конечно, преступники взламывают также серверы с данными пользователей, независимо от того, в какой форме хранятся эти данные.
А теперь представьте, что вместо паролей эти компании потеряли биометрические данные своих клиентов. Смена паролей может быть утомительной, но как поменять код ДНК.
Кроме того, с помощью биометрических скиммеров преступники могут использовать исходные данные для копий биометрических данных. Банки должны будут очень тщательно разработать стандарты безопасности, прежде чем предоставить биометрические банкоматы массовому клиенту.
Снижение безопасности и биометрии
Первыми биометрические данные стали использовать структуры правительства, силы безопасности и оборонная промышленность, и в этих сферах она показала себя достаточно хорошо, потому что эти учреждения могут позволить себе дорогое и надежное оборудование.
Однако, в случае адаптации биометрии для широкого использования это приведёт к падению её уровня безопасности. Основной причиной такого положения вещей является популярность. Во-первых, речь идёт о том, что стандарты безопасности для потребительских товаров ниже, чем там, где они выполняют критическую функцию. Во-вторых, широкий выбор недорогих гаджетов позволяет злоумышленникам проводить много тестов потребительских устройств и находить всё больше и больше уязвимостей – для их собственной выгоды, конечно.
Повышению уязвимости биометрии для атак способствовало также быстрое развитие 3D-печати.
В прошлом году люди установили около 6 миллионов мобильных приложений, которые поддерживают проверку подлинности с помощью отпечатка пальца. По данным Juniper Research, к 2019 году мы будем использовать около 770 миллионов таких приложений. Другие эксперты ещё более оптимистичны: компания Market Intelligence считает, что к 2020 году 2,5 миллиарда человек будет использовать 4,8 миллиарда устройств, использующих биометрию.
Надежда и рекомендации на будущее
К счастью, биометрические данные не хранятся в чистом виде: на сервер попадают хешированные результаты сканирования, так что их кража не так привлекательна. Однако, преступники по-прежнему могут использовать методы, такие как упомянутые выше атаки man-in-the-middle, с помощью которых входят в канал передачи данных между банкоматом и центром обработки, чтобы украсть деньги человека.
Банки и пользователи должны использовать более строгие меры защиты от утечки традиционных логинов, а также защитить себя от мошенничества связанного с биометрией. Внешний вид банкомата должен быть усовершенствован, чтобы невозможно было установить скиммер, а также следует усилить контроль безопасности такого оборудования и его программного обеспечения.
Если речь идёт о технологии биометрической идентификации, мы рекомендуем использовать вместе с ней другой метод защиты, который дополняет систему защиты, но не заменяет её полностью.