AUTENTIFICAREA “INTELIGENTA”: biometrie si analiza comportamentala in locul “clasicelor” parole

• Jurnalul: Adio PAROLE! “AUTENTIFICAREA INTELIGENTĂ”, o provocare pentru SECURITATEA INFORMATICĂ

Experţi din lumea securităţii informatice spun că parolele nu mai reprezintă o formă suficient de puternică de securitate, întrucât au anumite slăbiciuni, atât la nivel funcţional, cât şi din punctul de vedere al modului de utilizare, care pot fi exploatate de cyber-infractori pentru a obţine informaţii confidenţiale din cadrul unei companii. Spre exemplu, parolele pot fi pierdute de utilizatorii din companie sau furate de hackeri, în contextul în care peste 91% din parolele utilizate la nivel mondial conţin combinaţii care se regăsesc între cele mai comune 1.000 de parole. Mai mult, parolele sunt metoda prin care numeroase dintre breşele ample de securitate din ultimii ani au putut fi exploatate. Pe de-o parte, angajaţii folosesc adesea aceeaşi parolă pentru mai multe identităţi virtuale, fapt care permite atacatorilor să compromită o singură parolă şi să obţină acces la toate conturile asociate. Pe de altă parte, chiar şi atunci când companiile implementează un protocol de criptare de date asupra parolelor furate, dacă acesta nu este performant, hackerii pot descifra codul de acces şi pot expune informaţia criptată.

Recuperarea parolelor pierdute sau uitate este, de asemenea, un proces în care măsurile de securitate pot fi îmbunătăţite. Dacă un utilizator îşi pierde sau îşi uită parola de acces, metoda tradiţională de recuperare este solicitarea de răspunsuri la o serie de întrebări pentru care numai proprietarul de drept cunoaşte răspunsul corect. Răspunsurile sunt însă la rândul lor tot parole, iar informaţiile pot fi adesea descoperite de infractorii cibernetici pe internet, folosind inclusiv informaţiile din social media. Nu în ultimul rând, utilizatorii folosesc de regulă parole slabe, deseori compuse din sintagme comune precum ”secret”, ”1234” sau ”qwerty”, fapt care permite atacatorilor acces facil la informaţii confidenţiale.

Alternative

În ultimii ani au apărut însă tot mai multe alternative de securitate, ca urmare a popularizării dispozitivelor mobile inteligente şi a tehnologiilor inovatoare care au devenit accesibile unui public tot mai larg. Astfel, parolele ar putea dispărea din mediul de business în viitor, pe măsură ce metodele de securitate mai rafinate, care presupun autentificare optimă, la costuri eficiente şi fără utilizarea parolelor, devin din ce în ce mai populare, sunt de părere experţii companiei de securitate informatică Symantec.

Autentificarea cu ajutorul dispozitivelor mobile este una dintre tehnologiile de securitate care au potenţialul să înlocuiască parolele în viitor. Dispozitivele smartphone deja omniprezente în mediul de business includ o funcţionalitate cu potenţial, anume tehnologia biometrică prin care utilizatorii se pot autentifica printr-o simplă atingere a ecranului. O asemenea tehnologie va permite autentificarea utilizatorilor pe website-uri sau chiar în reţeaua companiei. Fără să necesite parole, un smartphone va fi capabil să transmită informaţii despre identitatea posesorului către o reţea, pentru autentificare. Deşi procesul de verificare şi identificare prin sisteme biometrice se află, momentan, în etapele preliminare adoptării la scară largă, este de aşteptat ca metoda să fie impementată pe tot mai multe dispozitive în următorii ani.

Mai multe niveluri şi tipuri de securitate

Cu toate acestea, experienţa în domeniu a demonstrat că oricât de inovator este un dispozitiv, acesta va putea fi compromis, astfel încât nu va fi niciodată suficientă o singură metodă de securitate. Chiar şi un singur telefon compromis poate cauza breşe importante. De aceea, în mediul de business autentificarea prin intermediul dispozitivelor nu va fi suficientă, aceasta va trebui corelată cu informaţii contextuale pentru a valida identitatea utilizatorului. Astfel, specialişti Symantec au dezvoltat o metodă de securitate cunoscută sub numele de „autentificare inteligentă”, care presupune utilizarea unor date din reţea pentru a analiza comportamentul unui utilizator şi localizarea geografică, determinând consistenţa acestora cu comportamentul corespunzător al utilizatorului de drept. Aceste informaţii pot fi folosite pentru a identifica variaţii în tiparul comportamental şi, implicit, pentru a împiedica tentativele de hacking şi de fraudare.

Suplimentar autentificării inteligente, se dezvoltă în prezent o serie de servicii de autentificare securizată pentru dispozitive mobile şi servicii de validare a identităţii virtuale, care vor oferi un al treilea strat important de securitate, transparent şi convenabil pentru utilizatorul final, întrucât nu interferează cu experienţa simplificată de autentificare.

VIP Login

Pasul următor va fi lansarea aplicației VIP Login, care va fi disponibilă în decursul acestui an pentru telefoanele mobile. Utilizatorii vor avea posibilitatea de a se autentifica pe un website, folosind noua soluție, printr-un simplu “click” urmat de marcarea amprentei pe telefonul mobil. Folosind o combinație de informații privind identitatea dispozitivului și particularitatea amprentei, aplicația va autentifica și acorda acces utilizatorilor, oferind astfel posibilitatea de a efectua tranzacții pe Internet.