行业最初倾向于支持最不有效的安全选项,这是移动身份验证的可悲事实之一。 因此,手机最初支持基于指纹的身份验证(这可能会受到处方、清洁产品、手部受伤和许多其他因素的影响),然后转向面部识别。
从理论上讲,面部识别应该更准确。 从数学上讲,这是公平的,因为它检查的数据点比扫描指纹要多得多。 但现实世界中的现实问题要多得多。 它需要与手机的精确距离,但不提供预扫描标记让用户知道他们何时正确点击。 这就是我看到面部识别在大约 40% 的情况下拒绝扫描的原因之一——尽管它会在两秒后批准正面扫描。
在 Apple 的早期推出中,家庭成员有时可以解锁彼此的手机。 这不仅限于同卵双胞胎。 就连母子也能通过人脸识别的“认证”。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
但最近在中国的一个案例表明,苹果的面部识别问题仍然很糟糕。 在中国,一名男子接近一名熟睡的女子(他的前女友),拉开她的眼皮,获得面部识别绿灯,并能够从她的银行账户中取款。
首先,这并不是挽回前任的更好方式之一。 但从网络安全的角度来看,它强调了移动设备需要更严格的身份验证方法这一点。
最好的方法是使用较弱的方法——例如密码、PIN 和较弱的生物识别技术——来方便地访问低优先级的帐户,例如解锁手机以查看天气预报。 但对于银行/货币访问、社交媒体登录以及与企业系统的任何连接,应该需要行为分析。
行为分析的本质使得小偷很难冒充个人。 假设小偷可以物理接触到用户和手机,则可以拿走失去意识的人的手指或拉回眼皮。 不幸的是,PIN 码很容易通过肩窥窃取,特别是对于那些有更多物理访问权限的人来说。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
但是模仿用户每 100 个单词打错多少字? 或者他们的确切打字速度? 或者他们拿着手机的角度? 这些都是个性化的,很难伪造。 是的,一些行为分析因素很容易伪造,包括用户的 IP 地址、位置和手机指纹。 这就是为什么行为分析部署需要使用尽可能多的因素,将容易造假的因素与难以造假的因素混合在一起。
行为分析最好的事情之一是它在后台静默运行,这意味着它(对用户而言)与实用一样顺畅。 它提供了两全其美的优势:它是一种更加严格和可靠的身份验证方法,但对用户来说比密码或生物识别更容易。
对于 IT 而言,这种无摩擦的特性使用户更容易接受。 此外,这种“在后台”的性质使窃贼/入侵者更难上手,因为攻击者无法确定系统在任何给定时刻正在检查什么。
这就是为什么 CIO 和 CISO 不应该太相信生物识别技术的原因。 即使是最暴力和侵略性的攻击方法——例如用枪指着用户的脑袋并命令他们访问敏感的企业文件——也可以通过行为分析来阻止。 如果这种攻击引起的恐惧和紧张增加了拼写错误并减慢了打字速度,这可能足以联系主管。 如果该主管随后要求进行视频会议以确保一切正常,则可能会让攻击者离开。 (如果攻击者怀疑主管已经派出警察并且正在使用视频会话问题来拖延时间,则尤其如此。)
这对 2022 年来说是一个如此关键的问题,原因是对企业最敏感的数据库(包括企业云帐户)的移动访问可能会继续增长。 我们现在处于 IT 不能再假设桌面防御就足够的地步。 即使 IT 已向所有员工发放了一台具有足够权限的笔记本电脑,也没有一家公司会阻止移动访问。 随着今年某些细分市场的旅行缓慢回归,道路勇士问题将再次出现。 不过现在,攻击者——尤其是那些对您的系统特别感兴趣的人——将更加关注这些移动交互。
当今最流行和无定形的网络安全流行语是零信任。 任何有意义的零信任推出都需要从更强大的身份验证方法开始,同时严格审查访问管理/权限控制。 对于移动设备,身份验证必须是压倒性的优先事项。 阻力最小的途径就是搭载移动设备的机载身份验证。 只要生物识别技术只是所检查的六个因素之一,这就可以奏效。
