パッシブバイオメトリクスがITデータセキュリティにどのように役立つか

著者: Roger Morrison
作成日: 23 9月 2021
更新日: 10 5月 2024
Anonim
ReTrust –IDおよび検出インテリジェンスサービス
ビデオ: ReTrust –IDおよび検出インテリジェンスサービス

コンテンツ


出典:Dwnld777 / Dreamstime

取り除く:

パッシブバイオメトリクスは、ハッカーを阻止できるパスワードなしのセキュリティへの道を開いています。

従来のデータセキュリティ対策が、ユーザーの裁量とユーザーの受け入れに過度に依存するなどの制限によって制約されていたとき、パッシブバイオメトリクスは、セキュリティとユーザーの受け入れのバランスを潜在的に提供できます。パスワードやSMSコードなどの従来のセキュリティメカニズムは、ユーザーが作成した強度にすぎません。多くのユーザーは覚えやすいため、弱いパスワードを設定する傾向があることがわかっています。これは、パスワードベースまたはセキュリティコードベースのメカニズムの主な目的を無効にします。パッシブバイオメトリクスでは、ユーザーが資格情報をアクティブに提供する必要はなく、顔、音声、虹彩の認識技術などの形式でユーザーデータを受動的に収集します。 ITセキュリティメカニズムとしてのパッシブバイオメトリクスはまだニッチを見つけていますが、ユーザーの利便性とデータセキュリティのバランスが優れていると言っても過言ではありません。

パッシブバイオメトリクスとは

生体認証を定義するために、生体認証企業EyeVerifyのマーケティングディレクターであるTinna Hung氏は、「生体認証はあなたが知っているものではなく、あなたのものに依存している」と説明します。

受動的生体認証の場合、検証または識別プロセスに積極的に参加する必要はなく、プロセスはユーザーへの通知さえ必要としない場合があります。認証は、通常のユーザーアクティビティの過程で行われます。これらの場合、被験者は直接または物理的に行動する必要はありません。ユーザーの知識がなくてもシステムを実行すると、最高レベルの認証が提供されます。

技術的に自動化されたシステムは、基本的に、ユーザーの知識の有無にかかわらず、人間の行動特性または生理学的特性を測定します。パッシブバイオメトリクスが必要とするものをよりよく理解するために、アクティブバイオメトリクスシステムと対比するために、このシステムの比較例をいくつか見ることができます。たとえば、指または手のジオメトリテクノロジーは、アクティブな生体認証、および署名認識と網膜スキャンと見なされます。これは、ユーザーが認識のために手を置いたり、スキャンデバイスを覗いたりする必要があるためです。ただし、受動的生体認証には、音声、顔、虹彩の認識システムが含まれます。 (生体認証の詳細については、生体認証の新しい進歩:より安全なパスワードを参照してください。)


パッシブバイオメトリクスの仕組み

パッシブバイオメトリクスがどのように機能するかについての優れた説明は、NuDataのカスタマーサクセスディレクターであるRyan Wilkによって与えられています。彼の言葉では、「ユーザーが実際にどのように対話しているかを見ています。入力方法、マウスや電話の動き、電話の使用場所、加速度計の測定値。 …単一のデータがそれ自体を指しているので、それらは非常に有用ではありませんが、それらをまとめて、そのユーザーが誰であるかのプロファイルにそれらをマージし始めると、あなたは本当に深遠で本当にユニークな何かを構築し始めますなりすましが非常に困難です。」

パッシブバイオメトリクスは、組織が技術的相互作用における自然な行動に応じて顧客の身元を確認する機会を提供します。この非侵入型ソリューションの継続的なプロセスは、バックグラウンドで作業するための登録や許可を必要としないため、ユーザーには見えません。通常の操作中に追加のアクションを実行するように顧客に依頼することはありません。行動データのリアルタイム分析は、侵入者を本物のクライアントから分離するための正確な評価を企業に提供します。個人を特定できる情報(PII)は記録されないため、ハッカーはユーザーの識別に干渉するために機密データに手を触れることはありません。パッシブバイオメトリクスは、本人確認の過程における革新的な進歩であり、組織の認証フレームワークの中核から不正行為の可能性を一掃する能力を持ち、アカウントのライフサイクル全体に新しいレベルの信頼を追加できます。

どうしてそれが重要ですか?

技術は常に新しいシステムとセキュリティの障壁を生み、悪意のある活動からネットワーク全体を保護します。しかし、優秀なハッカーや詐欺師がシステムの抜け穴を永久に見つけるのを防ぐことができますか?いいえ。ただし、進行中のプロセスに関する知識がない場合、どのようにして検証テストに合格できますか?バックグラウンドシステムについて知らない場合、そもそも予防策を講じることはありません。これは、受動的生体認証が他の検証方法と異なるところです。そして、ここにも重要性があります。不正使用の理由が最初に根絶された場合、不正は発生しません。


パッシブバイオメトリクスがデータセキュリティにどのように役立つか

より洗練された満足のいくセキュリティシステムの要件は、長い間空中に高まっています。現在、セキュリティネットワークは生体認証、特に行動特性に応じて識別プロセスについてユーザーに通知する必要のないパッシブテクノロジーへの需要が高まっています。 (パッシブバイオメトリクスで使用されるデータの詳細については、「ビッグデータがユーザー認証を保護する方法」を参照してください。)

バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド

誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。

Hung氏は、「適切に実装された生体認証ソリューションは、ユーザーの行動の通常の流れに自然に適合します。」パッシブ生体認証は、機械自体のプロファイルだけでなく、人が機械を使用する方法のプロファイルを作成する重要な利点を保持します。ウィルクが説明するように、受動的なアプローチは「ほぼ無意識のレベル」でユーザーを理解するための本を開きます。

会社BioCatchによって作成されたもう1つの受動的なアプローチは、ユーザーが行っていることに気付かないユーザーのアクティビティを記録および分析することによって機能します。タッチスクリーンでの指の測定、マウスを使用したアクティブな手(左または右)、またはデバイスを持っているユーザーの手の震えの頻度などの物理的特性は、一意の顧客を正確に識別するためのデータの正確な組み合わせを提供します。さらに、誰かのWebスクロール動作の方法(矢印キー、マウスホイール、ページの上下など)やデバイスを保持する技術(水平または垂直、デバイスの傾斜角など)などの認知特性もシステムの認証を強化するのに役立ちます。

BioCatchの製品管理担当バイスプレジデントであるOren Kedem氏によれば、彼らはユーザーに対して「目に見えない課題」を使用しており、操作はユーザーの通常の動作にほとんど目立たない変化を示します。たとえば、アプリケーションは、カーソルの数ピクセルを異なる方向に変更したり、ページスクロールの速度をわずかに変更して、ユーザーの固有の応答をテストしたりできます。これらの事件に対する彼らの反応は非常にユニークで、複製することは不可能です。

Kedemが言うように、「私たちはあなたの行動を追跡するだけでなく、あなたの行動にも影響を与えます。 ...私たちはあなたに尋ねられることなく質問をし、あなたが知っている答えを私たちに与えます。パスワードやトークンのように盗まれない秘密です。」

システムは、ターゲットの動きを記録および再生するキーロギングボットネットを自動的に検出および防止するようにプログラムされています。これは、アプリ内で変化し続ける目に見えないチャレンジの場合、ユーザーの応答の模倣はほとんど不可能だからです。

実世界のセキュリティ問題に対するその影響は?

世界中の金融および銀行サービスは、この新しいシステムに依存し始めています。 EyeVerifyやDaonなどの生体認証セキュリティプロバイダーは、金融機関と協力しています。 EyeVerifyはDigital Insightと協力して、モバイルバンキング施設の生体認証セキュリティシステムを認証しており、Eye IDをモバイルアプリとして発売しようとしています。

2014年、Daonによって実装された生体認証技術は、シームレスなモバイルバンキングエクスペリエンスの過程でUSAA連邦貯蓄銀行の1,070万人のユーザーを確保しました。この場合、USAAの主任セキュリティアドバイザーであるリチャードデービーは、「フィッシング、マルウェア、外部からの情報漏えいの脅威が常に存在することから生じる懸念は、認証とアクセス制御が常に脅かされることを意味します。バイオメトリクスなどのテクノロジーは、これらの脅威を軽減すると同時に、美しいエンドユーザーエクスペリエンスを促進します。」

受動的音声バイオメトリックID検証は、初期登録時に会話を通じて一意の音声を送信することにより、ユーザー登録を記録します。この最初の会話では、認識データを活用するために45秒間継続する必要があります。次に、録音された音声は、コンタクトセンターとの次の会話で得られた次の音声を比較することにより、ユーザーを識別します。

この銀行は従業員に新しいセキュリティテクノロジーを実装し、その後、テキサス州サンアントニオの市場でカリフォルニアに続き、最終的に2015年1月に本格的に発売しました。実装の3週間後、約100,000人の顧客が生体認証に登録し、10か月以内に応答した顧客の数は100万人を超えました。

従来の方法はもう有用ですか?

Nudata Securityが2015年に行った90日間の調査分析では、パスワードとユーザー名を取得するWeb攻撃が2014年から112%増加したことが明らかになりました。ハッカーが従来のセキュリティシステムよりも進歩した理由は何ですか?もう少し詳しく考えてみましょう。

私たち全員が、パスワードを簡単に覚えられるようにするために、パスワードの強度を危険にさらしています。はい、ここに犯人がいます。 1人が2つまたは3つのアカウントのみをオンラインで管理していた時期があり、少数のケースで重要なパスワードを覚えることはそれほど難しくありませんでした。そのため、そのプロセスは、その時点での個人の身元を保護するのに関連していました。

しかし今、状況は大きく変わりました。私たちはすべて多くのアカウントを保持しているため、その多くを追跡することさえできない場合があります。今、すべてのアカウントの乱数、記号、文字で構成されたパスワードを覚えることは可能ですか?絶対にありません。そのため、すべてのパスワードのパターンを既知の情報で保持することでセキュリティの予防策を妥協するか、強力なパスワードのランダムな選択を忘れてしまい、常に回復する必要があります。

現在、個人のIDを安全に保つ間接的な方法は、システムを安全に保ち、記憶するための選択をする必要がないため、ユーザーの満足度とセキュリティの両方に対するソリューションを提供することです。ハッカーは、セキュリティシステムが実装されている場所を特定する方法を学習するのにも苦労しています。したがって、他のアカウントにアクセスする以前の方法はうまく機能していません。

未来とは?

GrissenとHungによると、生体認証システムはオプションの段階にとどまらず、近い将来、「セキュリティと利便性」の問題に関してセキュリティシステムのネットワーク全体を支配します。

このテクノロジーはより正確になり、自社開発のWebおよびモバイルアプリケーションへのインストールが容易になっています。新しいアルゴリズムは、さまざまなデバイスでのデバイスの方向などの動作プロファイルを強化するために、追加のテレメトリを実装するために開発中です。

SIEM(セキュリティ情報およびイベント管理)市場セグメントとUEBA(ユーザーおよびエンティティ行動分析)市場セグメント間の統合は、SIEMベンダーの場合に見られるように、ビジネスのあらゆる側面における成長の未来です。カスピダ。彼らは、SIEM実装で顧客により効果的な体験を提供し、それにより既存のデータの長い歴史を追加するためのさらなる手段を計画しています。さまざまな形態の行動分析は、セキュリティ問題を軽減し、詐欺師との長期的な冷戦に勝つための必須の追加であることが証明されています。

結論

最終的に、詐欺師は、セキュリティ手順における知識検証と行動分析の複合攻撃によって破壊されるため、将来は多くの困難な時期を迎えていると言えます。 2016年、サラブルームラスキン副財務長官は次のように述べています。「システム設計は、盗難または簡単に侵害されたパスワードによって提示される認証課題に対処するために進化しています。 、または行動バイオメトリクス。」