En un movimiento destinado a mejorar los estándares en los sistemas de verificación de usuarios biométricos, el consorcio de la industria, Alianza Fido, tiene lanzado a programa de certificación de sistemas biométricos.
“El objetivo del Programa de componentes de certificación biométrica es proporcionar un marco para la certificación de subsistemas biométricos que, a su vez, pueden integrarse en autenticadores certificados por FIDO”, escribe en su sitio web.
Si bien los sistemas de verificación biométrica, como los lectores de huellas dactilares, ya se han adoptado ampliamente en el espacio móvil, con Apple introduciendo su biométrico de huellas dactilares, Touch ID, en el iPhone hace cinco años; seguido, el otoño pasado, por un biométrico de reconocimiento facial (Face ID) para su iPhone X de gama alta; la Alianza dice que, hasta ahora, no ha habido una forma estandarizada de validar la precisión y confiabilidad de los sistemas de reconocimiento biométrico en el mercado comercial. Que es donde pretende que entre el nuevo programa de certificación.
Si bien pocos dudarían de la solidez de los componentes biométricos de Apple (y el régimen de pruebas), el mercado de Android enormemente diverso alberga todo tipo de reproductores OEM, lo que inevitablemente aumenta el riesgo de que se introduzcan algunos componentes (y / o procesos) de menor calidad.
Y en los últimos años ha habido muchos ejemplos de biometría mal implementada, especialmente en el espacio móvil, con piratas informáticos capaces de acceder fácilmente a varios dispositivos Android que utilizaban tecnología de reconocimiento facial o de iris de formas trivialmente evitables.
En 2017, por ejemplo, los miembros del Chaos Computer Club utilizaron una impresión de un ojo combinada con una lente de contacto para los escáneres de iris de zorro en el Samsung Galaxy S8. Y ese fue uno de los trucos biométricos más sofisticados. Otros solo han requerido que una selfie de la persona se sostenga frente a un sistema de ‘desbloqueo facial’ para obtener un sésamo fácil de abrir.
Donde entra en juego la Alianza sin fines de lucro, un grupo de la industria cuya junta incluye representantes ejecutivos de seguridad de empresas como Amazon, Google y Microsoft, entre otros, es su misión para reducir la dependencia de las contraseñas para la seguridad digital porque inyectan fricción en la experiencia en línea.
Y la biometría tiende a ser conveniente, dado que está unida a cada persona. Es por eso que han ido encontrando cada vez más su camino hacia los teléfonos inteligentes y todo tipo de otros productos electrónicos de consumo, desde dispositivos portátiles hasta tecnología para automóviles, ayudados por la reducción de los costos de los componentes a medida que crece la adopción de la biometría.
Pero no sirve de nada intentar acelerar la verificación de identidad si las alternativas que se buscan están mal implementadas y terminan dañando activamente la seguridad.
Ciertamente no tiene por qué ser así.
La biometría de Apple no es tan fácil de burlarse. Y mientras Touch ID está vulnerable a la suplantación de identidad, como casi cualquier lector de huellas dactilares, su tecnología Face ID de mapeo de profundidad es, con mucho, la implementación biométrica más sofisticada en el espacio de la electrónica de consumo hasta la fecha. Y no ha sido pirateado de manera significativa (bueno, salvo los ataques de gemelos idénticos / miembros de la familia de apariencia sorprendentemente similar).
Así que claramente hay un mundo de diferencia (y, bueno, costo) entre un sistema de reconocimiento biométrico bien diseñado que pone las consideraciones de seguridad al frente y al centro, frente a las cosas horribles y descuidadas que hemos visto en los últimos años, donde los OEM simplemente se apresuraron a competir.
Ciertamente, la biometría a menudo se ha tratado más como un truco de conveniencia para fines de marketing de dispositivos, en lugar de verse como una ruta para evolucionar (e incluso potencialmente mejorar) la seguridad de los dispositivos.
El programa de certificación de Alliance utiliza laboratorios independientes acreditados para probar que los subcomponentes biométricos cumplen con lo que denomina “estándares de rendimiento reconocidos mundialmente para el rendimiento del reconocimiento biométrico y la Detección de ataques de presentación (PAD)” y, por lo tanto, que son “aptos para uso comercial”.
PAD se refiere a varios métodos que se pueden utilizar para intentar atacar y eludir los sistemas biométricos, como el uso de huellas dactilares de silicio o gelatina, o la implementación de imágenes faciales o de video recolectadas del propietario del dispositivo.
Por lo tanto, parece que la esperanza de la Alianza para el programa es “mejorar” las implementaciones biométricas, o al menos eliminar las cosas realmente estúpidas.
“Para los clientes, como los proveedores de servicios en línea regulados, los OEM y las empresas, proporciona una forma estandarizada de confiar en que los sistemas biométricos en los que confían para el reconocimiento de huellas dactilares, iris, rostro y / o voz pueden identificar de manera confiable a los usuarios y detectar ataques de presentación, ”Escribe.
La velocidad también es otro objetivo, como dice antes de este programa de certificación, la debida diligencia fue realizada por clientes empresariales (o al menos por aquellos “que tenían la capacidad para realizar tales revisiones”), lo que requería que los proveedores biométricos probaran repetidamente el desempeño de cada uno. cliente.
Mientras que los proveedores en el futuro pueden usar el programa para probar y certificar solo una vez para validar el rendimiento de su sistema y reutilizar esa validación de terceros en todo el mercado, obteniendo lo que Alliance considera “ahorros sustanciales de tiempo y costos”.
Al comentar en un comunicado, Brett McDowell, director ejecutivo de Alliance, dijo: “Si bien los mercados de control fronterizo y aplicación de la ley tienen programas de evaluación maduros para sus sistemas biométricos, nos sorprendió que no existiera tal programa para este mercado de consumidores en rápido crecimiento”.
“Dado que la biometría es una opción popular para las aplicaciones móviles y web que implementan la autenticación Fido, existe una creciente necesidad de que esos proveedores de servicios evalúen adecuadamente el riesgo de fraude por dispositivos perdidos o robados”, agregó.
Cuando se le preguntó si el programa se había introducido en respuesta a preocupaciones particulares acerca de la biometría débil del consumidor, dados algunos de los ejemplos mencionados de implementaciones deficientes, McDowell también nos dijo: “Con el surgimiento de cualquier nueva tecnología, existe el riesgo de que algunos proveedores hagan demasiado hincapié características visibles a expensas de las consideraciones de seguridad a medida que se lanzan al mercado.
“Este programa, motivado por nuestra comunidad de servicios en línea, mitiga ese riesgo para la biometría móvil y de escritorio al proporcionar un punto de referencia de nivel comercial y una evaluación de laboratorio independiente para las características de rendimiento y las consideraciones de seguridad de detección de ataques falsos. Otro beneficio del programa es una forma clara para que los proveedores de servicios demuestren el cumplimiento de una fuerte regulación de autenticación, que se está convirtiendo en la norma para los servicios financieros. Se espera que esta tendencia se expanda a otros sectores a medida que se sigan explotando las contraseñas a un ritmo cada vez más alarmante “.
Actualmente, solo un laboratorio ha sido autorizado para realizar pruebas de componentes para el programa.
El laboratorio, iBeta, está ubicado en los Estados Unidos, pero una portavoz de Fido Alliance nos dijo: “La Alianza está trabajando activamente para incorporar laboratorios adicionales”.
Agregó que la Alianza se actualizará esta lista a medida que se agregan más.
Esta publicación se actualizó con un comentario adicional de McDowell
Source link