Comment la biométrie passive peut contribuer à la sécurité des données informatiques

Auteur: Roger Morrison
Date De Création: 23 Septembre 2021
Date De Mise À Jour: 21 Juin 2024
Anonim
Comment la biométrie passive peut contribuer à la sécurité des données informatiques - La Technologie
Comment la biométrie passive peut contribuer à la sécurité des données informatiques - La Technologie

Contenu


Source: Dwnld777 / Dreamstime

À emporter:

La biométrie passive ouvre la voie à une sécurité sans mot de passe qui peut déjouer les pirates.

À une époque où les mesures classiques de sécurité des données sont limitées par des limitations telles qu'une trop grande dépendance de la discrétion et de l'acceptation de l'utilisateur, la biométrie passive peut potentiellement offrir un équilibre entre sécurité et acceptation de l'utilisateur. Les mécanismes de sécurité conventionnels, tels que les mots de passe et les codes SMS, sont aussi puissants que l'utilisateur les utilise. Il a été constaté que de nombreux utilisateurs ont tendance à définir des mots de passe faibles, car il est facile de les mémoriser. Cela va à l'encontre de l'objectif principal des mécanismes basés sur un mot de passe ou un code de sécurité. La biométrie passive n'exige pas que l'utilisateur fournisse activement des informations d'identification, collectant de manière passive les données utilisateur sous des formes telles que des techniques de reconnaissance faciale, vocale et iris. Bien que la biométrie passive en tant que mécanisme de sécurité informatique trouve toujours son créneau, on peut affirmer qu’elle offre un bon équilibre entre confort et sécurité des données.


Qu'est-ce que la biométrie passive?

Pour définir la biométrie, Tinna Hung explique le directeur marketing de la société de biométrie EyeVerify: «La biométrie repose sur quelque chose que vous êtes, plutôt que sur quelque chose que vous connaissez."

Dans le cas de la biométrie passive, il n’est pas nécessaire de prendre une part active au processus de vérification ou d’identification et, parfois, le processus ne nécessite même pas la notification de l’utilisateur; l'authentification a simplement lieu au cours des activités normales de l'utilisateur. Dans ces cas, le sujet n’est pas obligé d’agir directement ou physiquement. Lorsque le système fonctionne à l'insu de l'utilisateur, il fournit le niveau d'authentification le plus élevé.

Le système automatisé technologiquement mesure essentiellement les caractéristiques comportementales ou physiologiques d'un être humain, avec ou sans la connaissance des utilisateurs. Pour avoir une meilleure idée de ce que la biométrie passive implique, nous pouvons examiner quelques exemples comparatifs de ce système afin de les différencier des systèmes biométriques actifs. Par exemple, toute technologie de géométrie des doigts ou des mains serait considérée comme une biométrie active, ainsi que la reconnaissance de signature et le balayage de la rétine. En effet, l'utilisateur doit mettre la main dessus ou regarder dans un appareil d'analyse pour la reconnaissance. Cependant, la biométrie passive inclut les systèmes de reconnaissance vocale, faciale ou iris. (Pour en savoir plus sur la biométrie, voir Nouvelles avancées en biométrie: un mot de passe plus sécurisé.)


Comment fonctionne la biométrie passive

Ryan Wilk, directeur du succès client de NuData, fournit une excellente explication du fonctionnement de la biométrie passive. Dans ses mots, «nous examinons la façon dont l’utilisateur interagit réellement: comment il tape, comment il déplace sa souris ou son téléphone, où il utilise son téléphone, ses lectures de l’accéléromètre. … En tant que points de données uniques en eux-mêmes, ils ne sont pas très utiles, mais lorsque vous commencez à les rassembler et à les fusionner dans un profil de cet utilisateur, vous commencez à créer quelque chose de vraiment profond et vraiment unique, et extrêmement difficile à usurper.

La biométrie passive offre aux organisations la possibilité de vérifier l'identité de leurs clients en fonction de leurs comportements naturels dans les interactions technologiques. Le processus continu de cette solution non intrusive reste invisible pour les utilisateurs, car il ne nécessite aucune inscription ni autorisation pour travailler en arrière-plan; il ne demande pas aux clients d'effectuer des actions supplémentaires au cours de leurs opérations normales. L'analyse en temps réel des données comportementales fournit aux entreprises des évaluations précises permettant de séparer les intrus des clients authentiques. Étant donné que les informations personnelles identifiables (PII) ne sont pas enregistrées, les pirates ne disposent jamais de données confidentielles pour interférer avec l'identification de l'utilisateur. La biométrie passive est un progrès révolutionnaire dans le processus de vérification de l’identité, capable d’éliminer toute possibilité de fraude du cœur du cadre d’authentification de l’organisation et d’ajouter un nouveau niveau de confiance dans le cycle de vie complet du compte.

Pourquoi c'est important?

La technologie donne toujours naissance à de nouveaux systèmes et barrières de sécurité pour protéger l'ensemble du réseau contre les activités malveillantes. Mais, peut-il empêcher les pirates informatiques et les fraudeurs géniaux de trouver des failles dans le système pour toujours? Non. Cependant, s’ils n’ont aucune connaissance d’un processus en cours, comment pourront-ils réussir le test de vérification? S'ils ne connaissent pas un système d'arrière-plan, ils ne prendront aucune précaution au départ. C'est ici que la biométrie passive diffère des autres méthodologies de vérification. Et l’importance est ici aussi. Aucune fraude ne peut avoir lieu lorsque la raison de son utilisation est déracinée au début.

Comment la biométrie passive contribue à la sécurité des données

La nécessité de disposer de systèmes de sécurité plus sophistiqués et satisfaisants est de plus en plus fréquente. La demande pousse maintenant les réseaux de sécurité vers la biométrie, en particulier la technologie passive, où les utilisateurs n’ont pas besoin d’être informés du processus d’identification, en fonction des caractéristiques comportementales. (Pour en savoir plus sur les données utilisées dans la biométrie passive, voir Comment les Big Data peuvent-elles sécuriser l'authentification d'utilisateur?)

Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire

Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.

Hung a expliqué: «Une solution biométrique bien mise en œuvre s'intégrera naturellement dans le flux régulier du comportement des utilisateurs.» La biométrie passive présente l'avantage essentiel de créer un profil de la manière dont la personne utilise la machine, et pas seulement un profil de la machine elle-même. . Comme l'explique Wilk, l'approche passive ouvre la voie au livre pour comprendre l'utilisateur «à un niveau presque subconscient».

Une autre approche passive, créée par la société BioCatch, consiste à enregistrer et à analyser les activités des utilisateurs dont ils ne se rendent même pas compte. Des caractéristiques physiques telles que la mesure du doigt sur un écran tactile, la main active (gauche ou droite) à l'aide de la souris ou la fréquence de tremblement de la main de l'utilisateur tenant l'appareil constituent une combinaison exacte de données permettant d'identifier de manière précise un client unique. En outre, des caractéristiques cognitives telles que la méthode de défilement Web (touches fléchées, molette de la souris, pages haut et bas, etc.) ou la technique de maintien du périphérique (horizontal ou vertical, l'angle d'inclinaison du périphérique, etc.) aider à renforcer l'authentification du système.

Selon Oren Kedem, vice-président de la gestion des produits chez BioCatch, ils utilisent également des «défis invisibles» pour les utilisateurs, dans lesquels l'opération montre un changement à peine perceptible dans le comportement normal de l'utilisateur. Par exemple, l’application peut modifier quelques pixels du curseur dans une direction différente ou modifier légèrement la vitesse de défilement de la page pour tester la réponse unique des utilisateurs. Leurs réponses à ces incidents sont incroyablement uniques, impossibles à reproduire.

Comme le dit Kedem: «Nous ne faisons pas que suivre ce que vous faites, nous influençons également ce que vous faites. ... Nous vous posons une question sans que vous ne le demandiez et vous nous donnez une réponse que vous savez. C’est un secret qui ne peut pas être volé comme un mot de passe ou un jeton. "

Le système est programmé de manière à détecter et à empêcher automatiquement les réseaux de zombies enregistreurs de frappe qui enregistrent et rejouent les mouvements de la cible. En effet, l'imitation de la réponse de l'utilisateur est pratiquement impossible dans le cas de défis invisibles, qui changent constamment au sein de l'application.

Quel est son impact sur les problèmes de sécurité dans le monde réel?

Les services financiers et bancaires du monde entier ont commencé à compter sur ce nouveau système. Les fournisseurs de sécurité biométrique tels que EyeVerify et Daon collaborent avec les organisations financières. EyeVerify collabore avec Digital Insight pour authentifier les systèmes de sécurité biométrique dans les centres de services bancaires mobiles, et ils sont sur le point de lancer leur Eye ID en tant qu'application mobile.

En 2014, la technologie biométrique mise en œuvre par Daon a permis de sécuriser 10,7 millions d'utilisateurs de la banque d'épargne fédérale américaine USAA, dans le cadre d'une expérience bancaire mobile transparente. Dans ce cas, Richard Davey, conseiller principal en matière de sécurité de l’USAEA, a déclaré: «Les préoccupations découlant de la menace toujours présente de phishing, de programmes malveillants et d’exposition d’informations provenant d’infractions extérieures signifient que les contrôles d’authentification et d’accès seront toujours menacés. Des technologies telles que la biométrie atténuent ces menaces tout en offrant de belles expériences aux utilisateurs finaux. "

La vérification d'identité biométrique vocale passive enregistre une inscription d'utilisateur en soumettant une voix unique par conversation lors de l'enregistrement initial. Cette conversation initiale nécessite d'être poursuivie pendant 45 secondes pour exploiter les données de reconnaissance. La voix enregistrée identifie ensuite l'utilisateur en comparant la voix suivante obtenue lors de la conversation suivante avec le centre de contacts.

Cette banque a mis en œuvre la nouvelle technologie de sécurité pour ses employés, puis sur leur marché à San Antonio, au Texas, puis en Californie et l'a finalement lancée à grande échelle en janvier 2015. La réponse obtenue a été exceptionnelle. Trois semaines après la mise en œuvre, environ 100 000 clients se sont inscrits pour l'authentification biométrique et, en l'espace de dix mois, le nombre de clients ayant répondu a augmenté pour atteindre plus d'un million.

Les méthodes traditionnelles sont-elles plus utiles?

Une enquête réalisée pendant une période de 90 jours par Nudata Security en 2015 a révélé une augmentation de 112% du nombre d’attaques Web visant à obtenir des mots de passe et des noms d’utilisateur, à partir de 2014. Quelle est la cause de la progression des pirates informatiques par rapport aux systèmes de sécurité traditionnels? Pensons-y un peu plus à fond.

Ce que nous faisons tous, c'est compromettre la force de nos mots de passe afin de pouvoir les mémoriser facilement. Oui, voici le coupable. À une époque, une personne ne gérait que deux ou trois comptes en ligne et il n'était pas trop difficile de se souvenir des mots de passe critiques pour un petit nombre de cas. Le processus était donc pertinent pour protéger l’identité de la personne à ce moment-là.

Mais maintenant, l'image a considérablement changé. Nous avons tous beaucoup de comptes, tellement que parfois nous ne pouvons même pas les garder tous. Maintenant, est-il possible de retenir un mot de passe composé de chiffres, symboles et lettres aléatoires pour chaque compte? Définitivement pas. Donc, ce que nous faisons est de compromettre les précautions de sécurité en gardant un modèle pour tous nos mots de passe avec certaines informations connues, ou nous oublions constamment les choix aléatoires de mots de passe forts et devons ensuite les récupérer tout le temps.

Désormais, le moyen indirect de protéger l’identité d’une personne est de fournir la solution à la fois pour la satisfaction de l’utilisateur et pour la sécurité, car nous n’avons pas à faire de choix pour protéger notre système et nous en rappeler. Les pirates ont également du mal à apprendre à déterminer où le système de sécurité est mis en œuvre. Par conséquent, leurs méthodes antérieures d'accès aux comptes d'autres ne fonctionnent plus bien.

Quel est l'avenir?

Selon Grissen et Hung, les systèmes biométriques ne resteront pas au stade optionnel, mais régneront dans l’ensemble du réseau de systèmes de sécurité sur les questions de «sécurité par rapport à la commodité».

La technologie devient de plus en plus précise et devient de plus en plus facile à installer dans les applications Web et mobiles locales. De nouveaux algorithmes sont en cours de réalisation pour implémenter une télémétrie supplémentaire afin d’augmenter les profils comportementaux, tels que l’orientation des appareils sur une large gamme d’appareils.

La consolidation entre les segments de marché SIEM (informations de sécurité et gestion des événements) et UEBA (analyse du comportement des utilisateurs et des entités) est l’avenir de la croissance dans tous les domaines d’activité, comme on peut le voir dans le cas des fournisseurs de SIEM, l’acquisition de Caspida. Ils envisagent de nouvelles possibilités pour offrir une expérience plus efficace à leurs clients dans leurs implémentations SIEM, ajoutant ainsi la longue histoire de données existantes. Les différentes formes d'analyse comportementale se révèlent être un complément indispensable pour atténuer le problème de sécurité et gagner la guerre froide à long terme contre les fraudeurs.

Conclusion

En fin de compte, on peut dire que l’avenir est une période difficile pour les fraudeurs, qui vont être assommés par l’attaque combinée de la vérification des connaissances et de l’analyse comportementale dans les procédures de sécurité. Sarah Bloom Raskin, secrétaire générale adjointe du Trésor, a déclaré en 2016: «La conception du système évolue pour faire face au défi de l'authentification posé par les mots de passe volés ou facilement compromis: la prochaine génération de vérification de l'identité en ligne cherche à associer ce que les clients savent et ont et ce qu'ils font. , ou biométrie comportementale. "