生体認証は防弾ではありません—これを保護する方法は次のとおりです

バイオメトリック認証は、盗んだり偽造したりすることがほぼ不可能であると考えられていることが多く、サイバーセキュリティの武器庫に追加するのに最適です.攻撃者が特定の個人の物理的属性を複製することは困難ですが、生体認証は絶対確実ではありません。

コンピューターのコンテキストでは、生体認証サンプルは、スキャンされてデータ内にエンコードされた物理的属性または行動属性です。生体認証を回避する方法があるだけでなく、すべての生体認証方法が同じように作成されているわけではありません。

Table of contents

生体認証スキャンの仕組みを理解する
バイオメトリクスでセキュリティを強化
すべてのバイオメトリクスが同じように作られているわけではありません
1. フィジカルバイオメトリクス
2. 行動バイオメトリクス
侵害されたバイオメトリクスの結果
セキュリティを強化するためのパスワードと生体認証の階層化
1. Specops Password Policy と Specops uReset を使用してより強力なセキュリティを適用する
生体認証とパスワードを組み合わせてより強力に

生体認証スキャンの仕組みを理解する

生理学的であれ行動的であれ、ソフトウェアはユーザーが提供する生物学的入力をキャプチャします。たとえば、指紋や顔のスキャンなどです。キャプチャされた画像は、ベースラインデータポイントテンプレートを作成します。

キャプチャされたデータは、使用されているデバイスまたはクラウドプラットフォームの内部ハードウェアに保存されます。そのデータは、実際には、特定の生体認証技術用にキャプチャされた画像の生体認証機能を記述して生成されたコードです。

最適なセキュリティのためには、生体認証システムが各アクセスポイントでライブ生体認証を提示することを要求することが理想的です。さらに、バイオメトリクス識別ソリューションは、エントリポイントの唯一のステップであってはなりません。

指紋リーダーなどの生体認証の特徴と、2FA やパスワードなどの従来のアイテムを組み合わせた多要素認証システムをセットアップすると、最適なセキュリティが提供されます。

バイオメトリクスでセキュリティを強化

映画では、悪役がパスワードを推測して侵入したり、アクションヒーローが無意識のうちに誰かの指紋を使用して侵入したりします。生体認証のコピーは、はるかに複雑です。実生活では、盗まれたパスワードや推測されたパスワードは、人の指紋よりもはるかに簡単に入手できます。

脅威アクターがコーヒーカップから指紋を取り出し、シリコン指紋を印刷し、スキャナーにアクセスできない限り、セキュリティで保護されたデータにすぐにアクセスすることはできません。必要な労力は、平均的な攻撃者が費やす労力をはるかに超えています。その意味で、個人の物理的な存在または特定の属性の優れたコピーが必要なため、バイオメトリクスははるかに安全です.

すべてのバイオメトリクスが同じように作られているわけではありません

生物学は気難しいものであり、生体認証についても同じことが言えます。汗をかいた手は、スキャナーが指紋を読み取ることができないことを意味する場合があります。

ほとんどの生体認証システムには、パスワードまたは PIN コードへのフォールバックがあります。 Windows Hello for Business は、 PIN コード (デバイスにローカルに関連付けられている) を使用して生体認証をバックアップします。アクセスを取得する主な方法は指紋ですが、何らかの理由でそれが機能しない場合は、PIN コードを入力してデスクトップを表示します。

攻撃者は、間違った指紋を数回スワイプして、より単純な PIN コードにアクセスする可能性があります。パスワードや PIN コードなどの従来の方法は生体認証のフォールバック方法を提供するため、攻撃者にとって潜在的に安全でない方法があります。

これまで、指紋バイオメトリクスについてのみ言及してきました。これは、最も一般的に使用される方法である傾向があるためです。しかし、物理的なものと行動的なものの両方で、さまざまなタイプがあります。それぞれの方法には長所と短所があり、方法の多様性を理解するためにいくつかを以下にリストします。

フィジカルバイオメトリクス

ほとんどの物理的な生体認証は、2 番目または 1 番目の形式の認証が必要な場合にトリガーされる特定の相互作用です。物理的な生体認証の欠点は、ユーザーが積極的に参加しなければならないことです。

方法	長所	短所
指紋	– 多くの異なるデバイスで使用されるおなじみの方法 – 安価なスキャン技術 – 高速スキャン機能	– 怪我はスキャンを妨げる可能性があります – 偽の指紋でバイパス可能 – 部分的な指紋データへの依存は精度を低下させます
フェイシャル	– 特に電話で広く使用されている方法 – 最小限の操作が必要 – 非接触	– 照明は精度に影響します – 顔のアクセサリーは精度に影響します – 個人の画像を介してバイパスされる可能性があります
声	– 自然なコミュニケーション方法 – 改ざんしにくい独自の方式	– 音声の変更により精度が低下します – バックグラウンドノイズがパフォーマンスに影響を与える可能性があります – 録音がバイパスに使用される可能性があります
網膜/虹彩	– 自然に損傷に対して十分に保護されています – 個人間の高レベルのランダム性	– ほとんどのスキャナーは密接な接触を必要とするため侵襲的 – 低照度でのパフォーマンスへの影響 – スキャナーはより高価です
手のひら静脈	– 光からのスキャンによる非接触・手の状態に左右されない独自の製法	– 高価なスキャン技術 – 一部の発熱はスキャン機能に影響を与える可能性があります

行動バイオメトリクス

行動バイオメトリクスの 1 つの側面は、それらが受動的に収集される傾向があることです。バックグラウンドで収集されたデータは、行動認証を通常のパスワード操作に透過的に追加できることを意味し、追加のユーザー作業なしで 2 番目の要素を提供します。

方法	長所	短所
タッチスクリーンの使用	– モバイルデバイスに適しています – キーボードを使用しない可能性がある人もアクセス可能	– すべてのデバイスにタッチスクリーンがあるわけではありません – タッチスクリーンの状態が品質に影響する場合があります
タイピングダイナミクス	– 主にキーボードで作業する人に便利 – 多くの人にとってなじみのある入力方法	– より大きな入力方法 – ある程度のテキスト入力が必要 – すべてのデバイスにキーボードがあるわけではありません – タッチスクリーンほどアクセスしにくい場合があります
マウスアクティビティ	– キーボードを使用するよりも邪魔にならない – 主に受動的なデータ収集	– すべてのデバイスにマウスがあるわけではありません – タッチスクリーンほどアクセスしにくい場合があります

侵害されたバイオメトリクスの結果

盗まれたパスワードは変更できますが、指紋については同じことが言えません。コンピュータ内にエンコードされているのは、アルゴリズムを介してデータに抽出された固有の指紋です。指紋はデータとして表現および保存されるため、盗まれる可能性があります。

盗まれた人の指紋は、網膜スキャンや手のひらの形状と同じように変更できません。これは、盗まれたバイオメトリクスが恒久的に侵害されることを意味します。侵害された生体認証の結果は、データが盗まれてしまうと元に戻すことができないことを意味します。

セキュリティを強化するためのパスワードと生体認証の階層化

ほとんどの生体認証は多要素認証の一部であり、多くの場合、特定のパスワードによって裏付けられているため、組織はどのようにデータを保護していますか?強力なパスワードポリシーを使用して生体認証を階層化することで、安全なリソースにアクセスするために、侵害された生体認証以上のものを必要とすることが保証されます。

前述のように、代替方法として PIN コードが使用できる場合、長さと複雑さの要件に従って真に強力なパスワードを使用するよりも、はるかに迅速にクラックされる可能性があります。 Windows Hello for Business の場合、攻撃者は特定の物理デバイスにアクセスする必要があります。しかし、パスワードの追加の認証メトリックが追加された場合、攻撃者の仕事は指数関数的に難しくなります.

これはすべて、パスワードの要件がなければ、生体認証方式では不十分であることを意味します。

Specops Password Policy と Specops uReset を使用してより強力なセキュリティを適用する

安全でないパスワードにフォールバックすると、脅威アクターがアクセスするためのゲートウェイが提供されるため、バイオメトリクスだけではシステムを完全に保護することはできません。言うまでもなく、そのモデルに移行するためのコストは、平均的な IT セキュリティ予算が許容するよりも高くなります。

ただし、システムのオーバーホールを必要としないパスワードセキュリティを強化するツールがあります。 Specops Password Policy はActive Directory と統合して、組織のニーズに適合する柔軟なルールセットを含む対象を絞ったポリシーを提供します。

侵害されたパスワード保護アドオンを使用して、以前に盗まれたパスワードが使用されていないことを確認します。さらに、Windows ログイン中に統合されたパスワード要求画面を使用して、パスワードの変更中にユーザーの安全を確保し、必要なパスワードの調整を認識させます。

ユーザーが紛失したパスワードをリセットする必要がある場合があり、このプロセスをより簡単かつ安全にするために、 Specops uReset は複数の加重認証プロバイダーを提供します。すべての方法が同等に安全であると見なされるわけではないため、ユーザーがすぐに作業に戻れるように、複数の方法を組み合わせてください。

パスワードが依然として生体認証で重要であるため、ロックされたアカウントがユーザーを困らせないようにするために、柔軟なリセットプロセスが必要です。これは、在宅勤務のユーザーやハイブリッドオフィスに特に当てはまり、絶え間ないヘルプデスクへの電話を避けるためです。

生体認証とパスワードを組み合わせてより強力に

生体認証は強力ですが、リソースへのアクセスを適切に保護するためには必要以上のものがあります。さらに、生体認証データが盗まれるリスクは、パスワードよりもはるかに長く続きます。

したがって、生体認証と強力なパスワードを重ねることで、高い確率でセキュリティが確保されます。

Specops Password PolicyとSpecops uResetを使用すると、ヘルプデスクへの問い合わせを減らしながら、ロックアウトされた場合でもさまざまな認証方法を使用してアクセスできるようにしながら、柔軟なポリシーを通じてユーザーを安全に保つことで、ユーザーに可能な限り最高のエクスペリエンスを提供します。

Specops Softwareによる後援および執筆