За алтернативите на паролите и бъдещето на идентификацията – д-р Ант Алън, вицепрезидент на Gartner Research, пред Economy.bg
Д-р Ант Алън е вицепрезидент на Gartner Research. От 14 години той е част от международната изследователска компания, а в ИТ индустрията е от 30 години. Изследванията му са фокусирани върху технологиите за идентификация. Често коментира темата в издания като Wall Street Journal, BBC и CNET.
Д-р Алън, преброени ли са дните на паролите?
Да, но ще мине доста време, преди това да се случи. Паролите са твърде лесни за ползване, твърде добре се възприемат (макар и нехаресвани) от повечето потребители и са твърде разпространени, за да изчезнат в краткосрочен или средносрочен период.
Проблемите на потребителите с множеството пароли ще бъдат значителен двигател на развитието на т.нар. SSO (Single Sign-On) решения - например логин с профил от социалните мрежи или методи за идентификация, които пасват по-добре на потребителите.
За потребителите най-голям проблем са по-малките мобилни устройства, когато трябва да въвеждат дълги и сложни пароли по искане на компаниите заради опасения за сигурността.
Кои са технологиите, които може да заменят паролите?
Считаме, че досегашните методи за идентификация могат да бъдат заменени от комбинация между биометрична и контекстуална идентификация. Биометричната идентификация може да се осъществи чрез сензори, които ги има във всички смартфони – микрофони за гласово разпознаване, камери за лицево разпознаване и евентуално разпознаване на ириса.
Контекстуална идентификация е наистина добър механизъм, основан на информация за локацията или на поведенчески модели. Тя вече добре се е наложила при определени случаи. Използва се в технологии за засичането на измами в интернет, широко използвани от банки. Много компании, предлагащи продукти за идентификация на потребителите (като CA Technologies, SafeNet, Symantec и RSA) са вградили тази техника в продуктите им.
Биометричната идентификация все още не е толкова напреднала. Пръстовите отпечатъци са проблемни – зависят от наличността на специализирани сензори (например Apple iPhone Touch ID). Това не може да бъде база за идентификация за всички потребители, тъй като повечето от тях няма да разполагат с технологията. От тук идва и фокусът върху способи, които използват сензори, налични във всички смартфони. Освен това има малък процент от потребители, които изпитват трудности с използването на пръстовите отпечатъци. Все пак виждаме, че се правят стъпки в посока по-масово използване на пръстовите отпечатъци.
Биометричната идентификация само може да е достатъчна да замени паролите, но за случаи на по-нисък риск за сигурността. Наблюдавали сме това при различни компании, но случаите не са масови. Все пак, като се имат предвид проблемите с паролите при използване на мобилни устройства, е ясно, че ще се върви в тази посока. Добър пример е европейска банка, чието приложение за мобилно банкиране имаше изключително високо ниво на отказ за достъп при опит за логин – 80%. Така се наложи банката да замени дългите и сложни пароли с гласово разпознаване.
Паролите може и да останат в употреба при случаи, където рискът е пренебрежим. Например, ако целта е да се проследят повтарящи се посетители на даден уебсайт за маркетингова употреба, а не да се защити достъп до активи.
Кои са основните тенденции при идентификацията?
През последните няколко години станахме свидетели на все по-нарастващо използване на методи за идентификация, при които телефонът изпълнява ролята на устройство за допълнителна верификация. В този случай то може да генерира еднократни кодове за идентификация или да получава такива от дистанционен сървър чрез SMS или гласови обаждания.
Всички видове токен устройства обаче се сблъскват с проблеми при мобилната употреба. Например биха могли да се заразят с вируси или пък са твърде скъпи. Други пък не допадат на потребителите, а напоследък все повече се очертава като тенденция да се отдава по-голямо значение на потребителското изживяване като критерий при избор на метод за идентификация. Това е особено валидно по отношение на приложенията, ползвани от потребителите (знаем за банки, които са загубили клиенти заради въвеждането на нови методи за идентификация, които не допадат на потребителите).
Друга тенденция е към предоставяне на услуги за идентификация в „облака”. Макар засега това да е все още относително нишов пазар, темпът му на растеж като брой потребители е два пъти по-голям от този на целия пазар.
Биометричните идентификатори сигурни ли са?
При всички методи за идентификация съществува вероятност за грешки. Въпросът е, колко трудно може да се заобиколят или да се хакнат тези методи. Атаката срещу технологията Touch ID (с интегриран сензор за пръстови отпечатъци) изглежда по-трудна от разкриването на 4-цифрен ПИН код.
Сигурните методи за биометрична идентификация не разчитат на това да се опазят в тайна биометричните данни, за да може да функционират правилно. Вместо това те разчитат на трудността тези данни да бъдат пресъздадени или фалшифицирани с цел да се създаде изкуствена идентичност на натрапника, който подава данни към биометричния сензор. За съжаление, именно тук се провалят много от решенията. Например лицевото разпознаване при Google Android е особено уязвимо за атаки поради използване на снимки на потребители.
На какво трябва да обърнат внимание компаниите, когато търсят добро решение за идентификация?
Ключовото изискване, което се открои при нашите проучвания през последните няколко години, е идентификация, съответстваща на риска. С други думи, избраният метод на идентификация трябва да осигурява ниво на сигурност, съизмеримо с нивото на риск при конкретен случай на употреба (основан на оценката за риск на компанията). „Силните” решения за идентификация не са подходящи за всички случаи.
Биометричният идентификатор с X.509 смарт карти се счита за най-сигурния метод сред достъпните в търговската мрежа решения, но много малко са компаниите, които биха го използвали за всичките си потребители.
Дали решението е сигурно зависи от това, дали методът ще може да устои на атака и от трудността той да бъде споделен с други (нивото на индивидуална отговорност, което осигурява).
Вторият критерий за инвестиция в идентификатори е общият разход за притежанието му. Като цяло поносимият общ разход се определя от търсеното ниво на сигурност – компаниите биха платили повече за по-сигурно решение.
Как оценявате пазара на решения за идентификация?
Пазарът е доминиран от 5% от производителите. Gartner разполага с данни за над 200 производители, предлагащи някакъв продукт за потребителска идентификация, макар че по-малко от 50 имат предложения, които могат да се считат за заслужаващи доверие. Първите 10 производители по пазарен дял имат повече клиенти от всички други, взети заедно.
Методите за идентификация, използващи телефон като устройство за допълнителна верификация, все повече изместват токен устройствата, генериращи еднократни кодове. Все повече намалява и интересът към X.509 смарт картите. Проблемите с поддръжката на тези токен устройства при дистанционната и мобилната употреба само ускоряват тази тенденция. Това предполага, че ще се върви все повече към комбинирани методи за идентификация. Повечето компании ще ги възприемат първоначално за мобилна употреба, но в рамките на 2-3 години ще ги използват и при компютрите.
