Пальцы второго сорта
Зашла речь об использовании биометрии (конкретнее - пальчиков) в дверных замках квартир, автомашин, офисов, гостиниц. Безопасно или нет?
Как ни странно, ответить на этот вопрос прямо сейчас нельзя. Только после внедрения этой технологии станет известна степень риска. Дело в следующем.
Когда мы, безопасники принимаем решение об использовании персданных (в частности, биометрических), мы оцениваем риск их утечки в целях мошенничества. Именно в целях мошенничества. Можно ли с помощью утекших данных украсть деньги? Если да - мы их будем усиленно защищать или вовсе откажемся от их обработки. Если нет - мы ограничимся минимальной защитой, только чтоб формально выполнить требования законодательства.
А можно ли украсть деньги с помощью чужих пальчиков? Да, если они будут использованы для удостоверения личности в платёжных системах, банкоматах, удалённом банковском обслуживании, получении льгот и т.п. сервисах, завязанных на материальный интерес.
У индусов с глубокой древности так определено, принято и заповедано богами: правая рука - для чистых дел типа еды; левая рука - для нечистых типа подтирания зада. Например, подав что-то левой рукой, вы серьёзно обидите человека. Упрощённо говоря, есть два класса информационных систем: "серьёзные" и "несерьёзные". Сложные и простые, денежные и некоммерческие, защищённые и не очень. Вот они узрели возможность применения биометрического подтверждения личности и выжидательно смотрят друг на друга. И каждый из них говорит: «Если вы начнёте использовать, то мы не станем. Ибо опасно.» Нельзя применять отпечаток пальца в банкомате, если эти пальцы употребляются для дверей в гостиницах и, как следствие, доступны десяткам тысяч недоверяемых работников отельного бизнеса. И наоборот. Если по пальчику можно оформить кредит и загранпаспорт, никакой здравомыслящий человек не сунет его в аутентификатор веб-форума.
Те и другие выжидают. Те и другие не могут оценить риски, пока противная сторона не определится. Пат. Заколдованный круг.
Выход из ситуации видится в том... Догадались уже? Элементарно!
Требуется глобальное соглашение. Или стандарт. Можно RFC. Все 10 пальцев человека должны быть упорядочены по степени важности. 1-й и 2-й - только для авторизации при банковских операциях, 3-й и 4-й - для паспортно-визовых целей и так далее. А 9-й и 10-й - для наименее защищённых и наименее доверяемых систем, где красть почти нечего. Вовсе не обязательно, чтобы под соглашением подписались сразу все операторы персданных и производители софта. Достаточно договориться лишь некоторым. Не соблюдающих сию договоренность "невидимая рука рынка" подтянет. За шкирку.
Как ни странно, ответить на этот вопрос прямо сейчас нельзя. Только после внедрения этой технологии станет известна степень риска. Дело в следующем.
Когда мы, безопасники принимаем решение об использовании персданных (в частности, биометрических), мы оцениваем риск их утечки в целях мошенничества. Именно в целях мошенничества. Можно ли с помощью утекших данных украсть деньги? Если да - мы их будем усиленно защищать или вовсе откажемся от их обработки. Если нет - мы ограничимся минимальной защитой, только чтоб формально выполнить требования законодательства.
А можно ли украсть деньги с помощью чужих пальчиков? Да, если они будут использованы для удостоверения личности в платёжных системах, банкоматах, удалённом банковском обслуживании, получении льгот и т.п. сервисах, завязанных на материальный интерес.
У индусов с глубокой древности так определено, принято и заповедано богами: правая рука - для чистых дел типа еды; левая рука - для нечистых типа подтирания зада. Например, подав что-то левой рукой, вы серьёзно обидите человека. Упрощённо говоря, есть два класса информационных систем: "серьёзные" и "несерьёзные". Сложные и простые, денежные и некоммерческие, защищённые и не очень. Вот они узрели возможность применения биометрического подтверждения личности и выжидательно смотрят друг на друга. И каждый из них говорит: «Если вы начнёте использовать, то мы не станем. Ибо опасно.» Нельзя применять отпечаток пальца в банкомате, если эти пальцы употребляются для дверей в гостиницах и, как следствие, доступны десяткам тысяч недоверяемых работников отельного бизнеса. И наоборот. Если по пальчику можно оформить кредит и загранпаспорт, никакой здравомыслящий человек не сунет его в аутентификатор веб-форума.
Те и другие выжидают. Те и другие не могут оценить риски, пока противная сторона не определится. Пат. Заколдованный круг.
Выход из ситуации видится в том... Догадались уже? Элементарно!
Требуется глобальное соглашение. Или стандарт. Можно RFC. Все 10 пальцев человека должны быть упорядочены по степени важности. 1-й и 2-й - только для авторизации при банковских операциях, 3-й и 4-й - для паспортно-визовых целей и так далее. А 9-й и 10-й - для наименее защищённых и наименее доверяемых систем, где красть почти нечего. Вовсе не обязательно, чтобы под соглашением подписались сразу все операторы персданных и производители софта. Достаточно договориться лишь некоторым. Не соблюдающих сию договоренность "невидимая рука рынка" подтянет. За шкирку.