Otisky prstů? Zastaralé; do módy přijde snímání duhovky
27.7.2016 Zdroj: SecurityWorld Biometrika Okolo inovativních platebních systémů z roku 2014 typu Apple Pay nebo Samsung Pay byl sice zpočátku obrovský humbuk, ale růst tomu neodpovídal. To by však mohly změnit nové biometrické bezpečnostní technologie, které překonají klasický „fingerprint“ systém, tedy sken otisků prstů. Mezi takové nové metody by mohla patřit čtečka žilního řečiště v dlani nebo i takové senzory, které rozpoznají uživatelův styl psaní či pohybu.
Pro nákupy v internetovém prostředí by zase mohla nastoupit autentizace pomocí oční duhovky. A i když většina bank stále užívá SMS zprávy pro potvrzení transakce, hledají novější a bezpečnější metody; a tady se dostávají do hry kombinovaná řešení – tak například obličejový, hlasový a behaviorální sken najednou by připustil jen opravdu minimální šanci na zneužití.
Prodejci chytrých telefonů a developeři platebních systémů také musí brát v úvahu kombinovaná řešení a dát do praxe nové biometrické technologie, myslí si Tiffany Huangová, analytička v podniku Lux Research. Nedávno zveřejnila padesátistránkovou zprávu, týkající se právě zabezpečení mobilních plateb pomocí biometrických snímačů.
„Biometrika je nutná k vylepšení systému mobilních plateb,“ sdělila Huangová v interview. „Těžko zvítězí jen jediný typ biometrického řešení, alespoň ze střednědobého až dlouhodobého hlediska.“
Jeden z důvodů pomalého nasazení mobilních plateb ve Spojených státech i jinde po světě je především to, že uživatelé nevidí přidanou hodnotu v používání mobilního zařízení namísto kreditní karty, dodává. Kreditní karty s čipy by nakonec mohly pomoci zvýšit zájem o platby přes mobilní telefon, ale zatím to nevypadá, že by rozdíl byl nějak markantní.
Jeden z amerických průzkumů z minulého roku, jenž se tázal 2 137 občanů, zjistil, že celých 75 % nepoužívalo mobilní telefon k platbě, protože jim přijde jednodušší zaplatit bankovkami či kreditní nebo debetní kartou. Také 59 % se bálo o bezpečnost a soukromí u svých transakcí.
Huangová provedla průzkum v desítkách firem, fungujících ve složitém ekosystému mobilních plateb, včetně např. bank a finančních institucí nebo hardwarových a softwarových vývojářů, a zhodnotila nové biometrické technologie z hlediska jednoduchosti použití, bezpečnosti a ceny. Kromě skenu otisků prstů hodnotila také snímání dlaňových žil, duhovek, elektrokardiogramů, hlasů a obličejů.
Rozmanitost biometrických řešení je důležité pro celé spektrum mobilních plateb: V obchodě by například zákazníci pravděpodobně nechtěli čekat ve frontě na hlasovou nebo obličejovou autentizaci. Huangová mezitím zjistila, že optimální by byly skeny dlaňových žil, ty však jsou bohužel velice drahé.
Jsou také relativně vzácné, neboť vyžadují velkou čtečku, která porovnává schémata žil v ruce, popisuje. Avšak na oplátku jsou snímky dlaňových žil stonásobně bezpečnější než skeny otisků prstů, neboť jsou unikátnější než otisky prstů a navíc se dají jen těžko zfalšovat, protože se nachází až pod kůží.
Čtečky otisků prstů, používané např. v Apple Pay nebo v Samsung Pay, jsou v současnosti stále ještě nejvyspělejší technologie a hardware pro ně je relativně levný. Jenže tyto senzory se dají, lidově řešeno, „oblbnout“, třeba duplikací otisků prstů, což je jedním z důvodů, proč finanční instituce hledají bezpečnější alternativy.
Jednou z možností by byl tzv. behavioral tracking – sledování chování uživatele. Využitím senzorů, které již ve většině mobilních telefonů jsou, jako je akcelerometr, gyroskop, dotykový displej nebo GPS, by uživatel mohl být autentizován vzorcem chování; zkrátka tím, jak s telefonem zachází.
U chytrých hodinek by zase mohl být rozpoznán pohyby zápěstí. GPS by kupříkladu mohla určit, zda lokalita nákupu sedí s běžnou rutinou uživatele. Huangová však zjistila, že taková autentizace vykazuje jen 80 – 90% přesnost; tedy nižší než u jiných typů biometrie. To by tedy vyžadovalo ještě přidání klasického hesla či jiné běžné autentizační metody.
Existuje množství malých startupů, které na behaviorálních senzorech pracují – například Biocatch, AimBrain, XYverify nebo Plurilock.
Ve své zprávě Huangová popsala, že právě mobilní průmysl bude klíčový v tom, které biometrické technologie budou populární. „Mnoho firem stále shání důkazy o tom, že zrovna tato konkétní biometrie je bezpečná,“ vysvětluje. Také shledala, že s tím, jak vznikají nové mobilní platební platformy, bude pro vývojáře technologií velmi těžké zařídit, aby trhu dominoval jen jediný typ biometrického snímání.
„Mobilní platby se neuchytily tak rychle, jak jsme si mysleli, ale letos by měly nastartovat,“ říká. „Jakmile bude biometrie dostatečně uchycena, aby ujistila uživatele a banky o její bezpečnosti, povede to k rychlému nárůstů plateb skrze chytré telefony.“
Kromě potvrzení toho, že biometrické technologie fungují, výrobci také budou muset upřít pozornost na adresování obav uživatelů o svoje soukromí.
„Existují obavy z narušení soukromí u biometriky jako takové, nejen u mobilních transakcí,“ zakončuje Huangová. „Někteří zákazníci nechtějí něco jako kameru u svých transakcí, protože to vytváří dojem Velkého bratra. Je pravda, že postoj uživatelů k biometrii je zatím zdrženlivý.“
Rozpoznávání obličeje v praxi (2)
27.7.2015 Biometrika Potenciál technologie rozpoznávání obličeje je významný, i když se ho ještě nepodařilo plně zužitkovat.
Kromě přesnosti je u rozpoznávání obličeje další důležitou oblastí také soukromí. Z důvodu dosažení účinnosti technologie obvykle vyžaduje buď uložení naskenovaného obličeje do backendové databáze, nebo kontrolu vůči obličeji, který tam již je.
„Přemýšlíte o kamerách, které neustále zachycují obličeje a zjišťují, o koho jde? Ano, jsou zde obavy o soukromí,“ souhlasí Hauhn. „Je však potřeba zodpovědět tradiční otázku: jaké je přiměřené očekávání soukromí?“
Jak Hauhn podotýká, existuje už mnoho kamer umístěných ve velkých městech, které zachycují lidi každý den, a běžným lidem to obvykle nevadí. Jakmile však do této rovnice vstoupí rozpoznávání obličejů a kamery budou vědět, kdo jste a kde se v daný okamžik nacházíte, otázky v souvislosti se soukromím se změní. Nakonec se však bude rozsah nesouhlasu pravděpodobně individuálně lišit, dodává.
„Ať už se na to díváte jakkoli, otázky ohledně soukromí se nakonec týkají toho, jaký je váš názor na Velkého bratra,“ připomíná Hauhn. „Získáte tolik různých stanovisek, kolik je lidí.“
A co otázka, jak dlouho budou tyto skeny obličejů uložené v backendové databázi? Hauhn uvádí, že policejní oddělení prohlašují, že potřebují uchování těchto údajů 30 dní v případě, že je nutné udělat šetření, kde lidé byli v určitých dnech, a „to jsou záležitosti, jež děsí lidi, kterým záleží na soukromí“.
Existují však postupně implementovaná opatření pro regulaci, jak dlouho se smějí taková osobní data uchovávat, uvádí Lorenz.
„Ano, existují určité obavy týkající se soukromí. V současné době je mnoho zákonů souvisejících s osobními biometrickými údaji,“ připomíná Lorenz.
„Zaměřují se na řadu otázek, jako je například způsob ochrany, používání, zpracování a ukládání dat. A další oblastí je problematika uchovávání. Jakmile vyřešíte tuto záležitost, musíte se také zabývat skartací dat. Podobně tomu je se šifrováním – používáte v back-endu šifrování? Jaká užíváte opatření pro zabezpečení a ochranu před neoprávněnou manipulací?“
I když existuje mnoho zákonů na ochranu osobních údajů, liší se podle jednotlivých států a obvykle se týkají důvěrnosti biometrických údajů jako celku.
Může nějakou dobu trvat, než dojde ke standardizované regulaci rozpoznávání obličejů. Koneckonců rozpoznávání obličejů je zatím v raném stadiu procesu růstu, uvádí Lorenz.
„Shromažďování těchto údajů a související analýzy nyní dozrávají,“ prohlašuje. „Existuje mnoho analýz, které dnes kamery zvládnou, a rozpoznávání obličejů je jen jednou z komponent.“
Rozpoznávání obličeje v praxi (1)
25.7.2015 Biometrika Potenciál technologie rozpoznávání obličeje je významný, i když se ho ještě nepodařilo plně zužitkovat.
Tak by přece měla vypadat budoucnost. Zástupci dobra musí dokázat najít lumpa i v davu lidí, takže začali skenovat prostředí kamerou, která obsahuje technologii rozpoznávání obličeje.
O pár vteřin později se kamerou zachytí obličej, který vykazuje pozitivní shodu s položkou v jejich trestní databázi, a ejhle – mají ho. Tato budoucnost je už v určité podobě součástí dnešních dnů.
Úroveň přesnosti této platformy není dostatečně vysoká, aby ji šlo použít ve výše uvedeném případě, alespoň ne s vysokou mírou úspěšnosti.
Je však dostatečně dobrá pro implementaci v řadě různých vertikálních trhů včetně komerčního sektoru, marketingu, zdravotnictví a pohostinství.
„V mnoha případech je rozpoznávání obličeje dobrým pomocným nástrojem umístěným nad současnými systémy,“ uvádí Bob Lorenz, výkonný specialista na oblast videa ve společnosti Panasonic.
„Například v oblasti maloobchodu již prodejny používají bezpečnostní kamery, aby odhalily krádeže, ale zároveň už nyní rozpoznávají obličeje,“ tvrdí Lorenz.„Když někoho chytí, uloží se tyto obličeje do databáze a v případě příštího rozpoznání dostane personál obchodu či ochranka upozornění. Je to dílčí komponenta přidaná k již nasazené infrastruktuře.“
Jay Hauhn, technologický ředitel a viceprezident společnosti Tyco Integrated Security, dělí použití rozpoznávání obličeje do dvou kategorií: spolupracující a nespolupracující prostředí.
V prvním případě si osoba, jejíž obličej se bude skenovat, uvědomuje skenování a vybrala si tento proces jako nástroj ověření své identity – tyto osoby se budou dívat přímo na kameru a nebudou se snažit jakkoli zakrývat svůj obličej.
Nespolupracující prostředí jsou taková, kde si subjekt nemusí uvědomovat skenování svého obličeje a nepokouší se hledět přímo na kameru.
„Ve spolupracujícím prostředí to funguje velmi dobře,“ prohlašuje Hauhn. „Je to stejné jako jakékoliv jiné biometrické řešení, ale to není příslib rozpoznávání obličejů. V tomto scénáři není těžké rozpoznávání obličeje obejít pomocí obrazu.“
Ačkoli Hauhn tvrdí, že ve spolupracujícím prostředí založeném na zabezpečení, kde se používá rozpoznávání obličejů v nejjednodušší podobě, není tuto technologii tak těžké ošálit, je tu ještě naděje.
Ačkoli nemohl prozradit podrobnosti, Hauhn uvádí, že společnost Tyco zná firmu, která vyvíjí další faktory implementovatelné do rozpoznávání obličeje za účelem vytvoření vícefaktorové autentizace ve spolupracujícím prostředí.
Například namísto pouhého rozpoznávání obličejů by kamery brzy sledovaly i mrkání, pohyb rtů, pohyby obličejových svalů, duhovky a možná i chůzi člověka.
V nespolupracujícím prostředí není rozpoznávání obličejů tak široce implementované, alespoň ne úspěšně, a to v důsledku relativně nízké efektivity, vysvětluje Hauhn. Příslib rozpoznávání obličejů se podle něj spíše týká nalezení někoho v davu. V této oblasti je ale efektivita nižší.
Hauhn uvádí příklad kasin, která se snaží používat rozpoznávání obličejů, aby udržela podvodníky mimo své prostory. I když připouští, že nezná dobře bezpečnostní metody kasin, uvádí, že pravděpodobně mohou použít potřebné zdroje k prosívání četných falešně pozitivních výsledků a zblízka osoby identifikovat.
Svatým grálem by bylo, kdyby mohly bezpečnostní týmy ze svého stanoviště použít libovolný záběr kamerou z jakéhokoliv úhlu k identifikaci případných zločinců.
„Tak daleko ale zatím nejsme,“ prohlašuje Hauhn. „Tato technologie ještě není tak dobrá. Je velmi snadné použít klobouk a nedívat se do kamery ze vhodného úhlu, aby nemohla získat správná data. Dvourozměrné systémy vyžadují k dosažení přesnosti přímý pohled.“
Existují však firmy, které pracují na rozpoznávání obličejů ve 3D prostředí. S využitím geografických kamer, jež užívají více značek, lze zvýšit pravděpodobnost získání dobrého snímku, přestože se osoba nedívá přímo do kamery.
Stále daleko
Platforma rozpoznávání obličeje je však stále ještě velmi nevyzrálá. Lorenz uvádí, že technologie kamer se na úroveň dostatečnou k úspěšnému rozpoznávání obličejů dostala až v posledních třech až čtyřech letech.
„Při rozpoznávání obličejů často narazíte na úskalí spojené s dostatečně dobrým zobrazením tváře,“ zmiňuje Lorenz. „S novými HD kamerami, větším počtem megapixelů a kvantem dat, které je možné přenášet do backendových systémů, jsme se skutečně dostali do bodu zvratu. Nyní můžete získat jasnější obraz, lépe vykreslené obličeje a detekce se v těchto situacích zlepšuje.“
Zatímco Hauhn souhlasí s názorem, že lepší technologie přinesla lepší přesnost, nevěří, že se rozpoznávání obličeje již ukázalo jako dostatečně funkční v tzv. nespolupracujícím prostředí.
Pokud osoby nevědí, že jsou podrobené úkonu rozpoznávání obličeje, je to skutečně nespolupracující prostředí a bohužel – to je v mnoha případech podstata použití pro bezpečnostní účely, jako je například skenování na letištích s cílem identifikovat osoby související s terorismem.
„Po 11. září se očekávalo, že video a rozpoznávání obličejů vyřeší všechny naše problémy. To se však nestalo,“ tvrdí Hauhn. „Přibližně před sedmi až osmi lety došlo k důležitým testům, které ukázaly, že se přesnost nezlepšila.“
Ve spolupracujících prostředích, jako je například evidence osoby na policejní stanici, však rozpoznávání obličeje funguje velmi dobře, uvádí Hauhn.
„Možnost najít něčí tvář v celé databázi osob funguje velmi dobře,“ popisuje. „Pokud pracujete s otisky prstů, není to v tomto prostředí zdaleka tak rychlé. Ale opět je to vynucená spolupráce.“
Hauhn stejně jako Lorenz připomíná, že rozpoznávání obličejů by mohlo dobře fungovat i v nespolupracujících prostředích. Cíl je ale stále daleko.
„Když se podíváte na to, kde je rozpoznávání obličeje na stupnici přesnosti biometrických metod, je to jedna z méně přesných ve srovnání, řekněme, s biometrickými údaji o otiscích prstů,“ upozorňuje Lorenz.
„Rozpoznávání obličejů je v tomto ohledu méně přesné. Existují další závislosti, jako je schopnost dobrého zachycení obličeje za slabého osvětlení a obličeje, který zabírá kamera pod úhlem.“
Lorenz dodává, že účinnost závisí také na technologiích skrytých za systémy, jako je typ algoritmu vyhledávajícího shody, používaný v oblasti back-endu. Stejně jako Hauhn považuje také Lorenz typické dvourozměrné rozpoznávání obličejů za limitované a snadno oklamatelné a trojrozměrné systémy jsou podle něj přitažlivější z hlediska přesnosti a překonání omezení, jako je například úhel pohledu.
Je tu mnoho prostoru pro rozvoj. Jak poroste vyspělost a přesnost rozpoznávání obličejů, můžeme očekávat nárůst použití ve více scénářích a pro různé účely.
„Myslím si, že ve spolupracujícím prostředí existuje obrovské množství prostoru pro růst,“ prohlašuje Hauhn. „Například přístupové systémy: můžete přijít ke dveřím a systém vás rozpozná a otevře vám a dokonce může upozornit, zda za vámi neproklouzla další osoba. Nebo bankovní transakce. Myslím si, že by lidé rádi použili svůj obličej ke garanci přístupu ke svým penězům a tomu, že se k nim nedostane nikdo jiný.“
Lorenz má podobný názor a tvrdí, že s rozvojem technologie se budou kamery již nasazené ve velkých městech postupně modernizovat a bude se více používat rozpoznávání obličejů. Hauhn souhlasí a dodává, že současný relativní nedostatek nasazení je také otázkou nákladů.
22.4.2014 Biometrika Autorizace pomocí otisku prstu je jedním z hlavních taháků nového telefonu Samsung Galaxy S5. Německým vývojářům však trvalo pouhé čtyři dny, než přišli na to, jak toto bezpečnostní opatření obejít.
Odemykání pomocí otisku prstu je jedním z hlavních taháků nového telefonu, ale jeho implementace je značně nevydařená. Samsung navíc opakuje chyby svých předchůdců.
Ve svém experimentu výzkumníci nejprve k uzamčení telefonu použili klasický otisk opravdového prstu, který pak otiskli do modelíny. Tu následně použili k odemknutí telefonu.
Zajímavostí je, že se jednalo o přesně stejný typ modelíny, kterou ke stejnému účelu použili minulý rok při (úspěšném) pokusu o obejití bezpečnostního systému TouchID od Applu.
Modelína s otiskem byla upravena za laboratorních podmínek, ale tento trik není založen na ničem jiném než na obtisknutí latentního otisku z obrazovky smartphonu.
Tyto latentní otisky nejsou pouhým okem viditelné, k jejich zviditelnění však podle webu Explore Forensics stačí použít hořčíkový prášek, který tvrdé a lesklé povrchy osvětlí.
Tato slabina je o to vážnější, že je do Samsungu S5 integrován platební systém PayPal, který uživatelům umožňuje pomocí otisku prstu provádět platby a převádět peníze, což by mohlo být pro potenciální útočníky celkem silnou motivací k tomu, aby se do zařízení pokusili dostat.
PayPal však oznámil, že pouhý otisk prstu pro přístup k jeho službám rozhodně nestačí a že sken prstů odemyká pouze zabezpečený kryptografický klíč, který slouží jako náhrada hesla. V případě ztráty či odcizení zařízení lze tento klíč jednoduše deaktivovat a vytvořit si nový.
Používání otisků prstů má oproti heslům podle výzkumníků ze SRLabs dvě nevýhody. Pokud je otisk ukraden, na rozdíl od hesla si ho nemůžeme změnit a kopie otisků našich prstů jsou v podstatě naprosto všude včetně zařízení, jež mají chránit.
„Tento způsob ochrany bude vždy vypadat lákavě a pohodlně, je však zodpovědností výrobce, aby podobný systém implementoval způsobem, který neohrozí data a peníze uživatelů,“ napsala organizace SRLab.
Přestože je tato chyba velmi nepříjemná, je nepravděpodobné, že by prodeje Galaxy S5 ovlivnila.
Crypto Model na lidské kardiorespirační Spojka základě 8.4.2014 Zabezpečení Biometrika
Román a teoretické schéma šifrování inspirovat novými vhled do způsobu, jakým lidské srdce a plíce komunikace je řekl, aby byl podstatně jiný než stávající crypto-metody a vysoce odolné proti běžným útokům.
Výzkum byl proveden a zveřejněn profesoři Tomislav Stankovski, Peter McClintock, a Aneta Stefanovska z katedry fyziky na Spojeného království Lancaster University.
"Zde nabízíme schéma nový šifrovací odvozené z biologie, radikálně odlišný od jakéhokoli předchozího postupu," řekl Stankovski. "Inspirován časově proměnného charakteru spojovacích funkcí kardio-respirační nedávno objevených u lidí, navrhujeme nový šifrovací schéma, které je vysoce odolné proti běžným metodám útoku."
V rámci tohoto nového šifrovacího schématu, komunikace odesílatele by být zašifrován jako varianty časových spojovacích funkcí z dvojice dynamických systémů. Tyto šifrovanou komunikaci by pak cestovat do a dešifrovat druhou dvojicí shodných dynamických systémů, za použití stejných spojovacích funkcí. To vědci vysvětlují, je analogický způsobu, jakým lidské srdce a plíce pracují komunikovat spolu navzájem.
Podle úvodu do konceptu vyslán ministerstvem informatiky na Brown University , "Dynamické systémy jsou matematické objekty používané k modelování fyzikální jevy, jejichž stav (nebo okamžitý popis) změny v čase. Tyto modely se používají ve finanční a ekonomické prognózování, modelování v oblasti životního prostředí, lékařské diagnóze, průmyslového zařízení diagnózy, a celou řadu dalších aplikací. "
Pro trochu kontextu, vědci vysvětlují, že nedávný objev v oblasti biologie ukázaly, že kardiorespirační spojovací funkce mohou být rozděleny do několika nezávislých funkcí, a že tyto funkce jsou časově proměnlivé povahy. Jinými slovy, jednodušší: Tyto spojovací funkce mohou být v podstatě deconstructed a používat jako kódy.
"Jak se často stává s významnými objevy," řekl profesor Stefanovska, "Tento objev byl učiněn přímo na hranici mezi dvěma různými subjekty -. Protože jsme byli použití fyziky k biologii"
Tyto nálezy, které vysvětlují, vést ve složitých biomedicínských funkcí, které mohou být použity k výrobě účinných a modulárních bezpečnou komunikaci. "Použití spojovacích funkcí tímto způsobem přiznává nespoutaný řadu možností šifrování," vědci napsal v populární shrnutí jejich práce . "Jsme prokázat, že systém umožňuje více než jeden signál, které mají být vysílán / přijímán současně, a že je mimořádně odolné vůči vnějším hlukem."
Pomocí spojovacích funkcí namísto standardních kryptografických metod zvyšuje bezpečnost tím, že nabízí větší volnost v procesu šifrování beze změny kvalitativní stav systému. To znamená, že vědci věří, že jejich způsob je významný koncepční pokrok na poli kryptografie.
Kromě toho, režim, nárok výzkumník, je vysoce modulární, což umožňuje, aby byl realizován v široké škále různých aplikací a komunikačních protokolů.
"To slibuje šifrovací schéma, které je tak téměř nerozbitný, že to bude stejně nevítaná na internetových zločinců a oficiálních odposlouchávání," tvrdí McClintock.
Výhodou, výzkumníci napsat, je, že nová metoda nabízí nekonečné množství možností pro tajného šifrovacího klíče sdíleného mezi odesílatelem a příjemcem. Tím je prakticky nemožné pro hackery a odposloucháváním rozlousknout kód.
"Na rozdíl od všech předchozích šifrovacích postupů, tato šifra využívá spojovacích funkcí mezi ovlivňovat dynamické systémy," napsali vědci. "To má za následek neomezené množství možností šifrování klíče umožňuje přenos a příjem z více než jednoho signálu současně, a je odolné vůči vnějším hlukem. To znamená, že informační signály jsou zakódovány jako časové variace lineárně nezávislých spojovacích funkcí. "
Můžete si přečíst ve formátu PDF verzi své krátké, ale husté papíru zde a zobrazte diagram ilustrující, jak jejich metoda funguje níže:
Crypto Model na lidské kardiorespirační Spojka základě
Do roku 2016 bude 30% organizací používá biometrické ověřování na mobilních zařízeních 11.2.2014 Biometrika Konzumerizace IT a obchodních BYOD programy mají za následek potenciální bezpečnostní problémy pro vedoucí IT podle společnosti Gartner. Očekávání uživatelů mobilních uživatelů čisté a jednoduché zkušeností často převáží obavy o bezpečnost, a stejná cenná data hlídané složitých hesel a bezpečnostních opatření na PC může být ponecháno zranitelný na mobilních zařízeních. Gartner předpovídá, že do roku 2016, 30 procent organizací se bude používat biometrické ověřování na mobilních zařízeních, a to až z pěti procent dnes. "Mobilní uživatelé spolehlivě odolávají metody ověřování, které byly snesitelné na PC a jsou stále potřebné pro posílení bezpečný přístup na mobilních zařízeních," řekl Ant Allan, viceprezident výzkumu ve společnosti Gartner. "Vůdci Bezpečnostní musí řídit očekávání uživatelů a vzít v úvahu zkušenosti uživatelů, aniž by zahrnující bezpečnost." Gartner označila některé potenciální dopady zabezpečení na konzumerizace IT, a učinil několik doporučení pro vedoucí bezpečnosti IT. Uživatelská zkušenost vítězí bezpečnostní obavy Zatímco většina organizace vyžadují robustní hesla na notebooky, smartphony a tablet zařízení často mají přístup ke stejným aplikacím a kritických dat, ale ne stejné úrovně bezpečnosti. Zvýšený počet přístrojů ve hře také zhoršuje vystavení důležitých informací. Implementace standardních Power-On Password politiky je mnohem složitější o přijetí BYOD praktik, s nevyhnutelným střetem přes uživatelských práv a soukromí. Zatímco komplexní hesla může být problematické zejména pro uživatele, zadejte na mobilních zařízeních, pokud tato zařízení konání firemních dat nebo poskytují přístup k podnikovým systémům, jako je e-mail bez dalšího přihlášení, dokonce i výchozí čtyřmístné heslo je nevhodné. Nicméně, podpora pro robustnější ověřování po zapnutí, je nerovnoměrný, jen s několika mobilních operačních systémů a zařízení podporujících biometrické autentizace. I v případech, které nabízejí tuto podporu, může implementace nemůže být dost dobré pro obchodní použití. "osmimístné číselné heslo bude vyžadovat hodiny k vybrání, a že odradí příležitostné hackery pomocí sady nástrojů," řekl John Girard, viceprezident a Rozlišují analytik společnosti Gartner. "Nicméně, dokonce i šest znaků malá alfanumerické heslo může poskytnout miliardy hodnot. Pro většinu praktických účelů, hackeři nejsou připraveni pokračovat v tomto velkou sadu kombinací vzhledem k relativně pomalé rychlosti se podílejí na hrubou silou útoků proti smartphony a tablety. " Gartner doporučuje, aby politika heslo vyžadující použití nejméně šesti alfanumerických znaků, a zakazuje se slovům ze slovníků, je vynucena na zařízeních s přístupem k firemním informacím prostřednictvím mobilního správu zařízení (MDM) nástroje. tlustou čáru za minulostí Některé organizace se pokusí čelit rizikům ze ztraceného nebo odcizeného zařízení od provádění kontrol, že vymazání zařízení po omezeném počtu nesprávných zadání hesla, nebo pomocí vzdáleného příkazu. "Tato praxe není zcela zmírnění rizika, protože je téměř nemožné přepsat solid-state pamětí," řekl pan Girard. "Nejlepší je použít šifrování, která není vázána na ověření primární energie-na, což znamená, že klíč není možné obnovit ze zařízení poté, co byla provedena měkký otřete operace." Kromě toho, Gartner doporučuje, aby další způsob ověřování - minimálně další heslo - by měly být použity pro přístup k citlivým podnikovým aplikacím a datům. Tímto způsobem, i když hacker poruší zapnutí obrany, každá další aplikace nebo ukládat dat představuje další výzvu, která bude společně, přítomný příliš překážku, aby se vyplatilo. V některých případech, ověřování vyšší jistota je nutné. V PC (tradičně), samostatné zařízení, může být použit k poskytnutí hardwarový token, který by mohl být použit pro dodatečné ověření. "Tradiční ověřování tohoto druhu je často odmítnuty v případě mobilního použití, kvůli špatné uživatelské zkušenosti s mnoha druhy hardwarových tokenů," řekl pan Allan. "Žonglování token v jedné ruce, telefon v druhé a latte ve třetí je stále vzdoroval uživatelů mobilních zařízení." Softwarové tokeny, např. X.509 pověření na koncový bod, poskytuje možnosti v tomto případě, ale často potřebují MDM nástroje, které mají být správně a stále realizované vyžadovat dodatečné kontroly poskytnout autentizaci vyšší zajištění nezbytné v některých organizacích. Biometrické možnosti nabídnout kompromis Gartner doporučuje, aby vedoucí bezpečnostní hodnotit biometrických metod autentizace, kde je vyžadována autentizace vyšší jistotu. Vhodné režimy ověřování patří rozhraní interaktivitu, rozpoznávání hlasu, obličeje topografii a duhovky strukturu. Tyto režimy mohou být použity ve spojení s heslem, které umožňuje ověření vyšší zajištění bez nutnosti jakékoliv významné změny v chování uživatele. Kromě toho, jako mobilní zařízení, sama o sobě poskytuje bohatý uzel identity relevantní kontextových dat, tyto informace mohou být také použity pro zvýšení důvěra v reklamované identity. Je možné, že kombinace pasivní biometrické autentizace a kontextuální ověřování bude poskytovat dostatečnou záruku ve scénáři se středním rizikem bez nutnosti "brány" pro ověření události pomocí hesel nebo tokenů. To je také důležité při plánování komplexní politiku ověřování, která zahrnuje mobilní zařízení, aby zvážila zátěž organizací a uživatelů podobně, takže politika je udržitelná. "Přijetí významně různé metody ověřování pro různá zařízení bude nakonec neudržitelné," řekl pan Allan, "Mobile-apt metody ověřování musí být také PC apt. Kombinace X.509 pověření na koncový bod, nízkým třením biometrických režimů a kontextuální ověřování bude pravděpodobně slušet. "
Tudy ! Zapomeňte na otisky prstů - mohou naše každodenní návyky být hesla budoucnosti?
27 září 2013 Biometrika | Mobil
Apple Použití čtečky otisků prstů na svém novém iPhone 5S vyvolala šílenství debaty biometrického zabezpečení - nemluvě o některé z nejvíce pracné " hacky " kdy byly vynalezeny , kdy hackeři používají CSI- esque forenzní techniky a latexové tiskárny ke vstupu do ukradené telefony.
Ale biometrické zabezpečení může být mnohem více, než jen měření duhovku nebo otisk prstu - a někteří vědci se domnívají, že systémy, které nepřetržitě monitorují lidské chování může být ještě bezpečnější .
Jednoho dne , může váš smartphone " rozpoznat " vás , jak jste chůze , způsob, jakým vaše prsty klepněte na dotykovou obrazovku - nebo dokonce jen na to jít během dne.
Myšlenka hesla jako " klíč ", který odemknezařízení může brzy zdát staromódní - Vědci na celém světě zkoumají " implicitní identifikaci " , kdy počítač rozpozná vás vaše chování , a to tím, že napadá vás k zadání hesla. Obchodní časopis Quartz popisuje tyto systémy jako " vždy " bezpečnosti.
SilentSense , oznámil v návaznosti na iPhone 5 , pracuje na pozadí na smartphonech a může identifikovat uživatele do 10 odboček dotykovém displeji s 99% přesností , podle Cheng Bo na Illinois Institute of Technology. Systém pracuje s smartphone je gyroskop a akcelerometr k identifikaci uživatelů , a dokonce bere v úvahu jejich chůze , jak chodí , a pozdní proliferace New Scientist .
" Při používání mobilních zařízení , může většina lidí dodržovat určité návyky jednotlivých nevědomě. Běží jako služba na pozadí , SilentSense využívá uživatele app použití a interakci chování s každou aplikaci , a využívá pohybové senzory k měření přístroje reakci, "říká Bo .
Předchozí Navrhovaný systém , Touchalytics pracoval v podobné módě , ale měl 4 % chybovost .
Mnoho " implicitní " identifikační systémy nejsou " neprůstřelný " na vlastní pěst , ale vědci tvrdí , že by mohly být rozšířeny s ostatními daty . Vědci stojí za Touchalytics navrhl rozšiřování těchto systémů s lokalizačních údajů , nebo dokonce i obrázky z front- čelí fotoaparát.
Naše vlastní každodenní rutiny může být použit i jako " hesel " , někteří výzkumníci věří . Google " prediktivní " Google nyní již systém Android nabízí uživatelům připomenutí jít do práce (o sledování jejich movments pomocí GPS ) , a jít domů. Těchto údajů by mohlo být použit jako "heslo" ?
"Většina lidí jsou otroci zvyku - člověk chodí do práce ráno , snad se zastávkou v kavárně , ale téměř vždy pomocí sameroute . Jakmile se v práci , mohla by zůstat v obecném okolí svého kancelářské budovy až do oběda . V odpoledních hodinách , možná zavolá domů a zvedne své dítě ze školy , "říká Markus Jakobsson z Palo Alto Research Centre.
Jakobsson analyzovala několik technik pro identifikaci uživatele přes smartphone použití , a zjistil, GPS za nejspolehlivější .
Jakobsson tvrdí, že tím, že kombinuje teqhniques , je možné uzamknout až 95% protivníků , dokonce i " informovaný cizinec , který si je vědom existence implicitní ověřování a snaží se hry to."
Jiné systémy specificky zaměřuje na uživatele, kteří mohou mít problémy s používáním aktuálních hesel - a výzkumných pracovníků na libanonské univerzitě v Tripolisu , navrhujete systém, který sleduje pohyby rukou a stabilitu , bezpečně identifikovat postižených pacientů, kteří mohou mít problémy s jinými systémy hesla .
" Starší a zdravotně postižené uživatelé musí mít jejich zdravotní profil zabezpečené a snadno přístupné withoutpassword limitation.Behavioral vybrané údaje jsou klávesy analýza , analýza touchgesture a ruční stabilita uznání . Každý uživatel má jiný typ poškození , takjiný profil pomocí smartphonu , " uvádí zpráva .
Bezpečnostní otázky zůstávají nad tím, jak tyto systémy mohou fungovat v praxi . Apple otisků prstů ID systém , například ukládá biometrické údaje ve svém M7 čipu, a je k dispozici pro servery Apple a další aplikace . Systémy, které se spoléhaly na shromažďování více komplexní data stále nemusí být schopen zajistit data tímto způsobem, a tím mohou zvýšit obavy týkající se soukromí , podle Quartz .
V jiných souvislostech , například "vždy " systémy mohou poskytovat takovou úroveň bezpečnosti, která Heslo nebo jednorázové biometrické systémy nemůže vyhovět .
Skener mozkových vln by mohly být použity pro zvýšení bezpečnosti v autech, podle výzkumníků na University Tottori - a dokonce zabránit carjackings , nelicencované ovladače berou na kolo, nebo nehod zaviněných řidiči s usínáním .
Ale pro některé systémy , metody ověřování , jako jsou snímače oční duhovky a rozpoznávání otisku prstu jsou nedostatečné , Isao Nakanishi na Graduate School of Engineering uvádí v článku v časopise International Journal of biometrie .
Mnoho společností , které nabízejí biometrické a dvoufaktorové řešení nahradit a / nebo rozšířit stávající heslo systémy - například Bionym náramek , který používá jedinečný vzor tep jako heslo .
Stephen Cobb, Senior Security Výzkumný pracovník s ESET říká, že může být na pokraji rozsáhlé nasazení biometrických údajů . Cobb říká: " Úspěšné zavedení biometrických prvků v segmentu vedoucí výrobku může nevěstí nic dobrého pro spotřebitele přijetí. "
A dodává : " Byl jsem fanouškem těchto údajů jako přidanou autentizační faktor od doby, kdy jsem poprvé zkoumal multi- faktor a 2fa systémy před 20 lety , ale uživatel přijetí je velmi citlivá na výkon , jinými slovy iPhone 5S mohli postoupit biometrii , nebo dát spoustu lidí mimo biometrie . "
Prolomeno. První hackeři dokázali překonat snímač otisků nového iPhonu
23.9.2013 Hacking | Zranitelnosti | Biometrika | Mobil
Stačil týden a bezpečnostní prvek snímače otisků padl. Skupina německých hackerů tvrdí, že se jí podařilo zabezpečení prolomit jen dva dny poté, co Apple začal modely distribuovat na pulty obchodů. Právě snímač otisků má přitom chránit přístroje před zločinci a slídily.
Snímač otisku prstu zabudovaný v tlačítku je jedním z hlavních lákadel nového iPhonu 5s Bezpečnostní prvek telefonu se údajně podařilo prolomit německé skupině známé jako Chaos Computing Club, tedy CCC. Skupina to uvedla na svých stránkách. Zástupci Applu se ke zprávě nevyjádřili.
CCC zveřejnil video, které ukazuje, jak se jim podařilo dostat do iPhonu 5S pomocí falešného otisku prstu. Skupina získala otisk tak, že vyfotografovala a vytiskla na tenkou folii. Ke svému článku přidala navíc návod, jak otisk prstu získat.
„Otisk prstu by se neměl používat pro zabezpečení čehokoliv. Necháváte ho všude a je velmi jednoduché si vyrobit falešný otisk prstu,“ uvedl v článku hacker, který si říká Starbug. Podle CCC podobný postup lze použít k prolomení většiny snímačů otisků prstů na trhu.
Dotykový senzor iPhonu má telefon odlišit od konkurence
Dotykový senzor na novém modelu iPhonu 5S slouží k odemknutí přístroje a nakupování v internetovém obchodě iTunes. Uživateli stačí jednoduše přiložit svůj prst na hlavní tlačítko telefonu. Recenzenti se minulý týden rozplývali nad jeho spolehlivostí a nad tím, jak se snadno používá.
Bezpečnostní odborníci, kteří minulý týden nabídli odměnu tomu, kdo jako první prolomí zabezpečení snímače prstů iPhonu, uvedli, že zkoumají informace zveřejněné na internetových stránkách CCC, ale chtějí více informací. Odměna za prolomení kódu činí více než 13 tisíc dolarů (zhruba 247 tisíc korun) v hotovosti.
Bezpečnostní rizika skrývá také iOS 7
Forbes.com ale mezitím informoval, že jistý voják na Kanárských ostrovech už odhalil slabé prvky v zabezpečení zasahujícím operační systém iOS 7, který Apple stávajícím uživatelům iPhonů a tabletů iPad zpřístupnil ve středu. Podle něj je během několika vteřin možné obejít uzamčení obrazovky a dostat se k fotografiím a dalším materiálům. Mluvčí Applu Trudy Mullerová řekla, že firma v příští aktualizaci systému provede opravy.
V obraně biometrie
12.9.2013 Biometrie | Zabezpečení
K dispozici je nový iPhone a přichází s čidlem otisků prstů! Jaký lepší důvod mluvit trochu o biometrické. Za starých dobrých časů před Defcon a wardriving, Biometrie měl atmosféru "vysokou bezpečnost." Vzpomeňte si na film Jamese Bonda, kde vystřihnout chlapa oko obejít sítnice skener? Tyto dny jsou dávno pryč. Nyní jsme viděli otisků prstů a systém rozpoznávání obličejů je obejít tím, že jednoduché výtisky otisku prstu nebo obličeje nebo gumových forem otisků prstů používány namísto skutečné věci.
Tak jak smysluplná je snímač otisků prstů v těchto dnech? Správná odpověď je samozřejmě: To záleží. První na kvalitě senzoru, jednak na softwaru použitém k analýze získaných dat a nakonec alternativní metody ověřování nahradí nebo Metráže Nitě.
Během zápisu, Čidlo měří referenční obraz otisku prstu. Tento obraz je pak analyzován, a některé parametry jsou extrahovány z obrázku. Právě tyto parametry, nikoli původní obrázek, který bude použit k porovnání pozdějších pokusů o ověření. Samozřejmě, že žádné dva obrázky jsou docela podobní. To nemusí být možné určit všechny parametry, nebo některé další charakteristiky mohou být zjištěno, že nebyly viditelné v referenčním skenování. Výsledkem je to, že software je vytvořit prostor pro určitou variabilitu. Méně kvalitní snímače, může být poměrně velká variabilita, takže si jen s několika odlišnými parametry. Výsledek je stejný, jako má špatný heslo: Mnoho různých uživatelů skončí se stejným "otisk prstu", pokud jde o snímač se týká.
Takže co to znamená pro iPhone nebo mobilní zařízení autentizaci obecně? Problém s mobilním ověřování zařízení, vždy k tomu, že je obtížné pro uživatele k zadání hesla složité na malou klávesnici. Výsledkem je, že většina uživatelů vybrat krátké číselné PIN. Tam bylo několik dalších pokusů, například Android "vzor" login a používání kamer pro rozpoznávání obličeje. Rozpoznávání obličeje obvykle trpí špatným čidlem kvality az velmi variabilní osvětlení. Vzor přihlášení je docela elegantní nápad, ale myslím, že to nebyl testován dostatečně zjistit, kolik uživatelů si vybrat vzory ve skutečnosti lišit.
Existuje jedna věc, Apple se zdá, že se dobře: Údaje o otiscích prstů zůstane na telefonu, a není zálohována žádné cloudu. Pokud je tato informace se ztratil, mohl by útočník použít k rekonstrukci duplikát prstu, což by mohlo být použito pro biometrickou identifikaci i nad samotným přístrojem iPhone.
Pokud jde o kvalitu obrazového snímače a software: Budeme muset čekat na to zkouší jednou telefon je propuštěn. Pravděpodobně neobsahuje pokročilejší feat. Rues jako měření tělesné teploty uživatele nebo sledování průtoku krve. Ale doufám, že to bude lepší než 4-místný kód PIN.
Jeden jednoduchý zlepšení: Ať je to "skutečné dva faktor", které umožňuje uživatelům vyžadují zadání kódu PIN / heslo kromě otisku prstu. Mohl by udělali lépe než otisk prstu? Existuje několik různých společných biometrické senzory: rozpoznávání obličeje, otisků prstů, hmotnost / výška, sítnice skeny a iris skenování. Otisky prstů jsou pravděpodobně nejlépe s ohledem na cenu snímače a obtížnost získat data.
Na závěr: Tam je pravděpodobně jeden opravdu velký zranitelnost zde . Ukradený iPhone je pravděpodobné, že se vztahuje na uživatele otisky prstů. To by nemělo být příliš těžké pro útočníka zvednout otisk prstu mimo samotného telefonu obejít senzoru.
PayPal odvážně používá rozpoznávání tváře
V Londýně od vás přijmou paypalovou platbu a stačí vám k tomu jen váš obličej. Což ovšem někteří bezpečnostní odborníci nepovažují za příliš rozumné řešení.
Zabezpečení | Ochrana | Biometrika
PayPal začíná na hlavních třídách Londýna používat pro identifikaci platebních technologii rozpoznávání tváří, metodu, kterou řada bezpečnostních expertů označuje za rizikovou.
Na firemním blogu PayPal prohlásil: „Vaše profilové fotografie byly vždy branami do vašeho online sociálního světa, ale nyní vám otevírají cestu k platbám ve světě fyzickém.“ Podle tohoto giganta elektronických plateb se obchody v Richmondu, jihozápadní části Londýna, pustily do bitvy, jejichž výsledkem může být odsouzení peněženek na smetiště dějin.
Obchodníci umožňují zákazníkům zaplatit pouze pomocí jejich mobilního telefonu a jejich fotografie. V mobilní aplikaci PayPalu přibyla záložka nazvaná „Místní“, kterou lze použít pro vyhledání obchodů a restaurací poblíž uživatelovy pozice, které akceptují mobilní platby PayPalu. Vlastník konta se potom může přihlásit stejně, jako by to udělal na sociálních sítích Facebook nebo Foursquare, a okamžitě zaplatit přímo z aplikace.
Jakmile se zákazník přihlásí, jeho jméno a fotografie se objeví na obrazovce pokladny obchodu a obsluha zúčtování odsouhlasí dotekem na obrázek nakupujícího. Prakticky ve stejný okamžik na telefon zákazníka dorazí zpráva o tom, kolik bylo zaplaceno, a přes email je zaslána standardní elektronická faktura PayPalu.
Mezi obchody v Richmondu, které systém využívají, zatím patří Cook & Garcia, The Farmery, The Tea Box, The Bingham Hotel, Revolution, Caffé Paolo, The Cedar Coffee Shop, Urban Diner, Pier 1 Fish and Chips, Noble Jones, Hill Café a Knot Coffee and Pretzel. Samozřejmě lze očekávat, že stejné obchodní řetězce v pobočkách v jiných městech i zemích budou opět první, kteří novou službu do dané lokality přinesou.
Podle Roba Harpera, ředitele retailových služeb PayPalu, jde pro místní obyvatele o zcela novou životní zkušenost. „Nyní mohou nechat peněženky doma a vyrazit bezstarostně nakupovat. Navíc tak jde o velkou pomoc pro místní obchody bez ohledu na jejich velikost, které nemusí přijít o žádný prodej, který se nezrealizuje jen proto, že zájemce u sebe nemá dostatečnou hotovost.“
Méně nadšeni jsou ovšem odborníci na bezpečnost. Například podle Andyho Kemshalla, technického ředitel bezpečnostní firmy SecurEnvoy, která se specializuje na vícefázové ověřování: „Nový systém PayPalu je první ve Velké Británii, který k autorizaci plateb využívá fotografií zákazníků. Proběhnutí transakce závisí na prodavačích, kteří porovnávají tváře s fotografií. Jde o riskantní metodu, kde může velmi snadno dojít k chybě, ať už úmyslné či neúmyslné. Jiné principy ověřování na mobilních zařízeních, jako je například potvrzování přes SMS, jsou bezpečnější a cenově efektivnější. Bezpečnostní technologie musí mít spolehlivé na 99,9 procent a současná biometrie se k této míře spolehlivosti ani zdaleka nepřibližuje.“
Fiberio je první dotykový displej, který čte otisky prstů, jak jej používat Zaslal: 24 červenec 2013 08:36 PDT Biometrika Nový optický stolní PC systém je prvním, který "čte" otisky prstů, jak lidé používají to - a mohou tvořit základ bezpečného systému identifikace transakce v obchodech nebo bank.
Senzory uvnitř Fiberio "číst" odražené světlo od stolu povrchu, s dostatečně podrobně identifikovat otisky prstů jako uživatel dotkne povrchu. Uživatelé mohou být identifikovány okamžitě a bez problémů, protože toto zařízení používat. Prototyp stroje je multi-touch, takže více uživatelů může používat v každém okamžiku.
"Fiberio je první interaktivní stolní systém, který ověřuje uživatele při dotyku interakce - nenápadně a bezpečně pomocí biometrických prvků otisků prstů, což dává uživatelům volnost v plnění identifikační tokeny," říká návrhář Christian Holz.
Zadní projekce "Stolní PC" budou podrobně popsány v papírové Fiberio: Dotykový displej je citlivý otisky prstů, které mají být prezentovány na ACM symposium o softwaru User Interface a technologie.
Holz naznačuje, že Fiberio by mohly být použity v bankách na "ověřte, zda daný uživatel má oprávnění k provedení aktuální činnosti -. Například schvalovat faktury nad určitou hodnotu"
V tabulce by se určit jak ředitele banky a zákazník okamžitě Holz napovídá - pracuje se jak, zda je správa měla pravomoc schvalovat faktury, a též bezpečně identifikovat zákazníka.
"Klíč, který umožňuje Fiberio zobrazit obraz a smysl pro otisky prstů současně je jeho displej materiál: optické desky," říká Holz.
Fiberio funguje pomocí zadní projekční systém, podobný tomu, který našel v počítači Microsoft Surface tabulky, které jsou často používané v point-of-prodej situací. Projekční systém umožňuje zařízení "nahrazují slovy" odrazy v desce - systém nemohl fungovat v jeho současné podobě v běžných tablety a smartphony.
ESET výzkumný pracovník David Harley popisuje výhody biometrických systémů Žijeme zabezpečení blogu, "Smutnou skutečností je, statické hesla jsou zdánlivě levné, ale koncepčně nevyhovující řešení velmi obtížný problém, zejména pokud nejsou chráněny doplňkové techniky. Biometrie a jednorázová hesla a žetony jsou mnohem bezpečnější, zejména pokud jsou prováděny v hardwaru jako dvoufaktorové autentizace opatření. "
Příspěvek Fiberio je první dotykový displej, který čte otisky prstů, jak jej použít poprvé objevil na Žijeme zabezpečení.