È uno dei tristi fatti sull'autenticazione mobile che il settore tende ad accettare inizialmente opzioni di sicurezza meno efficaci. Di conseguenza, i telefoni inizialmente hanno accettato l'autenticazione basata sulle impronte digitali (che può essere minata da prescrizioni, prodotti per la pulizia, lesioni alle mani e dozzine di altri fattori) e quindi sono passati al riconoscimento facciale.
In teoria, il riconoscimento facciale dovrebbe essere più accurato. Matematicamente, è giusto, in quanto esamina molti più punti dati rispetto alla scansione di un'impronta digitale. Ma la realtà sul pianeta reale è considerevolmente più problematica. Richiede una distanza precisa dal telefono e tuttavia non offre indicatori di pre-swipe in modo che l'utente sappia quando viene premuto correttamente. Questo è uno dei motivi per cui vedo che il riconoscimento facciale rifiuta una scansione circa il 2% delle volte, anche se passerà una scansione positiva XNUMX secondi dopo.
All'inizio del lancio di Apple, i membri della famiglia a volte potevano sbloccare i telefoni di altre persone. Non era limitato ai gemelli identici. Anche mamme e bambini possono sottoporsi all'"autenticazione" del riconoscimento facciale.
Ma un caso recente in Cina mostra che gli svantaggi del riconoscimento facciale di Apple rimangono gravi. In Cina, un uomo si è avvicinato a una donna addormentata (la sua ex ragazza), le ha aperto le palpebre, ha ottenuto il via libera per il riconoscimento facciale ed è stato in grado di prelevare denaro dal suo conto corrente.
Numero uno, non è uno dei modi migliori per tornare con il tuo ex. Ma dal punto di vista della sicurezza informatica, rafforza il fatto che i dispositivi mobili richiedono metodi di autenticazione notevolmente più rigorosi.
Il modo migliore sarebbe utilizzare metodi più deboli, come password, PIN e dati biometrici più deboli, per accedere facilmente agli account a bassa priorità, come sbloccare il telefono per controllare le previsioni del tempo. Ma per l'accesso a servizi bancari/monetari, connessioni ai social network e qualsiasi connessione ai sistemi aziendali, dovrebbe essere necessaria un'analisi comportamentale.
La natura stessa dell'analisi comportamentale rende abbastanza difficile per un ladro impersonare un individuo. Il dito di una persona priva di sensi può essere afferrato o tirata indietro una palpebra, supponendo che il ladro abbia accesso fisico all'utente e al telefono. Sfortunatamente, i PIN sono semplici da rubare durante la navigazione a spalla, specialmente per qualcuno con un ampio accesso fisico.
Ma quando si imita, quanti errori di battitura fa questo utente ogni cento parole? O la tua velocità di battitura è precisa? O l'angolazione con cui tendono a tenere il telefono? Questi sono su misura e abbastanza difficili da falsificare. Sì, alcuni fattori di analisi comportamentale sono semplici da falsificare, inclusi l'indirizzo IP, la posizione e l'impronta digitale del telefono di un utente. Pertanto, un'implementazione dell'analisi del comportamento dovrebbe utilizzare il maggior numero possibile di fattori, mescolando fattori semplici da falsificare con fattori abbastanza difficili da falsificare.
Una delle grandi cose dell'analisi comportamentale è che viene eseguita di nascosto in background, il che significa che è fluida (per l'utente) come consigliata. Offre il meglio di entrambi i mondi: è una procedura di autenticazione notevolmente più rigorosa e affidabile, più semplice per gli utenti di una password o di dati biometrici.
Per l’informatica, questa natura senza attriti rende gli utenti più tolleranti. Oltre a ciò, questa natura "di background" rende le cose ancora più difficili per un ladro/intruso, poiché l'aggressore non può essere sicuro di ciò che il sistema sta controllando in un dato momento.
Questo è il motivo per cui CIO e CISO non dovrebbero fare affidamento sulla biometria. Anche i metodi di attacco più violenti e bellicosi, come puntare una pistola alla testa di un utente e ordinare loro di accedere a file aziendali proprietari, possono essere frustrati dalla scansione. Se la paura e il nervosismo di un tale attacco aumenta gli errori di battitura e rallenta la velocità di battitura, potrebbe essere sufficiente per contattare un supervisore. Se quel supervisore chiede una sessione video per assicurarsi che tutto sia a posto, l'attaccante può andarsene. (Ciò è particolarmente vero se l'aggressore sospetta che il supervisore abbia già inviato la polizia e stia utilizzando le domande della sessione video per risparmiare tempo.)
Il motivo per cui questo è un problema così critico per XNUMX è che è probabile che l'aumento incessante dell'accesso mobile ai database aziendali più sensibili (inclusi gli account cloud aziendali) continui a prosperare. Siamo ora a un punto in cui l'IT non può più accettare che le difese delle workstation siano sufficienti. Anche se l'IT fornisse laptop a tutti i dipendenti con privilegi sufficienti, nessuna azienda scoraggerebbe l'accesso mobile. Mentre i viaggi stanno lentamente tornando in auge quest'anno per alcuni segmenti, gli aspetti negativi di Road Warrior torneranno. Ora, tuttavia, gli aggressori, in particolare quelli con un interesse particolare per i loro sistemi, stanno gradualmente diventando più concentrati su queste interazioni mobili.
La parola d'ordine sulla sicurezza informatica più popolare e segnalata in questi giorni è Zero Trust. Qualsiasi implementazione significativa di Zero Trust deve iniziare con un approccio di autenticazione notevolmente più forte, nonché una revisione dettagliata della gestione degli accessi/controllo dei privilegi. Con i dispositivi mobili, l'autenticazione deve essere la priorità assoluta. Il percorso di minor resistenza è semplicemente quello di eseguire l'autenticazione incorporata di un dispositivo mobile. Può durare fintanto che e in tutte le circostanze la biometria è solo uno dei dodici fattori esaminati.
Se sei ancora incredulo, devi incontrare un ex fidanzato cinese.
Copyright © duemilaventidue IDG Communications, Inc.