Так ли надежна биометрическая аутентификация?

Логотип компании
28.09.2015Автор
Так ли надежна биометрическая аутентификация?
В ходе атаки на Агентство по управлению персоналом США (US Office of Personnel Management) были похищены сведения о 22,1 млн бывших и действующих американских госслужащих, а также членов их семей, также были украдены отпечатки пальцев.

В ходе атаки на Агентство по управлению персоналом США (US Office of Personnel Management) были похищены сведения о 22,1 млн бывших и действующих американских госслужащих, а также членов их семей, также были украдены отпечатки пальцев. Недавно выяснилось, что украденных отпечатков было намного больше, чем предполагалось первоначально – не 1,1 млн, а 5,6 млн. Напомним, что следы взлома были обнаружены в июне 2015 года, в настоящее время расследование двух инцидентов, случившихся предположительно в 2014 году, ведут Министерство обороны, ФБР и Министерство внутренней безопасности США (U.S. Department of Homeland Security).

При этом отпечатки пальцев невозможно сменить, в отличие от паролей и других средств аутентификации. Биометрические технологии, как прогнозирует компания Goode Intelligence, станут основным средством аутентификации в банковской сфере к 2020 году. Но сейчас этот прогноз может быть пересмотрен: оказывается, что отпечатки пальцев – не самая надежная страховка от несанкционированного доступа: если злоумышленники похитили отпечатки, они могут пользоваться ими в течение всей жизни человека. А учитывая, что большинство из 5,6 млн граждан США, чьи отпечатки были похищены, являются госслужащими, возникшие риски невозможно переоценить – только разве что вовсе запретить всем, чьи отпечатки были похищены, в будущем использовать такой метод аутентификации.

В июле, вскоре после обнаружения утечек, Кэтрин Арчулета (Katherine Archuleta), глава Агентства по управлению персоналом США, ушла в отставку. В то же время ИБ-аудит агентства «шокировал» специалистов, которые его проводили, один из IT-специалистов написал, что они буквально подбирали «упавшие челюсти с пола». Так, в агентстве вообще не было, например, даже многофакторной аутентификации. Использование облачных услуг не соответствовало федеральным ИБ-стандартам, а VPN-сессии не заканчивались по тайм-ауту. Также вовремя не устанавливались обновления безопасности на ОС. Сама г-жа Арчулета сообщила, что ни она, ни IT-директор агентства Донна Сеймур (Donna Seymour) ни при чем, вся проблема в старой IT-инфраструктуре, которую приходилось модернизировать, и именно этот процесс привел к появлению брешей.

В результате, как предполагается, злоумышленниками были украдены все без исключения данные, собранные агентством с 2000 года.

Читайте также
В начале прошлого года в продуктовой линейке компании RDP – российского производителя интеллектуального оборудования для крупных сетей связи – появился брокер сетевых пакетов EcoNPB (Network Packet Broker). Рассказываем о его функциональности и технических особенностях, а также о целях его использования операторами связи и дата-центрами.

Похожие статьи