Порой можно слышать, что не за горами время, когда биометрия станет ключевым элементом корпоративной аутентификации. Но когда это произойдет? Ответ зависит от того, кому задан вопрос. Для UPEK, скажем, такая эпоха уже наступила. Стратегия этой фирмы направлена на поддержание партнерских отношений с производителями лэптопов наподобие Dell, Lenovo и Toshiba, в рамках которых те встраивают в свою продукцию сканеры отпечатков пальцев UPEK. Теперь же фирма решила продвигать свои биометрические технологии в качестве механизма онлайновых транзакций.
"Любой Web-сайт можно дополнить набором Web-компонентов, которые идентифицируют пользователя не по паролю, а по отпечаткам пальцев, если, конечно, на компьютере имеются необходимые для этого устройства", — поясняет директор программных решений UPEK Билл Боквольдт.
Такой сервис, по его словам, строится на базе токенов, использующих отраслевой стандарт SAML (Security Assertion Markup Language — язык разметки подтверждений безопасности), что обеспечивает интеграцию с ранее развернутым инструментарием управления идентификацией и доступом. UPEK, как отметил Боквольдт, уже демонстрирует возможности онлайновой аутентификации поставщикам Web-сервисов.
Вот только применение биометрии для аутентификации в Интернете чревато атаками типа MITM (man in the middle — "в центре человек") с перехватом информации с биометрических жетонов безопасности. Однако UPEK уверяет, что ее сервис онлайновой аутентификации опирается на инфраструктуру токенов SAML и предусматривает шифрование всей информации, которой обмениваются сервер и локальные системы. Таким образом, в защищенном по технологии SSL канале появляется два уровня шифрования, что, по словам Боквольдта, помогает предотвратить MITM-атаки.
"Чтобы обеспечить безопасность локальных компьютеров, каждое решение на базе набора микросхем UPEK производит идентификацию, и посланная на устройство информация может быть открыта только этим устройством, — рассказывает Боквольдт. — Это не позволяет подменять устройства и имитировать их на локальном уровне".
Примерно такой же сервис под названием TrueMe предлагала с 2006 г. фирма Pay By Touch для биометрической аутентификации в финансовых транзакциях, однако в начале 2008 г. проект был свернут. И возник вопрос: а готовы ли предприятия для широкомасштабного использования биометрии?
По оценке аналитика Джофри Тернера из компании Forrester Research, на такой путь корпорации смогут выйти не раньше чем через 5–10 лет. Процесс, правда, может ускориться благодаря поддержке со стороны правительства, примером которой служит президентская директива по национальной безопасности номер 12, требующая от федеральных учреждений США четко идентифицировать своих сотрудников при доступе к логическим и физическим ресурсам. Той же цели служат и требования стандарта FIPS 201 (Federal Information Processing Standards Publication). Оба эти документа, уверен Тернер, закладывают основу для оценки различных биометрических технологий. "Думаю, если уж применения биометрии для идентификации пользователей начинает требовать правительство, то такой метод просто обречен на широкое распространение. А это значит, что появятся и коммерческие решения. Произойдет же все это через 5–10 лет", — прогнозирует он.
Но чтобы добиться широкого распространения биометрии в корпоративной среде, необходимо прежде всего успокоить потребителей (особенно американских), которые опасаются утраты конфиденциальной информации. Кроме того, когда производится идентификация множества людей, возникают опасения, что в некоторых случаях система может допустить ошибки.
К тому же, как отмечает вице-президент и директор исследований Burton Group Боб Блекли, кроме биометрии существуют и другие, более рентабельные альтернативы парольной защите. Почему бы, скажем, просто не свести к минимуму количество регистраций пользователя в системе? "Для этого независимые разработчики предлагают множество решений, включая Kerberos, информационные карточки Microsoft Windows CardSpace, средства единого входа в систему, — напоминает он. — Все они, конечно, уязвимы в точке первоначальной регистрации, которую поэтому необходимо надежно защищать. Другой способ предполагает замену паролей чем-то более надежным, например криптографическими ключами у клиента или врeменными секретными атрибутами наподобие одноразовых паролей. Уже предлагаются решения с открытым кодом на основе информационных карточек (проект Higgins) и разовых паролей (OATH), так что остается только встроить их в свою инфраструктуру". В число наиболее перспективных с точки зрения массового использования технологий он включает распознавание голоса и относящийся к поведенческим характеристикам пользователя анализ характера нажатия клавиш на компьютерной клавиатуре.
"Биометрию лучше всего применять для разблокировки персонального устройства, — уверен Блэкли. — А когда это сделано, можно воспользоваться более надежными способами, включая криптографические протоколы, механизмы одноразовых паролей и множество других технологий аутентификации".
