Секреты секретности телефонов

Директор по управлению продукцией из Qualcomm Technologies, Inc. (QTI) поделился на сайте этой компании некоторыми мыслями о защите современных телефонов/смартфонов, хотя в самом начале статьи заявлено о личном мнении автора, которое может не совпадать с позицией компании в целом.

Если говорить о разработке действительно защищенного и безопасного смартфона, то сделать его проще простого: такой телефон должен иметь только одну кнопку и набирать только один телефонный номер. Почему? Потому что защита – это искусство ограничения доступа и значит, максимальная защита будет обеспечена при максимальном ограничении доступа, т.е. при одной кнопке вызова одного единственного абонента.

К сожалению, от такого телефона мало пользы, поэтому вторым очевидным выводом станет то, что защита должна быть гибкой. Здесь есть некоторое отличие поведения обычного пользователя в разных ситуациях. На работе, особенно связанной с конфиденциальными данными, человек обычно ответственно относится к соблюдению административных мер безопасности, но в бытовых условиях часто пренебрегает элементарными методами защиты, хотя пользуется смартфоном для покупок, банковских операций, публикаций и других операций, связанных с защитой личной и финансовой информации. Действительно, при выборе между временем автономной работы от аккумулятора и уровнем повышения защиты большинство обычных, рядовых пользователей выберет качественный аккумулятор вместо качественной защиты.

Примером может служить пароль, который пользователь стремится сделать короче и проще, чтобы «подстроить» его под возможности запоминания, данные нам природой. Но хороший и надежно защищенный пароль вовсе не предназначен для запоминания. Поэтому сложный пароль, который трудно взломать/подобрать, не менее трудно запомнить и многие пользователи сохраняют его некоторым способом в телефоне, что мгновенно делает защищенный по уровню сложности пароль простым для доступа злоумышленника. Умножьте на количество разных паролей для разных сайтов и получите в результате на телефоне список паролей ко всем важным для пользователя информационным ресурсам, специально собранным в одном списке для удобного обращения и кражи злоумышленником. В принципе, можно выучить один сложный пароль, но заучить весь список не получится. Вариант использования одного сложного пароля для всех веб-сайтов еще опаснее, поскольку возможна утечка информации с этого самого сайта.

Изначальная причина проблемы с паролями в том, что мы пытаемся заставить человека действовать как бездушный компьютер, но лучше учитывать возможности и желания человека и заставить компьютер действовать так, как это удобно человеку. Когнитивные технологии, подобные машинному обучению, позволяют добиться от компьютеров и смартфонов в частности надежного распознавания личности по уникальным для каждого человека признакам. Для человека такая идентификация (определение) и аутентификация (сопоставление определенному человеку) должна быть простой и удобной, не вызывая никаких проблем, свойственных рассмотренному выше примеру с текстовым паролем. Ведь у людей не возникает никаких проблем с тем, чтобы узнать прохожего на улице и вспомнить, кто он такой.

Именно такую задачу ставят сейчас разработчики перед компьютерами при ограничении доступа с целью защиты от посторонних. Например, многие устройства оснащены биометрическими системами идентификации на основе отпечатка пальца, голоса, сканирования радужной оболочки глаза и даже с определением характерных черт лица вместо ввода текстового пароля. Это неплохо, но заметим, что многие сканеры отпечатков пальцев до сих пор не могут отличить узор на подушечке настоящего пальца от фотографии или слепка. Разумеется, совершенство недостижимо (иначе становится бессмысленной эволюция и технический прогресс), поэтому биометрические методы постепенно совершенствуются. Сейчас планируется многофакторная аутентификация (т.е. идентификация по нескольким признакам), когда в дополнение к перечисленному выше списку биометрических характеристик добавляется дополнительные признаки, от сердечного ритма до химического анализа слюны.

Заметим, что современный смартфон уже имеет все необходимое для многофакторной биометрической аутентификации своего владельца: камера поможет анализировать снимок лица, микрофон пригодится для анализа голоса, а акселерометр и гироскоп могут анализировать характер походки, привычный способ извлечения смартфона из кармана, да мало ли что еще.

Итак, в самом ближайшем будущем ожидаются комплексные технические решения для многофакторной биометрической аутентификации, которая обеспечит надежную и удобную системы защиты смартфонов и личной информации пользователя. Это позволит поднять уровень защиты до порога, необходимого для безопасного сохранения на смартфоне данных банковских карточек или конфиденциальной информации.

Источник:
https://www.qualcomm.com/news/spark/2015/12/08/secret-secure-phone-teach-it-think

Интересные записи