Qu'est-ce que l'authentification biométrique?
Biométrie est un terme technique pour désigner les traits physiques ou comportementaux des humains. L'authentification biométrique est un concept de sécurité des données. Les solutions d'authentification biométrique créent un modèle généré par les données qui représente l'individu. Avec ce modèle et ces informations biométriques, les systèmes de sécurité peuvent authentifier l'accès aux applications et aux autres ressources du réseau. L'authentification biométrique devient rapidement un composant populaire des stratégies d'authentification multifactorielle, car elle combine un authentification forte défi avec un expérience utilisateur à faible friction .
Mots de passe vs biométrie - Qu'est-ce qui est le plus fort?
Les noms d'utilisateur et les mots de passe ont été une mesure de sécurité fondamentale pendant des décennies, mais plus maintenant. De multiples violations très médiatisées dans les principales institutions financières et commerciales ont entraîné le vol et la mise en vente de millions de combinaisons de nom d'utilisateur / mot de passe sur le Dark Web. Combinez cela avec la tendance à répéter les mots de passe sur plusieurs comptes, et l'ampleur de la vulnérabilité devient plus apparente.
Les systèmes d'authentification biométrique sont moins exposés à cette vulnérabilité car les données biométriques de l'utilisateur sont uniques. Il est très difficile pour un attaquant de reproduire frauduleusement l'empreinte digitale ou le balayage de reconnaissance faciale d'un individu lorsqu'il est pris par des solutions robustes avec une forte détection de vivacité / usurpation, et cela ne prend qu'un instant pour que l'utilisateur approprié s'authentifie. À cause de ce, la biométrie est considérée comme plus pratique que les mots de passe et plus sûr.
D'après Gartner, « l'authentification biométrique ne peut pas dépendre et ne dépend pas de la confidentialité des caractéristiques biométriques. En revanche, elle repose sur le fait qu'il est très difficile de se faire passer pour la personne qui doit présenter ces traits à un dispositif de capture (« capteur »). Ce dernier point n'est pas largement connu, ce qui conduit à des idées fausses courantes, renforcées par la détection limitée des attaques de présentation (PAD) dans les appareils grand public et la publicité sur les attaques réussies contre Apple Touch ID, les capteurs de balayage Samsung, la reconnaissance faciale Android, etc. Cela devrait être un message rassurant pour ceux qui sont sceptiques quant à la viabilité à long terme de l'authentification biométrique.
Types de méthodes d'authentification biométrique
Reconnaissance faciale
La reconnaissance faciale est une forme très connue d'authentification biométrique popularisée dans les nombreux drames d'espionnage et contes de science-fiction des médias populaires. Vraiment, cette technologie est enracinée dans notre biologie. Nous utilisons la reconnaissance faciale tous les jours pour identifier nos amis et nos familles et distinguer les étrangers. Lors de l'authentification, les principes de ce processus sont numérisés pour permettre à un smartphone ou un appareil mobile de reconnaître un visage de la même manière.
Un logiciel de reconnaissance faciale analyse la géométrie du visage, y compris la distance entre les yeux, la distance entre le menton et le nez, etc., pour créer un modèle numérique crypté pour vos données faciales. Lors de l'authentification, l'outil de reconnaissance faciale analysera votre visage en temps réel et comparera le modèle à celui stocké dans le système. Mais la reconnaissance faciale évolue , il y a encore des risques impliqués.
Avantages:
- Les appareils mobiles sont largement adoptés et la plupart, sinon tous, ont une caméra.
-
Très peu de configuration. Avec la plupart des appareils mobiles modernes, ces fonctionnalités sont incluses en tant que fonctionnalités standard.
-
La reconnaissance faciale fait partie des modalités d'authentification biométrique les plus pratiques. Regarder dans l'appareil photo de l'appareil implique moins de friction qu'un scan d'empreintes digitales ou un code d'authentification.
Les inconvénients:
-
Tous les systèmes de reconnaissance faciale ne sont pas créés de la même manière. Certains sont plus faciles à usurper que d'autres.
-
Les solutions natives de l'appareil ne sont pas aussi efficaces que les solutions tierces ou propriétaires.
-
Les systèmes de reconnaissance faciale avec «détection active de la vivacité» obligent l'utilisateur à bouger la tête, à cligner des yeux ou à effectuer d'autres actions sur le moment pour vérifier la demande. Ce processus peut être plus facile à analyser et à contourner pour un attaquant et peut rendre l'expérience utilisateur gênante alors que la «détection passive de la vivacité» se produit en arrière-plan, de sorte qu'elle ne gêne pas l'utilisateur et est plus difficile à identifier pour un attaquant. et comprend.
Reconnaissance d'empreintes digitales
Les agents des forces de l'ordre utilisent les empreintes digitales comme moyen d'identification depuis des années. Un lecteur d'empreintes digitales fonctionne sur les mêmes principes, mais l'ensemble du processus est numérisé. Les empreintes digitales de chacun leur sont uniques. Ainsi, en analysant les arêtes et le motif de l'impression, les scanners d'empreintes digitales créent un modèle numérique qui est comparé aux futures tentatives d'authentification.
Avantages:
- Utilisé dans de nombreuses industries
- Parmi les modalités les plus omniprésentes
Les inconvénients:
- Les performances peuvent souffrir en raison de la qualité de l'empreinte digitale ou des conditions actuelles, telles que les doigts humides ou sales.
Reconnaissance oculaire
Contrairement à la croyance populaire, il existe en fait deux méthodes pour scanner l'œil à des fins d'authentification. Le scan tire parti de la reconnaissance de l'iris ou de la reconnaissance de la rétine pour identifier les utilisateurs.
Lors d'une scintigraphie rétinienne, l'authentificateur brille brièvement une lumière dans l'œil pour éclairer le motif unique des vaisseaux sanguins dans l'œil. En mappant ce modèle, l'outil de reconnaissance oculaire peut comparer les yeux d'un utilisateur à un original. Les scans de l'iris fonctionnent de la même manière, mais ils analysent les anneaux colorés trouvés dans l'iris.
Avantages:
- Dans certaines implémentations, la reconnaissance oculaire peut être aussi rapide et précise que la reconnaissance faciale (bien que moins conviviale).
Les inconvénients:
- Il peut être difficile d'obtenir un échantillon pour comparaison en plein soleil (les élèves se contractent).
- En fonction de l'implémentation, il peut nécessiter du matériel spécialisé.
Reconnaissance vocale
La reconnaissance vocale analyse le son de la voix de l'utilisateur. La voix unique de chaque personne est déterminée par la longueur de son tractus vocal et la forme de son nez, de sa bouche et de son larynx. Tous ces facteurs font de l'analyse de la voix de l'utilisateur une méthode d'authentification forte.
Avantages:
- Offre une expérience d'authentification pratique
- Certains logiciels fournissent une phrase à l'utilisateur
Les inconvénients:
- Le bruit de fond peut déformer les enregistrements.
- Le rhume, la bronchite ou d'autres maladies courantes peuvent déformer la voix et perturber l'authentification.
- Dans les scénarios publics, une personne peut se sentir mal à l'aise de parler à haute voix (comme dans un train ou un bus).
Cas d'utilisation de l'authentification biométrique
L'authentification biométrique est utilisée dans une grande variété d'applications dans de nombreux secteurs. Voici quelques exemples de la manière dont ces industries utilisent la biométrie pour améliorer la sécurité et l'efficacité des processus existants.
Voyages et accueil:
Certaines compagnies aériennes et aéroports offrent à leurs passagers la possibilité de s'enregistrer sur leur vol à l'aide de la reconnaissance faciale. De même, les hôtels et les entreprises d'accueil commencent à activer l'auto-enregistrement à l'aide de l'authentification biométrique.
Services bancaires et financiers:
La sécurité et l'authentification sont essentielles dans de nombreux secteurs, mais particulièrement dans les services bancaires mobiles. Les institutions financières utilisent l'authentification biométrique dans le cadre d'une stratégie d'authentification à deux facteurs ou d'authentification multifacteur pour protéger la banque et ses clients contre les attaques de prise de contrôle de compte.
Soins de santé:
L'authentification biométrique sous la forme de scanners d'empreintes digitales, de scanners d'iris et de reconnaissance faciale peut aider les hôpitaux à confirmer l'identité du patient, à garantir que les soignants ont accès aux bonnes informations médicales, et plus encore.
Les mythes biométriques démantelés
Bien que les systèmes d'authentification biométrique gagnent en popularité dans le domaine de la sécurité, il existe encore plusieurs mythes dominants autour de la biométrie qui ralentissent l'adoption. Voici quatre des idées fausses les plus importantes sur l'authentification biométrique:
- Mythe - La technologie biométrique est une atteinte à la vie privée: Il existe une distinction significative entre les options d'authentification biométrique qui obligent l'utilisateur à s'inscrire et la technologie de reconnaissance faciale déployée dans les espaces publics. Les solutions d'authentification biométrique nécessitent le consentement de l'utilisateur de par leur nature même, car l'utilisateur doit d'abord enregistrer leur biométrique. De plus, les images photographiques des visages ne sont pas stockées dans une base de données. Au contraire, un modèle mathématique du visage est chiffré et conservé dans un fichier à des fins de comparaison. Il est essentiellement inutile pour un attaquant même s'il a été volé.
- Mythe - L'identification biométrique peut être trompée par des images et des photographies statiques: Cela peut avoir été vrai dans les itérations plus anciennes ou moins sophistiquées de la technologie d'authentification. Cependant, les solutions d'authentification biométrique modernes incluent des capacités de détection de la vivacité qui peuvent discerner si le trait biométrique présenté est authentique ou si un masque, un modèle, une image ou même une vidéo. Pour s'authentifier, l'utilisateur peut être invité à cligner des yeux ou à tourner la tête, mais d'autres capacités de détection de vivacité fonctionnent entièrement en arrière-plan.
- Mythe - Les modèles biométriques expirent à mesure que l'utilisateur vieillit ou que les fonctionnalités changent: Le problème est qu'au fur et à mesure qu'un utilisateur vieillit, son visage changera lentement au fil du temps jusqu'à ce qu'il ne soit plus enregistré comme une correspondance. Dans les applications d'authentification biométrique, l'utilisateur s'authentifie généralement suffisamment régulièrement pour que ces petits changements d'apparence ne soient pas suffisamment importants pour invalider la correspondance. Au lieu de cela, le modèle mathématique sera mis à jour car il reconnaît les changements d'apparence.
- L'identification biométrique n'est applicable que si l'utilisateur est déjà connu: Biométrie comportementale analyser les façons dont un utilisateur individuel interagit avec son appareil. La façon dont ils tiennent leur téléphone, glissent, tapent sur leur clavier, etc. peuvent être utilisés pour développer un profil avec lequel authentifier un utilisateur ou déterminer le risque relatif d'une transaction. Par exemple, dans un nouveau scénario d'ouverture de compte, la biométrie comportementale peut comparer le comportement du candidat à un pool représentatif d'utilisateurs pour déterminer si le nouveau candidat semble être un utilisateur authentique et légitime, un bot ou un attaquant.
Prenez contact avec nous
Contactez l'un de nos experts en sécurité pour en savoir plus sur la manière dont nos solutions peuvent répondre à vos besoins en matière de sécurité numérique