facebook LinkedIN LinkedIN - follow
IT SYSTEMS 5/2016 , IT Security

Behaviorální biometrika pro silnou autentizaci uživatelů



CA CEEŽijeme v tzv. aplikační ekonomice, tedy v prostředí, kde komunikace mezi firmami a jejich zákazníky probíhá ve stále větší míře elektronickými kanály prostřednictvím různých aplikací. Uživatelé tak mají neustálý přístup k online službám. Firmy mohou díky tomuto fenoménu poskytovat služby mnohem efektivněji. Pro obě strany je tak aplikační ekonomika obrovským přínosem. Současně se všemi pozitivy aplikační ekonomiky je však třeba si přiznat a řešit rizika s tímto fenoménem spojená. Hesla, pomocí kterých se dnes běžně uživatelé ověřují do webových portálů a mobilních aplikací, nezajišťují dostatečnou bezpečnost, a jsou tím nejslabším článkem v celém procesu.


Silná hesla jsou uživatelsky nepřívětivá, PINy a jednoduchá hesla lze odhadnout, a obojí je celkem snadno zcizitelné, např. pomocí tzv. „keyloggerů“. Hesla uložená v aplikacích tak, aby je uživatelé nemuseli kvůli svému komfortu vždy vypisovat, jsou zase nebezpečím v případě ztráty či zcizení daného zařízení (mobil, tablet, notebook). Instituce a firmy musí tedy implementovat bezpečnější způsoby k zajištění důvěrnosti informací, a zejména k ochraně identit svých uživatelů před jejich zcizením a zneužitím, než je ověření identity uživatele pouze na bázi hesla. Vhodnou, v poslední době hodně diskutovanou, a v praxi stále více využívanou metodou, je biometrika.

Biometriku jakožto obor sledování parametrů živých organismů, dělíme na dvě oblasti – fyzickou biometriku a behaviorální biometriku (též známou jako behaviometriku). Zatímco fyzická biometrika sleduje konkrétní fyzické atributy živého organismu (v případě lidí např. hlas, otisk prstu, mapu krevního řečiště v dlani, tvar tváře či oční rohovku), behaviorální biometrika se soustředí na sledování jeho chování.

CA CEE


Jak lze biometriku využít v informační bezpečnosti?

Fyzická biometrika se v informační bezpečnosti v omezené míře využívá již mnoho let, a to zejména tam, kde se jedná o jednoznačnou identifikaci uživatele při přístupu k velmi citlivým systémům či informacím. Fyzická biometrika má však i nevýhody, které omezují její větší rozšíření a možnosti nasazení místo dnes používaných hesel a PINů. Hlavní nevýhodou jsou vysoké náklady na biometrická snímací zařízení, bez nichž se tento způsob identifikace neobejde. Druhou nevýhodou je skutečnost, že běžně používané typy fyzické biometriky lze prolomit podobně jako hesla (nahrávky hlasu, fotografie prstů s vysokým rozlišením, atd.)

CA CEEBehaviorální biometrika je od obou výše zmíněných nevýhod fyzické biometriky oproštěna. Na její využití při autentizaci či autorizaci uživatelů není totiž třeba žádné snímací zařízení (vše vyřeší potřebný software), a navíc ji téměř nelze kompromitovat, neboť chování uživatele nelze ve všech jeho nuancích ze strany útočníka předstírat. Behaviorální biometrika je tedy ideálním způsobem, jak významně zlepšit komfort uživatelů při ověřování, a současně jak výrazně zvýšit bezpečnost a snížit rizika plynoucí ze zcizení a zneužití přihlašovacích údajů, a tedy vlastní identity uživatelů.

Současná praxe

Velké množství firem a institucí provozujících webové portály a mobilní aplikace přistupující k důvěrným informacím dnes již nějakou formu behaviorální biometriky provozuje. Ať už se jedná o banky a oblast elektronického bankovnictví, obchodní webové portály či portály a aplikace poskytující a zprostředkovávající elektronické služby, mnoho z nich již dnes kromě standardních ověření uživatelů na bázi jména a hesla používá v určitém rozsahu také behaviorální biometriku. Ostatně neexistuje jediný rozumný důvod, proč by měl například uživatel elektronického bankovnictví ověřovat SMS kódem každý zadaný platební příkaz, zejména v případě, kdy se jedná o více méně pravidelnou platbu na stále stejný účet a navíc ve stejné nebo podobné výši.

Obr. 1: Schéma procesu rizikové analýzy (např. behaviorální biometrie) při autentizaci uživatele.
Obr. 1: Schéma procesu rizikové analýzy (např. behaviorální biometrie) při autentizaci uživatele.

Naopak v případě, kdy systém během přihlašování či během vlastní práce uživatele vyhodnotí vyšší riziko z důvodu odchylky jeho chování, je před pokračováním v dané akci uživatel požádán o sekundární ověření. To pak probíhá buď jiným komunikačním kanálem (např. jednorázové heslo zaslané přes SMS či e-mailem), nebo je použita jiná, silnější metoda ověření (např. čipová karta). Protože se však uživatel v naprosté majoritě případů chová standardně a nevykazuje znaky chování útočníka, stačí mu zůstat u ověření jen na bázi jména a hesla. To, že se na pozadí v reálném čase provádí riziková analýza jeho chování, a že se tedy z pohledu bezpečnosti jedná o silné ověření jeho identity, uživatel vůbec vědět nemusí. Pro něho se totiž nic nemění – stále používá své jméno a heslo, tak, jak je zvyklý, a pouze ve velmi ojedinělých případech, kdy změní své chování, je požádán o silnější ověření.

Mezi dnes nejčastěji sledované parametry v rámci behaviorální biometriky se řadí:

  • preference používaných zařízení včetně jejich konkrétních parametrů
  • preference typu internetového připojení vs. použité zařízení
  • frekvence a preferované časy připojení
  • preference lokalit, ze kterých je iniciováno připojení
  • preference a způsob zadávání přihlašovacích údajů
  • preferovaný průchod aplikací („pracovní workflow“)

Budoucí vývoj

V poslední době lze sledovat expanzi behaviorální biometriky i do firemního prostředí, kde se začíná využívat pro silné ověřování zaměstnanců a externistů při přístupu k firemním aplikacím a systémům, tedy k VPN, intranetu, finančním a výrobním aplikacím, atd. Firmy si totiž také začínají uvědomovat sílu tohoto způsobu ověření při zachování uživatelského komfortu a při výrazném zvýšení zabezpečení svých systémů před neoprávněným přístupem.

V blízké budoucnosti se dočkáme toho, že se behaviorální analýza bude objevovat všude tam, kde je třeba silně, ale přesto levně a pro uživatele komfortně ověřovat jejich identitu, a to jak v rámci firemních informačních systémů, tak ve webových portálech a mobilních aplikacích určených velkému množství uživatelů, a to včetně portálů veřejné správy v rámci eGovernment iniciativ. Behaviorální biometrika doplněná o sekundární ověření má totiž nejlepší poměr použitelnosti, nákladů a bezpečnosti ze všech dnes dostupných metod silné autentizace.

David Matějů, CA CEE David Matějů
Autor článku je Senior Security Consultant ve společnosti CA CEE, s.r.o.

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.