क्या एक साथ कई बायोमेट्रिक सेंसर उपकरणों के लिए अटूट सुरक्षा का निर्माण करेंगे?

9

यह लेख इमेज वेयर के सीईओ को उद्धृत करता है,

[समाधान] मिलर के अनुसार, मल्टी-मोडल बायोमेट्रिक्स है जो वह दावा करता है कि यह गलत व्यक्ति के लिए कंप्यूटर सिस्टम तक पहुंचने के लिए लगभग असंभव बना देता है।

उनकी कंपनी मौजूदा हार्डवेयर और प्लेटफार्मों का उपयोग करती है, जो आज के मोबाइल उपकरणों पर पाए जाने वाले सामान्य बायोमेट्रिक डेटा सेंसर को रोजगार देने वाले अन्य एल्गोरिदम के साथ भौतिक सुविधा मान्यता एल्गोरिदम (उंगली, हथेली, हाथ और प्रिंट, और चेहरा, आंख, आईरिस) को जोड़ती है।

मेरी आंत की भावना यह है कि वह किसी भी तरह इस पर काबू पा चुका है, लेकिन मैं अपनी उंगली नहीं डाल सकता कि यह क्यों बजता है। यह मुझे लगता है कि अगर एक मल्टी-सेंसर दृष्टिकोण वास्तव में प्रभावी था, तो हम अब तक हर जगह ऐसी रणनीतियों के लिए हार्डवेयर और सॉफ़्टवेयर देखेंगे।

क्या विभिन्न सेंसरों का IoT नेटवर्क एक कुशल और प्रभावी सुरक्षा रणनीति हो सकता है? (मल्टी सेंसर दृष्टिकोण प्रभावी है?)

क्या नुकसान हैं?

security  sensors  machine-learning  biometrics 
grldsndrs
स्रोत

जवाबों:

10

क्या तकनीकी उत्तर यह सुरक्षा अटूट है? कोई नहीं"। प्राथमिक कारण यह है कि बायोमेट्रिक विशेषताएँ रहस्य नहीं हैं। कुछ आसानी से डुप्लिकेट होते हैं, जैसे उंगलियों के निशान , या चेहरे की छवियां । कुछ को बिगाड़ना कठिन है, जैसे कि जलन । लेकिन एक बार बायोमेट्रिक विशेषता कैप्चर करने के बाद, इसे फिर से चलाया जा सकता है। और बायोमेट्रिक विशेषताएँ तय की गई हैं। यदि किसी उपयोगकर्ता की विशेषता कभी भी कॉपी की जाती है, तो आप स्पष्ट रूप से उपयोगकर्ता को यह नहीं बता सकते हैं "हमारे पास एक उल्लंघन है, अपने आईरिस को बदल दें।"

यह बहुत कम संभावना है कि एक औसत चोर एक साथ सभी बॉयोमीट्रिक सेंसर को खराब कर सकेगा। हालांकि, इस तरह के करतब के लिए एक समर्पित, परिष्कृत हमलावर के लिए यह असंभव नहीं होगा।

सेंसर स्पूफिंग के अलावा, सेंसर द्वारा उत्सर्जित डेटा का उपयोग करके पुनरावृत्ति हमले करना संभव हो सकता है। हालांकि, यह कार्यान्वयन पर निर्भर होगा, और कोई भी कंपनी से इस प्रकार के हमले के खिलाफ अपने उपकरणों की सुरक्षा को आर्किटेक्ट करने की उम्मीद करेगा।

यह वह जगह है जहां IoT दृष्टिकोण एक एकीकृत समाधान की तुलना में बदतर सुरक्षा प्रदान कर सकता है। यदि सेंसर एक-दूसरे से असंबंधित हैं, तो एक हमलावर एक डिवाइस पर एक बार में संदेह किए बिना समझौता कर सकता है। हमलावर नकली गमी-भालू फिंगरप्रिंट के साथ अभ्यास कर सकता है जब तक कि वह पूर्ण नहीं हो जाता है, तब वह उस नकली फिंगरप्रिंट का उपयोग करता है जब वह छवि संवेदक को मूर्ख बनाने के लिए फोटो के साथ अभ्यास करता है। एक एकीकृत सेंसर को सभी विशेषताओं को एक ही समय में प्रस्तुत करने की आवश्यकता के लिए मूलरूप से तैयार किया जा सकता है; IoT दृष्टिकोण को एक टुकड़ा फैशन में लागू किया जा सकता है, सिस्टम के बीच अंतराल द्वारा बनाई गई कमजोरियों के साथ।

व्यावहारिक रूप से, यह दृष्टिकोण अभी भी बहुत सुरक्षित लगता है, और एक साधारण पासकोड या एकल बायोमेट्रिक माप की तुलना में बेहतर सुरक्षा होगी।

जॉन खोजकर्ता
स्रोत
1
क्या इस तरह की रणनीति को लागू करने में लगने वाली पूंजी, इस तरह की रणनीति को विफल करने के लिए अनुकूल पूंजी की तुलना करती है?
grursndrs
आपको पहले नुकसान के जोखिमों पर विचार करना होगा, फिर उस पूंजी के खिलाफ मल्टी-फैक्टर बायोमेट्रिक रणनीति को लागू करने के लिए लगने वाली पूंजी की तुलना करें, जो एक अलग रणनीति को लागू करने में कम सुरक्षित हो। मैं $ 250,000 की संपत्ति की रक्षा के लिए $ 25,000 खर्च नहीं कर सकता, लेकिन मैं $ 5,000 खर्च कर सकता हूं। यदि यह $ 10,000,000 की संपत्ति है, तो मैं इसे बचाने के लिए अधिक खर्च करने को तैयार हूं। लेकिन उस मामले में, मैं अपने सुरक्षा बजट को अतिरिक्त-फैंसी सुरक्षा प्रणाली के बजाय बेहतर बीमा कवरेज पर खर्च करना चुन सकता हूं।
जॉन डिस्क्स
इसके अलावा उपयोग में आसानी पर विचार करें। ध्यान रखें कि वैध उपयोगकर्ताओं की परिचालन सुरक्षा लगभग हमेशा सबसे कमजोर कड़ी होती है, क्योंकि उपयोगकर्ता एक ऐसी प्रणाली के लिए वर्कआर्डर बनाएंगे, जिसका उपयोग करना मुश्किल है। बायोमेट्रिक सिस्टम आमतौर पर आसान होता है - थंबप्रिंट रीडर को टच करें, कैमरे में देखें। जिन प्रणालियों का उपयोग करना आसान है, उनका बेहतर अनुपालन होता है, इसलिए आप अधिक सुसंगत सुरक्षा के साथ समाप्त होते हैं। एक फिंगरप्रिंट और एक छवि एक जटिल पासवर्ड की तुलना में बेहतर सुरक्षा प्रदान कर सकते हैं।
जॉन डिटर्स
बायोमेट्रिक्स के प्रतिलिपि बनाने के बारे में महत्वपूर्ण बिंदु, गुप्त नहीं, और अपरिवर्तनीय (लेकिन संभावित रूप से विनाशकारी)। यहां तक ​​कि अगर एक बॉयोमीट्रिक की नकल करना कठिन लगता है, तो अभी सोचें कि पिछले कुछ वर्षों में 3 डी प्रिंटिंग कैसे बदल गई है।
शॉन हुलिएन
2
@grursndrs, यह किसी विशेष बॉयोमीट्रिक को खराब करने की लागत के बारे में नहीं है। यह है कि लागत हमेशा लोगों के रूप में नीचे आती है और नया करती है। नकली उंगलियों के निशान उत्तरोत्तर आसान और सस्ते हो गए जब उत्पादन करने के लिए किसी ने लेटेक्स के बजाय जिलेटिन का उपयोग करने के लिए सोचा, और एक मुद्रित सर्किट बोर्ड पर फिंगरप्रिंट को खोदने के लिए जिसे उन्होंने तब एक साँचे के रूप में इस्तेमाल किया। एक आईरिस स्कैनर को मूर्ख बनाने में आज $ 1000 का खर्च आ सकता है, लेकिन अगर आईरिस स्कैनर सर्वव्यापी हो जाता है, तो कोई व्यक्ति यह पता लगाएगा कि यह लेजर प्रिंटर और पारदर्शी फिल्म के साथ $ 0.50 की सामग्री के साथ कैसे किया जाए।
जॉन डेटर्स 19
2

सबसे पहले, उद्धरण "विविध सेंसर के एक IoT नेटवर्क" के बारे में नहीं, बल्कि मोबाइल उपकरणों को सुरक्षित करने के बारे में प्रतीत होता है, लेकिन कुछ सबक अभी भी खींचे जा सकते हैं।

एक मोबाइल डिवाइस के विपरीत, सेंसर का एक "IoT नेटवर्क" यह अर्थ देता है कि वे सभी एक ही स्थान पर नहीं हैं, इसलिए उपयोगकर्ता को एक बार में उन सभी के निर्णय में अर्हता प्राप्त करने की उम्मीद नहीं की जा सकती है। इसका मतलब यह है कि एक प्रणाली को उपयोगकर्ता की प्रामाणिकता के बारे में बहुत अनंतिम होने की आवश्यकता होगी - प्रभाव में:

आप जो की तरह चलते हैं और जो का पासवर्ड जानते हैं, इसलिए शायद आप जो हैं, और मैं आपको जो की कम महत्वपूर्ण चीजें करने दूंगा, जब तक मुझे संदेह नहीं होगा कि आप जो नहीं हैं, लेकिन कुछ और महत्वपूर्ण करने के लिए आपको जाना होगा यहाँ और ऐसा करो, और वहाँ जाओ और उस में घूरो, और निम्नलिखित वाक्यांश दोहराओ, और ...

लेकिन गंभीर रूप से, और मोबाइल डिवाइस के मामले में आम तौर पर, ऐसी योजना केवल सामने के दरवाजे को सुरक्षित करती है । यह कम से कम तीन अन्य प्रकार की भेद्यता के खिलाफ कोई सुरक्षा प्रदान नहीं करता है।

  • आधुनिक प्रणालियों के खिलाफ कई कारनामे एक दुर्भावनापूर्ण उपयोगकर्ता से नहीं आते हैं, बल्कि एक नेटवर्क, यूएसबी स्टिक या इसी तरह से वितरित किए गए दुर्भावनापूर्ण डेटा से, या तो अनचाहे ट्रैफ़िक के रूप में होते हैं, या अवांछनीय पेलोड उन चीजों पर सवारी करते हैं जो उपयोगकर्ता चाहते हैं। आमतौर पर इस तरह के डेटा डिज़ाइन में सुरक्षा विफलता का फायदा उठाते हैं - या तो एक असुरक्षित वैकल्पिक सुविधा जो कि वहाँ नहीं होनी चाहिए (विंडोज़ ऑटोरन फाइलें) या बफर ओवरफ्लो जैसी क्लासिक गलती-डेटा-फॉर-कोड बग।

  • दोनों IoT सिस्टम और मोबाइल फोन नेटवर्क सर्वर के साथ बहुत अधिक एकीकृत होते हैं, बाद वाले को अक्सर एक ही डेटा या मोबाइल सिस्टम की सुरक्षा की सुरक्षा के लिए क्षमताओं की उच्च डिग्री दी जाती है। एंड-टू-एंड एन्क्रिप्शन और ऑथेंटिकेशन टोकन जैसी अनुपस्थित चीजें सर्वर इंफ्रास्ट्रक्चर के लिए जानी नहीं जाती हैं, सर्वर इंफ्रास्ट्रक्चर का सफल हमला या दुरुपयोग अक्सर डिवाइस की सुरक्षा को दरकिनार कर सकता है।

  • IoT सिस्टम, मोबाइल उपकरणों की तुलना में और भी अधिक, शारीरिक हमले के लिए काफी संवेदनशील हो सकता है। फ़ोन JTAG डीबगर के साथ तैयार पहुँच के विरुद्ध उपयोगकर्ता के डेटा को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली कुंजियों को सुरक्षित करने का प्रयास कर सकते हैं, लेकिन एक IoT सिस्टम जो स्थानीय रूप से रखता है, वह अक्सर इतना डेटा नहीं होता है, जितनी कि विभिन्न चीजों को करने की क्षमता। यह प्रभावी रूप से स्थानीय हमलावर के लिए कोई मायने नहीं रखता है कि IoT डिवाइस का कंप्यूटर हिस्सा कितना सुरक्षित है, अगर वे बस कवर को पॉप कर सकते हैं और आउटपुट रिले को सक्रिय करने के लिए क्लिप लीड का उपयोग कर सकते हैं - या उस मामले के लिए, तारों को काटते हैं एक्ट्यूएटर और उन्हें अपनी बैटरी से स्पर्श करें। या एक हमलावर IoT डिवाइस के सेंसर (हीट सेंसर के नीचे मोमबत्ती, नमी पर गीले स्पंज, आदि) की साइट पर गलत स्थिति बना सकता है, और इसे गलत रीडिंग पर अपलिंक या कार्य करने का कारण बन सकता है।

क्रिस स्ट्रैटन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.