Bagaimana Biometrik Pasif Dapat Membantu dalam Keamanan Data TI

Pengarang: Roger Morrison
Tanggal Pembuatan: 23 September 2021
Tanggal Pembaruan: 1 Juli 2024
Anonim
Webinar terkait CSIRT (Computer Security Incident Response Team)
Video: Webinar terkait CSIRT (Computer Security Incident Response Team)

Isi


Sumber: Dwnld777 / Dreamstime

Bawa pulang:

Biometrik pasif membuka jalan bagi keamanan tanpa kata sandi yang dapat menggagalkan peretas.

Pada saat langkah-langkah keamanan data konvensional dibatasi oleh keterbatasan seperti terlalu banyak ketergantungan pada kebijaksanaan pengguna dan penerimaan pengguna, biometrik pasif berpotensi menawarkan keseimbangan keamanan dan penerimaan pengguna. Mekanisme keamanan konvensional seperti kata sandi dan kode SMS hanya sekuat yang dibuat pengguna. Telah ditemukan bahwa banyak pengguna cenderung menetapkan kata sandi yang lemah karena mudah diingat. Itu mengalahkan tujuan utama dari mekanisme berbasis kata sandi atau kode keamanan. Biometrik pasif tidak mengharuskan pengguna untuk secara aktif memberikan kredensial, secara pasif mengumpulkan data pengguna dalam bentuk seperti teknik pengenalan wajah, suara dan iris. Meskipun biometrik pasif sebagai mekanisme keamanan TI masih menemukan ceruknya, aman untuk mengatakan bahwa ia menawarkan keseimbangan yang bagus antara kenyamanan pengguna dan keamanan data.


Apa itu Biometrik Pasif?

Untuk mendefinisikan biometrik, direktur pemasaran firma biometrik EyeVerify, Tinna Hung menjelaskan, "Biometrik bergantung pada sesuatu Anda, bukan sesuatu yang Anda tahu."

Dalam hal biometrik pasif, seseorang tidak perlu secara aktif mengambil bagian dalam proses verifikasi atau identifikasi, dan kadang-kadang proses itu bahkan tidak memerlukan pemberitahuan pengguna; otentikasi hanya berlangsung selama aktivitas pengguna normal. Dalam kasus ini, subjek tidak perlu bertindak secara langsung atau fisik. Ketika sistem berjalan bahkan tanpa sepengetahuan pengguna, itu memberikan tingkat otentikasi tertinggi.

Sistem yang secara teknologi otomatis pada dasarnya mengukur karakteristik perilaku atau fisiologis manusia, dengan atau tanpa sepengetahuan pengguna. Untuk mendapatkan gambaran yang lebih baik tentang apa yang dibutuhkan oleh biometrik pasif, kita dapat melihat beberapa contoh komparatif dari sistem ini yang kontras dengan sistem biometrik aktif. Misalnya, teknologi geometri jari atau tangan akan dianggap sebagai biometrik aktif, serta pengenalan tanda tangan dan pemindaian retina. Ini karena pengguna harus meletakkan tangan mereka atau melihat ke dalam perangkat pemindaian untuk pengakuan. Namun, biometrik pasif meliputi sistem pengenalan suara, wajah atau iris. (Untuk mempelajari lebih lanjut tentang biometrik, lihat Kemajuan Baru di Biometrik: Kata Sandi yang Lebih Aman.)


Cara Kerja Biometrik Pasif

Penjelasan yang bagus tentang bagaimana kerja biometrik pasif diberikan oleh Ryan Wilk, direktur kesuksesan pelanggan NuData. Dalam kata-katanya, "Kami melihat bagaimana pengguna sebenarnya berinteraksi: bagaimana mereka mengetik, bagaimana mereka menggerakkan mouse atau ponsel mereka, di mana mereka menggunakan ponsel mereka, pembacaan accelerometer mereka. ... Saat satu data menunjuk ke diri mereka sendiri, data itu tidak terlalu berguna, tetapi ketika Anda mulai menyatukannya dan menggabungkannya ke dalam profil siapa pengguna itu, Anda mulai membangun sesuatu yang benar-benar mendalam dan sangat unik, dan sesuatu yang sangat sulit untuk dipalsukan. "

Biometrik pasif memberikan peluang bagi organisasi untuk memverifikasi identitas pelanggan mereka tergantung pada perilaku alami mereka dalam interaksi teknologi. Proses berkelanjutan dari solusi non-intrusif ini tetap tidak terlihat oleh pengguna, karena itu tidak memerlukan pendaftaran atau izin untuk bekerja di latar belakang; itu tidak meminta pelanggan untuk melakukan tindakan tambahan selama operasi normal mereka. Analisis data perilaku waktu-nyata memberikan penilaian akurat kepada perusahaan untuk memisahkan penyusup dari klien asli. Karena informasi pengenal pribadi (PII) tidak direkam, peretas tidak pernah mendapatkan data rahasia untuk mengganggu identifikasi pengguna. Biometrik pasif adalah kemajuan revolusioner dalam perjalanan verifikasi identitas, yang memiliki kemampuan untuk menghapus segala kemungkinan penipuan dari inti kerangka kerja otentikasi organisasi dan dapat menambah tingkat kepercayaan baru dalam seluruh siklus hidup akun.

Mengapa Itu Penting?

Teknologi selalu melahirkan sistem baru dan hambatan keamanan untuk melindungi seluruh jaringan dari aktivitas jahat. Tapi, bisakah itu mencegah hacker dan penipu yang brilian dari menemukan celah di sistem selamanya? Tidak. Namun, ketika mereka tidak memiliki pengetahuan tentang proses yang sedang berlangsung, bagaimana mereka dapat lulus tes verifikasi? Jika mereka tidak tahu tentang sistem latar belakang, mereka tidak akan melakukan tindakan pencegahan apa pun sejak awal. Di sinilah biometrik pasif berbeda dari metodologi verifikasi lainnya. Dan pentingnya juga ada di sini. Tidak ada penipuan yang dapat terjadi ketika alasan penggunaan penipuan dicabut pada awalnya.

Bagaimana Pasif Biometrik Membantu Keamanan Data

Persyaratan untuk sistem keamanan yang lebih canggih dan memuaskan telah meningkat di udara untuk waktu yang lama. Permintaan sekarang mendorong jaringan keamanan ke arah biometrik, dan terutama teknologi pasif, di mana pengguna tidak perlu diberitahu tentang proses identifikasi, tergantung pada karakteristik perilaku. (Untuk lebih lanjut tentang data yang digunakan dalam biometrik pasif, lihat Bagaimana Data Besar Dapat Mengamankan Otentikasi Pengguna.)

Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda

Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.

Hung menjelaskan, "Solusi biometrik yang diimplementasikan dengan baik akan secara alami masuk ke dalam aliran perilaku pengguna yang teratur." Biometrik pasif memiliki keunggulan utama dalam menciptakan profil tentang bagaimana orang tersebut menggunakan mesin, dan bukan hanya profil mesin itu sendiri. . Seperti yang dijelaskan Wilk, pendekatan pasif membuka buku untuk memahami pengguna di "hampir tingkat bawah sadar."

Pendekatan pasif lain, yang dibuat oleh perusahaan BioCatch, bekerja dengan merekam dan menganalisis aktivitas pengguna yang bahkan mereka tidak sadari sedang mereka lakukan. Ciri-ciri fisik seperti pengukuran jari pada layar sentuh, tangan yang aktif (kiri atau kanan) menggunakan mouse, atau frekuensi getaran tangan pengguna yang memegang perangkat memberikan kombinasi data yang tepat untuk identifikasi akut dari pelanggan yang unik. Selain itu, sifat kognitif seperti metode perilaku pengguliran web seseorang (tombol panah, roda mouse, halaman atas dan bawah, dll.) Atau teknik memegang perangkat (horizontal atau vertikal, sudut kemiringan perangkat, dll.) membantu memperkuat otentikasi sistem.

Menurut Oren Kedem, wakil presiden manajemen produk di BioCatch, mereka juga menggunakan "tantangan tak terlihat" bagi pengguna, di mana operasi menunjukkan perubahan yang hampir tidak terlihat dalam perilaku normal pengguna. Misalnya, aplikasi mungkin mengubah beberapa piksel kursor ke arah yang berbeda, atau sedikit mengubah kecepatan halaman gulir untuk menguji respon unik pengguna. Respons mereka terhadap insiden-insiden ini luar biasa unik, yang tidak mungkin ditiru.

Seperti yang dikatakan Kedem, “Kami tidak hanya melacak apa yang Anda lakukan, kami juga memengaruhi apa yang Anda lakukan. ... Kami mengajukan pertanyaan tanpa Anda diminta dan Anda memberi kami jawaban yang Anda ketahui. Itu rahasia yang tidak bisa dicuri seperti kata sandi atau token. "

Sistem diprogram sedemikian rupa untuk secara otomatis mendeteksi dan mencegah botnet keylogging yang merekam dan memutar ulang gerakan target. Ini karena meniru respons pengguna hampir tidak mungkin dalam kasus tantangan tak terlihat, yang terus berubah dalam aplikasi.

Apa Pengaruhnya terhadap Masalah Keamanan Dunia Nyata?

Layanan keuangan dan perbankan di seluruh dunia sudah mulai mengandalkan sistem baru ini. Penyedia keamanan biometrik seperti EyeVerify dan Daon berkolaborasi dengan organisasi keuangan. EyeVerify bekerja dengan Digital Insight untuk mengotentikasi sistem keamanan biometrik dalam fasilitas mobile banking, dan mereka akan meluncurkan Eye ID mereka sebagai aplikasi seluler.

Pada tahun 2014, teknologi biometrik yang diterapkan oleh Daon mengamankan 10,7 juta pengguna USAA Federal Savings Bank dalam proses pengalaman mobile banking yang lancar. Dalam hal ini, penasihat keamanan utama USAA, Richard Davey berkomentar, “Kekhawatiran yang timbul dari ancaman phishing, malware, dan paparan informasi yang selalu ada dari pelanggaran luar berarti bahwa otentikasi dan kontrol akses akan selalu terancam. Teknologi seperti biometrik mengurangi ancaman-ancaman itu sambil memfasilitasi pengalaman pengguna akhir yang indah. "

Verifikasi identitas biometrik suara pasif merekam pendaftaran pengguna dengan mengirimkan suara unik melalui percakapan selama pendaftaran awal. Percakapan awal ini perlu dilanjutkan selama 45 detik untuk memanfaatkan data yang mengenali. Kemudian suara yang direkam mengidentifikasi pengguna dengan membandingkan suara berikutnya yang diperoleh dalam percakapan berikutnya yang mereka lakukan dengan pusat kontak.

Bank ini menerapkan teknologi keamanan baru untuk karyawan mereka, dan setelah itu, di pasar mereka di San Antonio, Texas, diikuti oleh California dan akhirnya mereka meluncurkannya dalam skala penuh pada Januari 2015. Respons yang dihasilkan luar biasa. Tiga minggu setelah implementasi, sekitar 100.000 pelanggan mendaftar untuk otentikasi biometrik, dan dalam sepuluh bulan, jumlah pelanggan yang merespons meningkat menjadi lebih dari satu juta.

Apakah Metode Tradisional Bermanfaat Lagi?

Analisis survei 90 hari yang dilakukan oleh Nudata Security pada 2015 mengungkapkan pertumbuhan serangan web 112% untuk mendapatkan kata sandi dan nama pengguna, naik dari 2014. Apa penyebab di balik peretas mendapatkan kemajuan di atas sistem keamanan tradisional? Mari kita pikirkan lebih teliti.

Apa yang kita semua lakukan adalah mengkompromikan kekuatan kata sandi kita untuk mengingatnya dengan mudah. Ya, di sinilah letak pelakunya. Ada saat ketika satu orang mengelola hanya dua atau tiga akun online, dan tidak terlalu sulit untuk mengingat kata sandi penting untuk sejumlah kecil kasus. Jadi proses itu relevan untuk melindungi identitas orang itu pada waktu itu.

Tapi sekarang, gambarnya telah berubah secara signifikan. Kita semua memiliki banyak akun, begitu banyak sehingga terkadang kita bahkan tidak dapat melacaknya semua. Sekarang, apakah mungkin untuk mengingat kata sandi yang terdiri dari angka acak, simbol, dan huruf untuk setiap akun? Tentu saja tidak. Jadi yang kami lakukan adalah mengkompromikan tindakan pencegahan keamanan dengan menjaga pola untuk semua kata sandi kami dengan beberapa informasi yang diketahui, atau kami terus melupakan pilihan acak kata sandi yang kuat dan kemudian harus memulihkannya setiap saat.

Sekarang, cara tidak langsung menjaga identitas seseorang tetap aman adalah memberikan solusi untuk kepuasan dan keamanan pengguna, karena kita tidak perlu membuat pilihan untuk menjaga keamanan sistem kita dan mengingatnya. Peretas juga mengalami kesulitan mempelajari cara menentukan di mana sistem keamanan diterapkan. Karenanya, cara mereka sebelumnya untuk mendapatkan akses ke akun lain tidak berfungsi dengan baik lagi.

Apa Masa Depan?

Menurut Grissen dan Hung, sistem biometrik tidak akan tetap dalam tahap opsional, tetapi akan memerintah seluruh jaringan sistem keamanan pada masalah "keamanan versus kenyamanan," dalam waktu dekat.

Teknologi ini tumbuh lebih akurat dan menjadi lebih mudah untuk menginstal ke dalam aplikasi web dan seluler yang dikembangkan sendiri. Algoritma baru sedang bekerja untuk mengimplementasikan telemetri tambahan untuk augmentasi profil perilaku seperti orientasi perangkat pada berbagai perangkat.

Konsolidasi antara SIEM (informasi keamanan dan manajemen acara) dan segmen pasar UEBA (analisis perilaku pengguna dan entitas) adalah masa depan untuk pertumbuhan dalam setiap aspek bisnis, seperti yang dapat kita lihat dalam kasus vendor SIEM, akuisisi Splunk atas Caspida. Mereka merencanakan jalan lebih lanjut untuk memberikan pengalaman yang lebih efektif kepada pelanggan mereka dalam implementasi SIEM mereka, menambah sejarah panjang dari data yang ada dengan itu. Berbagai bentuk analisis perilaku terbukti sebagai tambahan wajib untuk mengurangi masalah keamanan dan untuk memenangkan perang dingin jangka panjang melawan para penipu.

Kesimpulan

Pada akhirnya, kita dapat mengatakan bahwa masa depan membawa banyak masa sulit bagi penipu, karena mereka akan dihancurkan oleh serangan kombinasi verifikasi pengetahuan dan analisis perilaku dalam prosedur keamanan. Pada tahun 2016, Wakil Menteri Keuangan Sarah Bloom Raskin menyatakan, “Desain sistem berevolusi untuk menghadapi tantangan otentikasi yang disajikan oleh kata sandi yang dicuri atau mudah dikompromikan: generasi berikutnya dari verifikasi identitas online terlihat menggabungkan apa yang pelanggan ketahui dan miliki, dengan apa yang mereka lakukan , atau biometrik perilaku. "