C'est l'un des tristes faits concernant l'authentification mobile que l'industrie a tendance à accepter des options de sécurité moins efficaces au départ. Ainsi, les téléphones ont initialement accepté l'authentification basée sur les empreintes digitales (qui peut être compromise par les ordonnances, les produits de nettoyage, les blessures aux mains et des dizaines d'autres facteurs), puis sont passés à la reconnaissance faciale.
En théorie, la reconnaissance faciale est censée être plus précise. Mathématiquement, c'est juste, car il examine considérablement plus de points de données que la numérisation d'une empreinte digitale. Mais la réalité sur la planète réelle est considérablement plus problématique. Il nécessite une distance précise du téléphone et pourtant il n'offre pas de marqueurs de pré-balayage afin que l'utilisateur sache quand il est correctement appuyé. C'est l'une des raisons pour lesquelles je vois la reconnaissance faciale rejeter un scan environ 2% du temps, même si elle passera un scan positif XNUMX secondes plus tard.
Au début du lancement d'Apple, les membres de la famille pouvaient parfois déverrouiller les téléphones d'autres personnes. Ce n'était pas limité aux vrais jumeaux. Même les mères et les enfants peuvent passer par "l'authentification" de la reconnaissance faciale.
Mais un cas récent en Chine montre que les inconvénients de la reconnaissance faciale d'Apple restent graves. En Chine, un homme s'est approché d'une femme endormie (son ex-petite amie), a ouvert ses paupières, a obtenu un feu vert pour la reconnaissance faciale et a pu retirer de l'argent de son compte courant.
Premièrement, ce n'est pas l'un des meilleurs moyens de se remettre avec son ex. Mais du point de vue de la cybersécurité, cela renforce le fait que les appareils mobiles nécessitent des méthodes d'authentification considérablement plus rigoureuses.
Le meilleur moyen serait d'utiliser des méthodes plus faibles, telles que des mots de passe, des codes PIN et des données biométriques plus faibles, pour accéder facilement aux comptes de faible priorité, tels que le déverrouillage du téléphone pour consulter les prévisions météorologiques. Mais pour l'accès à la banque/à l'argent, les connexions aux réseaux sociaux et toute connexion aux systèmes de l'entreprise, une analyse comportementale devrait être requise.
La nature même de l'analyse du comportement fait qu'il est assez difficile pour un voleur de se faire passer pour un individu. Le doigt d'une personne inconsciente peut être saisi ou une paupière tirée en arrière, en supposant que le voleur a physiquement accès à l'utilisateur et au téléphone. Malheureusement, les codes PIN sont simples à voler lors de la navigation sur l'épaule, en particulier pour une personne disposant d'un accès physique étendu.
Mais en imitant, combien de fautes de frappe cet utilisateur fait-il tous les cent mots ? Ou votre vitesse de frappe est-elle précise ? Ou l'angle sous lequel ils ont tendance à tenir leur téléphone ? Ceux-ci sont adaptés et assez difficiles à falsifier. Oui, certains facteurs d'analyse comportementale sont simples à falsifier, notamment l'adresse IP, l'emplacement et l'empreinte digitale du téléphone d'un utilisateur. Par conséquent, une mise en œuvre d'une analyse comportementale doit utiliser autant de facteurs que possible, en mélangeant des facteurs simples à falsifier avec des facteurs assez difficiles à falsifier.
L'un des avantages de l'analyse comportementale est qu'elle s'exécute de manière furtive en arrière-plan, ce qui signifie qu'elle est aussi fluide (pour l'utilisateur) que cela est recommandé. Il offre le meilleur des deux mondes : il s'agit d'une procédure d'authentification considérablement plus rigoureuse et fiable, plus simple pour les utilisateurs qu'un mot de passe ou des données biométriques.
Pour l'informatique, cette nature sans friction rend les utilisateurs plus indulgents. En plus de cela, cette nature "d'arrière-plan" rend la tâche encore plus difficile pour un voleur/intrus, car l'attaquant ne peut pas être sûr de ce que le système vérifie à un moment donné.
C'est pourquoi les DSI et les RSSI ne doivent pas se fier à la biométrie. Même les méthodes d'attaque les plus violentes et les plus belliqueuses, telles que mettre une arme à feu sur la tête d'un utilisateur et lui ordonner d'accéder aux fichiers propriétaires de l'entreprise, peuvent être frustrées par l'analyse. Si la peur et la nervosité d'une telle attaque augmentent les erreurs de frappe et ralentissent la vitesse de frappe, cela peut suffire pour qu'un superviseur soit contacté. Si ce superviseur demande une session vidéo pour s'assurer que tout va bien, l'attaquant peut partir. (C'est particulièrement vrai si l'attaquant soupçonne que le superviseur a déjà envoyé la police et utilise les questions de la session vidéo pour gagner du temps.)
La raison pour laquelle il s'agit d'un problème si critique pour XNUMX est que l'augmentation incessante de l'accès mobile à vos bases de données d'entreprise les plus sensibles (y compris les comptes cloud d'entreprise) est susceptible de continuer à prospérer. Nous sommes maintenant à un point où l'informatique ne peut plus accepter que les défenses des postes de travail soient suffisantes. Même si le service informatique donnait des ordinateurs portables à chaque employé disposant de privilèges suffisants, aucune entreprise ne découragerait l'accès mobile. Alors que les voyages font lentement leur retour cette année pour certains segments, les inconvénients de Road Warrior reviendront. Aujourd'hui, cependant, les attaquants, en particulier ceux qui s'intéressent particulièrement à leurs systèmes, se concentrent progressivement davantage sur ces interactions mobiles.
Le mot à la mode en matière de cybersécurité le plus populaire de nos jours est Zero Trust. Toute implémentation Zero Trust significative doit commencer par une approche d'authentification considérablement plus forte, ainsi qu'un examen détaillé de la gestion des accès / du contrôle des privilèges. Avec les appareils mobiles, l'authentification doit être la priorité absolue. Le chemin de moindre résistance consiste simplement à se lancer dans l'authentification intégrée d'un appareil mobile. Cela peut aller aussi longtemps et en toutes circonstances que la biométrie n'est qu'un des douze facteurs examinés.
Si vous êtes toujours incrédule, vous devez rencontrer un ex-petit ami chinois.
Copyright © deux mille vingt-deux IDG Communications, Inc.