Исследователи: биометрическая защита может быть угрозой
Новости Безопасность
ИБ-исследователи Пер Торшейм (Per Thorsheim) и Пол Мур (Paul Moore) утверждают, что создали расширение для браузера, способное обфусцировать системы биометрического профилирования на базе паттернов ввода, сообщает «Лаборатория Касперского». Концепция призвана обратить особое внимание на набирающую популярность биометрическую технологию, которая часто позиционируется как «невзламываемая».
Технология профилирования пользователей на базе поведенческих паттернов позволяет веб-сайту собирать метаданные о самой манере ввода символов, а не о том, что печатает пользователь. При вводе логина и пароля веб-сайт, оснащенный подобной технологией, отслеживает параметры ввода, считывая продолжительность нажатия клавиши и время, требуемое для следующего нажатия. Такой метод используется некоторыми поставщиками биометрических решения аутентификации вроде BehavioSec и KeyTrac, которые предлагают подобные технологии банкам с целью минимизировать риск фрода.
Но использование подобных технологий другими сайтами может привести к весьма неприятным для пользователя последствиям. Прозрачных сведений о том, какие сайты и как используют биометрические техники профилирования пользователей на основе поведенческих паттернов, нет, и обычно пользователи попросту не знают об этом и не имеют контроля над этими данными.
«Если ваш поведенческий профиль был утрачен в результате утечки или украден, то принять меры, подобные смене пароля, практически невозможно: вы не можете просто изменить манеру печати на клавиатуре. Даже если вам это удастся, снова создать ваш профиль не составит большого труда», — предостерегает Мур.
По словам исследователей, прокси-сайты, VPM или анонимайзеры – это не выход. Технология биометрического профилирования может определить пользователя с точностью 90% даже при использовании подобных тактик.
Мур и Торшейн разработали концепт плагина для Chrome под названием KeyboardPrivacy; он снижает риск составления профиля на основе паттернов ввода и таким образом помогает сохранить приватность пользователя. Он произвольно меняет регистрируемую периодичность нажатий на клавиши, не позволяя создавать идентифицируемый профиль. Плагин можно отключать вручную, если нужно, например, залогиниться в веб-банкинг. Но в отношении мыши разработанная исследователями технология не работает. По словам Мура, большинство сайтов, использующих поведенческий анализ паттернов при печати, следят и за движениями мыши, но получаемых метаданных недостаточно для того, чтобы точно определить пользователя.
Мур написал в блоге, что подобная технология профилирования пользователей вызывает у него крайнее беспокойство по той же причине, что и использование одного и того же пароля для различных учетных записей. «Самая большая проблема пароля – это даже не количество знаков и не использование цифр, символов или различного регистра. Это многократное использование одного и того же пароля на разных сайтах. Технология поведенческой биометрии имеет тот же изъян – она заставляет пользователей без ведома делиться уникальным «секретом» с любым сайтом», — заключил специалист.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone