УправлениеБезопасность

Так ли надежна биометрическая аутентификация?

Ольга Блинкова | 28.09.2015

Так ли надежна биометрическая аутентификация?

В ходе атаки на Агентство по управлению персоналом США (US Office of Personnel Management) были похищены сведения о 22,1 млн бывших и действующих американских госслужащих, а также членов их семей, также были украдены отпечатки пальцев.

В ходе атаки на Агентство по управлению персоналом США (US Office of Personnel Management) были похищены сведения о 22,1 млн бывших и действующих американских госслужащих, а также членов их семей, также были украдены отпечатки пальцев. Недавно выяснилось, что украденных отпечатков было намного больше, чем предполагалось первоначально – не 1,1 млн, а 5,6 млн. Напомним, что следы взлома были обнаружены в июне 2015 года, в настоящее время расследование двух инцидентов, случившихся предположительно в 2014 году, ведут Министерство обороны, ФБР и Министерство внутренней безопасности США (U.S. Department of Homeland Security).

При этом отпечатки пальцев невозможно сменить, в отличие от паролей и других средств аутентификации. Биометрические технологии, как прогнозирует компания Goode Intelligence, станут основным средством аутентификации в банковской сфере к 2020 году. Но сейчас этот прогноз может быть пересмотрен: оказывается, что отпечатки пальцев – не самая надежная страховка от несанкционированного доступа: если злоумышленники похитили отпечатки, они могут пользоваться ими в течение всей жизни человека. А учитывая, что большинство из 5,6 млн граждан США, чьи отпечатки были похищены, являются госслужащими, возникшие риски невозможно переоценить – только разве что вовсе запретить всем, чьи отпечатки были похищены, в будущем использовать такой метод аутентификации.

В июле, вскоре после обнаружения утечек, Кэтрин Арчулета (Katherine Archuleta), глава Агентства по управлению персоналом США, ушла в отставку. В то же время ИБ-аудит агентства «шокировал» специалистов, которые его проводили, один из IT-специалистов написал, что они буквально подбирали «упавшие челюсти с пола». Так, в агентстве вообще не было, например, даже многофакторной аутентификации. Использование облачных услуг не соответствовало федеральным ИБ-стандартам, а VPN-сессии не заканчивались по тайм-ауту. Также вовремя не устанавливались обновления безопасности на ОС. Сама г-жа Арчулета сообщила, что ни она, ни IT-директор агентства Донна Сеймур (Donna Seymour) ни при чем, вся проблема в старой IT-инфраструктуре, которую приходилось модернизировать, и именно этот процесс привел к появлению брешей.

В результате, как предполагается, злоумышленниками были украдены все без исключения данные, собранные агентством с 2000 года.

Безопасность

Журнал: Журнал IT-Manager, Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Всероссийский форум «Умный город: Инструкция по применению»
Белгород, ул. Белгородского Полка, 56А. Здание Белгородской государственной филармонии
15 000 руб
15.04.2021 — 16.04.2021
09:00
Форум Телеком 2021
Москва, Lotte Hotel Moscow, Новинский бульвар, 8с2
36 000 руб
16.04.2021
10:00
Конференция «Российское ПО – драйвер развития цифровой образовательной среды»
Москва, ул. Радио, д. 10А (здание Московского государственного областного университета)
Бесплатно
20.04.2021
10:00–17:30
Онлайн-конференция «Открытые дни Directum»
ОНЛАЙН
Бесплатно
21.04.2021 — 22.04.2021
10:00–13:30