Birden fazla eşzamanlı biyometrik sensör, cihazlar için kırılmaz güvenlik yaratacak mı?


9

Bu makalede Image Ware CEO'su,

Miller'a göre [çözüm], yanlış kişinin bilgisayar sistemlerine erişmesini neredeyse imkansız kıldığını iddia ettiği çok modlu biyometri.

Şirketi, fiziksel özellik tanıma algoritmalarını (parmak, avuç içi, el ve baskılar ve yüz, göz, iris), günümüzün mobil cihazlarında bulunan ortak biyometrik veri sensörlerini kullanan diğer algoritmalarla birleştiren mevcut donanım ve platformları kullanıyor.

Bağırsak hissim, bunu bir şekilde abarttığı, ancak bunun neden yanlış çaldığına parmağımı koyamıyorum. Bana öyle geliyor ki, çoklu sensör yaklaşımı gerçekten etkili olsaydı, şimdiye kadar her yerde bu tür stratejiler için donanım ve yazılım göreceğiz.

Çeşitli sensörlerin IoT ağı etkili ve etkili bir güvenlik stratejisi olabilir mi? (Çoklu sensör yaklaşımı etkili mi?)

Tuzaklar nedir?

Yanıtlar:


10

Bunun teknik cevabı kırılmaz mı? "hayır" dır. Birincil neden biyometrik özelliklerin sır olmamasıdır. Bazıları parmak izleri veya yüz görüntüleri gibi kolayca çoğaltılabilir . Bazıları süsen gibi taklit etmek daha zordur . Ancak bir biyometrik özellik yakalandıktan sonra tekrar oynatılabilir. Ve biyometrik özellikler sabittir. Bir kullanıcının özelliği kopyalanırsa, kullanıcıya "bir ihlal yaşadık, irisinizi değiştirelim" diyemezsiniz.

Ortalama bir hırsızın tüm biyometrik sensörleri aynı anda taklit etmesi pek olası değildir. Ancak, özel ve sofistike bir saldırganın böyle bir başarıya imza atması imkansızdır.

Sensör sahteciliğine ek olarak, sensörler tarafından yayılan verileri kullanarak bir tekrar saldırısı gerçekleştirmek mümkün olabilir. Bununla birlikte, bu uygulamaya bağlı olacaktır ve bir şirket, bu tür saldırılara karşı cihazlarının güvenliğini mimar olarak tasarlayacaktır.

IoT yaklaşımının entegre bir çözümden daha kötü güvenlik sağlayabileceği yer burasıdır. Sensörler birbiriyle ilgisizse, bir saldırgan şüphe uyandırmadan tek seferde bir cihazdan ödün verebilir. Saldırgan, mükemmelleşene kadar sahte bir gummi-bear parmak izi ile pratik yapabilir, daha sonra görüntü sensörünü kandırmak için bir fotoğrafla pratik yaparken o sahte parmak izini kullanır. Tüm özelliklerin aynı anda mevcut olmasını gerektirecek şekilde entegre bir sensör tasarlanabilir; IoT yaklaşımı, sistemler arasındaki boşluklar tarafından yaratılan güvenlik açıkları ile parça parça bir şekilde uygulanabilir.

Pratik olarak, bu yaklaşım hala çok güvenli görünüyor ve basit bir şifre veya tek bir biyometrik ölçümden daha iyi bir güvenlik olacaktır.


1
Böyle bir stratejiyi uygulamak için gereken sermaye, böyle bir stratejiyi yenmek için gereken sermaye ile uygun mu?
grldsndrs

Önce kayıp risklerini göz önünde bulundurmanız, ardından çok faktörlü biyometrik stratejiyi uygulamak için gereken sermayeyi, daha az güvenli olabilecek farklı bir strateji uygulamak için gereken sermayeyle karşılaştırmanız gerekir. 250.000 dolarlık bir varlığı korumak için 25.000 dolar harcamamış olabilirim, ancak 5.000 dolar harcayabilirim. 10.000.000 dolarlık bir varlıksa, onu korumak için daha fazla harcama yapmaya hazır olurdum. Ancak bu durumda, güvenlik bütçemi fantezi bir güvenlik sistemi yerine daha iyi sigorta kapsamına harcamayı tercih edebilirim.
John Deters

Ayrıca kullanım kolaylığını da göz önünde bulundurun. Meşru kullanıcıların operasyonel güvenliğinin neredeyse her zaman en zayıf bağlantı olduğunu unutmayın, çünkü kullanıcılar kullanımı zor bir sistem için geçici çözümler yaratacaktır. Biyometrik sistemler genellikle kolaydır - parmak izi okuyucusuna dokunun, kameraya bakın. Kullanımı daha kolay olan sistemlerin daha iyi uyumu vardır, böylece daha tutarlı bir güvenlik elde edersiniz. Parmak izi ve görüntü karmaşık bir paroladan daha iyi güvenlik sağlayabilir.
John Deters

Biyometrinin kopyalanabilir, gizli ve değiştirilemez (ancak potansiyel olarak yıkılabilir) olmasıyla ilgili önemli nokta. Bir biyometrik kopyalamak şimdi zor görünse bile, 3D baskının son birkaç yılda nasıl değiştiğini düşünün.
Sean Houlihane

2
@grldsndrs, bu herhangi bir biyometrik dolandırıcılık maliyeti ile ilgili değildir. İnsanların yinelemesi ve yenilik yapmasıyla maliyet her zaman düşüyor. Sahte parmak izleri, biri lateks yerine jelatin kullanmayı ve daha sonra kalıp olarak kullandıkları baskılı bir devre kartına aşındırmayı anladığında üretilmesi giderek daha kolay ve ucuz hale geldi. Bir iris tarayıcıyı kandırmak bugün 1000 dolara mal olabilir, ancak iris tarayıcıları her yerde bulunursa, muhtemelen bir lazer yazıcı ve şeffaf film ile malzemelerin 0.50 dolara nasıl yapılacağını anlar.
John Deters

2

Birincisi, teklif mobil cihazların güvenliğini sağlamak gibi görünüyor, "farklı sensörlerin IoT ağı" değil, bazı dersler hala çizilebilir.

Bir mobil cihazdan farklı olarak, bir "IoT ağı" sensörlerinin hepsi aynı yerde olmadıklarını ima etme eğilimindedir, bu nedenle bir kullanıcının muhtemelen bir kerede hepsinin yargısında kalması beklenemez. Bu, bir sistemin kullanıcının orijinalliği konusunda çok geçici olması gerektiği anlamına gelir - aslında:

Joe gibi yürüyorsun ve Joe'nun şifresini biliyorsun, belki Joe'sun ve Joe olmadığından şüphelenmeye başlamadan Joe'nun daha az kritik şeylerini yapmana izin vereceğim, ama daha kritik bir şey yapmak için gitmen gerekecek burada ve bunu yapın, oraya gidin ve ona bakın ve aşağıdaki ifadeyi tekrarlayın ve ...

Ancak eleştirel olarak ve mobil cihaz kasasıyla ortak olarak, böyle bir şema sadece ön kapıyı sabitler . En az üç diğer güvenlik açığına karşı koruma sağlamaz .

  • Modern sistemlere karşı birçok istismar kötü niyetli bir kullanıcıdan değil, bir ağ, USB çubuk veya benzeri bir yolla, istenmeyen trafik veya kullanıcının istediği şeyleri yakalayan istenmeyen yükler şeklinde iletilen kötü amaçlı verilerden kaynaklanır. Tipik olarak bu tür veriler tasarımda bir güvenlik arızasından yararlanır - orada olmaması gereken güvenli olmayan isteğe bağlı bir özellik (windows otomatik çalıştırma dosyaları) veya arabellek taşması gibi kod için klasik bir hata-veri hatası.

  • Hem IoT sistemleri hem de cep telefonları, ağ sunucularıyla yoğun bir şekilde entegre olma eğilimindedir, ikincisi genellikle aynı verilere veya mobil sistemin güvenliğinin korumaya çalıştığı yeteneklere yüksek derecede erişim sağlar. Sunucu altyapısı tarafından bilinmeyen uçtan uca şifreleme ve kimlik doğrulama belirteçleri yoksa, sunucu altyapısının başarılı bir saldırısı veya kötüye kullanılması genellikle aygıtın güvenliğini atlamanın çoğunu başarabilir.

  • IoT sistemleri, muhtemelen mobil cihazlardan bile daha fazla, fiziksel saldırılara karşı oldukça savunmasız olabilir. Telefonlar, bir kullanıcının verilerini bir JTAG hata ayıklayıcı ile hazır erişime karşı şifrelemek için kullanılan anahtarları korumaya çalışabilir, ancak bir IoT sisteminin yerel olarak sahip olduğu şey, genellikle çeşitli şeyler yapma yeteneği kadar çok fazla veri değildir. Bir IoT cihazının bilgisayar bölümünün ne kadar güvenli olduğu yerel bir saldırgan için biraz önemli değildir, kapağı çıkarırlar ve çıkış rölesini etkinleştirmek için bir klips kablosu kullanabilirler veya bu nedenle kabloları kesebilirler. aktüatöre takın ve kendi akülerine dokunun. Ya da bir saldırgan, IoT cihazının sensörlerinin bölgesinde (ısı sensörünün altındaki mum, nem üzerindeki ıslak sünger, vb.) Yanlış koşullar yaratabilir ve yukarı bağlantısına veya hatalı okumalara neden olabilir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.