Behaviorální biometrika jako součást silné autentizace a autorizace uživatelů
Úvod
Aniž bychom si to nějak významně uvědomovali, žijeme dnes v tzv. aplikační ekonomice, tedy v prostředí, kde
komunikace mezi firmami a jejich zákazníky probíhá ve stále větší míře elektronickými kanály prostřednictvím
různých aplikací. Uživatelé tak mají neustálý přístup k online službám, a to v podstatě odkudkoliv a z jakéhokoliv
zařízení. Firmy a instituce pak mohou díky tomuto fenoménu poskytovat služby mnohem efektivněji. Pro obě
strany je tak aplikační ekonomika obrovským přínosem.
Současně se všemi pozitivy aplikační ekonomiky je však třeba si přiznat a řešit rizika s tímto fenoménem spojená.
Hesla, pomocí kterých se dnes běžně uživatelé ověřují do webových portálů a mobilních aplikací, nezajišťují
dostatečnou bezpečnost, a jsou tím nejslabším článkem v celém procesu. Silná hesla jsou uživatelsky nepřívětivá,
PINy a jednoduchá hesla lze odhadnout, a obojí je celkem snadno zcizitelné, např. pomocí tzv. „keyloggerů“.
Hesla uložená v aplikacích tak, aby je uživatelé nemuseli kvůli svému komfortu vždy vypisovat, jsou zase
nebezpečím v případě ztráty či zcizení daného zařízení (mobil, tablet, notebook). Instituce a firmy musí tedy
implementovat bezpečnější způsoby k zajištění důvěrnosti informací, a zejména k ochraně identit svých
uživatelů před jejich zcizením a zneužitím, než je ověření identity uživatele pouze na bázi hesla. Vhodnou,
v poslední době hodně diskutovanou, a v praxi stále více využívanou metodou, je biometrika.
Biometriku jakožto obor sledování parametrů živých organismů, dělíme na dvě oblasti – fyzickou biometriku
a behaviorální biometriku (též známou jako behaviometriku). Zatímco fyzická biometrika sleduje konkrétní fyzické
atributy živého organismu (v případě lidí např. hlas, otisk prstu, mapu krevního řečiště v dlani, tvar tváře či oční
rohovku), behaviorální biometrika se soustředí na sledování jeho chování.
Jak lze biometriku využít v informační bezpečnosti?
Fyzická biometrika se v informační bezpečnosti v omezené míře využívá již mnoho let, a to zejména tam, kde
se jedná o jednoznačnou identifikaci uživatele při přístupu k velmi citlivým systémům či informacím. Fyzická
biometrika má však i nevýhody, které omezují její větší rozšíření a možnosti nasazení místo dnes používaných
hesel a PINů. Hlavní nevýhodou jsou vysoké náklady na biometrická snímací zařízení, bez nichž se tento způsob
identifikace neobejde. Druhou nevýhodou je skutečnost, že běžně používané typy fyzické biometriky lze prolomit
podobně jako hesla (nahrávky hlasu, fotografie prstů s vysokým rozlišením, atd.)
Behaviorální biometrika je od obou výše zmíněných nevýhod fyzické biometriky oproštěna. Na její využití při
autentizaci či autorizaci uživatelů není totiž třeba žádné snímací zařízení (vše vyřeší potřebný software), a navíc
ji téměř nelze kompromitovat, neboť chování uživatele nelze ve všech jeho nuancích ze strany útočníka předstírat.
Behaviorální biometrika je tedy ideálním způsobem, jak významně zlepšit komfort uživatelů při ověřování, a
současně jak výrazně zvýšit bezpečnost a snížit rizika plynoucí ze zcizení a zneužití přihlašovacích údajů, a tedy
vlastní identity uživatelů.
Současná praxe
Velké množství firem a institucí provozujících webové portály a mobilní aplikace přistupující k důvěrným informacím
dnes již nějakou formu behaviorální biometriky provozuje. Ať už se jedná o banky a oblast elektronického
bankovnictví, obchodní webové portály či portály a aplikace poskytující a zprostředkovávající elektronické služby,
mnoho z nich již dnes kromě standardních ověření uživatelů na bázi jména a hesla používá v určitém rozsahu také
behaviorální biometriku. Ostatně neexistuje jediný rozumný důvod, proč by měl například uživatel elektronického
bankovnictví ověřovat SMS kódem každý zadaný platební příkaz, zejména v případě, kdy se jedná o více méně
pravidelnou platbu na stále stejný účet a navíc ve stejné nebo podobné výši.
Schéma procesu rizikové analýzy (např. behaviorální biometrie) při autentizaci uživatele
Naopak v případě, kdy systém během přihlašování či během vlastní práce uživatele vyhodnotí vyšší riziko z důvodu
odchylky jeho chování, je před pokračováním v dané akci uživatel požádán o sekundární ověření. To pak probíhá
buď jiným komunikačním kanálem (např. jednorázové heslo zaslané přes SMS či e-mailem), nebo je použita jiná,
silnější metoda ověření (např. čipová karta). Protože se však uživatel v naprosté majoritě případů chová standardně
a nevykazuje znaky chování útočníka, stačí mu zůstat u ověření jen na bázi jména a hesla. To, že se na pozadí
v reálném čase provádí riziková analýza jeho chování, a že se tedy z pohledu bezpečnosti jedná o silné ověření jeho
identity, uživatel vůbec vědět nemusí. Pro něho se totiž nic nemění – stále používá své jméno a heslo, tak, jak je
zvyklý, a pouze ve velmi ojedinělých případech, kdy změní své chování, je požádán o silnější ověření.
Mezi dnes nejčastěji sledované parametry v rámci behaviorální biometriky se řadí:
• preference používaných zařízení včetně jejich konkrétních parametrů
• preference typu internetového připojení vs. použité zařízení
• frekvence a preferované časy připojení
• preference lokalit, ze kterých je iniciováno připojení
• preference a způsob zadávání přihlašovacích údajů
• preferovaný průchod aplikací („pracovní workflow“)
Budoucí vývoj
V poslední době lze sledovat expanzi behaviorální biometriky i do firemního prostředí, kde se začíná využívat pro
silné ověřování zaměstnanců a externistů při přístupu k firemním aplikacím a systémům, tedy k VPN, intranetu,
finančním a výrobním aplikacím, atd. Firmy si totiž také začínají uvědomovat sílu tohoto způsobu ověření při
zachování uživatelského komfortu a při výrazném zvýšení zabezpečení svých systémů před neoprávněným
přístupem. V blízké budoucnosti se dočkáme toho, že se behaviorální analýza bude objevovat všude tam, kde
je třeba silně, ale přesto levně a pro uživatele komfortně ověřovat jejich identitu, a to jak v rámci firemních
informačních systémů, tak ve webových portálech a mobilních aplikacích určených velkému množství uživatelů,
a to včetně portálů veřejné správy v rámci eGovernment iniciativ. Behaviorální ‚biometrika doplněná o sekundární
ověření má totiž nejlepší poměr použitelnosti, nákladů a bezpečnosti ze všech dnes dostupných metod silné
autentizace.
Autor: David Matějů, Senior Security Consultant, CA Technologies
Mohlo by Vás zajímat:
Role bezpečnosti v důvěryhodném cloudu
5 míst, která by měl navštívit každý fanoušek kybernetické bezpečnosti