Проверка идентичности: новый тест Тьюринга

Нужно искать способ цифровой идентификации, который заслуживал бы доверия и был достаточно эффективным с точки зрения провайдеров, оставаясь при этом удобным для клиентов


12:15 01.02.2017   |   3080 |  Андре Бойзен |  Network World, США

Рубрика Предприятие



По иронии судьбы злоумышленники чаще отвечают отвечают на вопросы, задаваемые системами идентификации онлайн-сервисов, чем легитимные клиенты.

Смотрели ли вы фильм «Из машины» (Ex machina. — Прим. перев.), эту увлекательную историю про миллиардера-затворника из Кремниевой долины, в которой искусственный интеллект представлен в виде весьма симпатичного робота? Сюжет относит нас к тезису, выдвинутому еще в 1950 году Аланом Тьюрингом, отцом современной компьютерной науки, который предложил считать искусственным интеллектом такое состояние машины, когда человек не в силах распознать, что общается с роботом, и принимает его за реального собеседника.

Можно провести интересную параллель между тестом Тьюринга и сегодняшним состоянием цифровой идентификации.

Руководитель направления глобальной информационной безопасности Citigroup Боб Блейкли нарисовал весьма занятную модель «столика на троих», иллюстрирующую проблему идентификации.

Итак, представьте себе «стол», за которым собираются интернет-банк, клиент и мошенник. Вам отводится роль интернет-банка, свет выключен, и ваша задача заключается в том, чтобы в ходе беседы определить, кто является клиентом, а кто мошенником. И клиент, и мошенник представляются как Джон Смит, родившийся 2 июля 1960 года. Вы продолжаете задавать вопросы. Однако и мошенник, и клиент весьма убедительно и безошибочно называют свой нынешний и прошлый адреса места жительства, дату рождения, девичью фамилию матери, прежние и текущие ипотечные и автокредиты, учебные заведения, которые они посещали, и любимые цвета.

Такую методику называют аутентификацией на основе знаний (Knowledge-Based Authentication, KBA). Идея ее заключается в том, чтобы задавать вопросы, ответы на которые знают только легитимные пользователи. Это должно упростить прохождение аутентификации клиенту и затруднить ее мошеннику. В действительности же, как ни парадоксально, задача усложняется для клиента и упрощается для мошенника, черпающего нужные сведения из социальных сетей и Интернета. Клиенты не могут пройти тест, например, потому, что забыли, у кого они оформляли последний кредит, мошенник не забывает ничего. Еще печальнее то, что легитимный пользователь не имеет никакого представления о том, что мошенник зарегистрирован в информационных системах под позаимствованными у него учетными данными.

Таково на сегодняшний день состояние цифровой идентификации.

Нужно искать способ, который заслуживал бы доверия и был достаточно эффективным с точки зрения провайдеров сервисов, оставаясь при этом удобным для клиентов. И прежде всего необходимо повышать уровень конфиденциальности частной жизни, а не снижать его.

Классический тест Тьюринга соответствовал предъявляемым к нему требованиям, если искусственному интеллекту не удавалось обмануть человека. Применительно к цифровой идентификации цель заключается в том, чтобы создать аналогичный тест, отвечающий требованиям в тех ситуациях, когда «темная сторона» Сети не может обмануть человека. Цифровая идентификация считается успешной, если человек сохраняет полный контроль над информацией, которую он предоставляет сервису. В настоящее время при оформлении подписки на какой-то сервис клиент должен сообщить определенные данные, которые подтверждали бы его идентичность и обеспечивали доступ к заданным ресурсам при повторных визитах. Чтобы процедура цифровой идентификации была более безопасной, необходимо убедиться в том, что объем и важность предоставляемой информации пропорциональны ценностям, которые вы предполагаете получить от указанного сервиса.

Примером успешного решения задач аутентификации, которое внесло немалый вклад в обеспечение безопасности глобальных платежных систем, являются чипованные карты стандарта EMV, отличающиеся устойчивостью к клонированию и подделке, а также простотой использования PIN-кода из четырех цифр. Банк и пользователь совместно следят за правомерностью использования карт и решением возникающих вопросов. Банковские системы, анализирующие поведение пользователя, оперативно выявляют нехарактерные для него операции и блокируют карты в случае их кражи или утери.

Важнейшая роль в надежной аутентификации отводится вовлечению пользователей в деятельность по совершенствованию защиты. Ключевое значение здесь имеют два условия: во-первых, пользователь должен своевременно обнаруживать появление проблемы, и, во-вторых, оперативно уведомлять о ней доверенный сервис (например, банк). Как правило, клиенты действительно сообщают о том, что сразу бросается в глаза, но зачастую игнорируют нехарактерные операции и мелкие детали, что позволяет злоумышленникам достаточно легко взламывать учетные записи и похищать информацию.

Какими особенностями должны обладать средства цифровой идентификации? Действия пользователей необходимо проектировать таким образом, чтобы они были достаточно простыми и предусматривали активное вовлечение клиентов, обеспечивая при этом надежную защиту от мошеннических транзакций.

Сервисы идентификации, созданные для вещей, мотивация к восстановлению которых у пользователей велика (среди них банковские карты, мобильные телефоны, водительские права), призваны остановить злоумышленников. Попытки выдать себя за легитимного клиента теряют смысл, если взломщикам приходится:

1) похитить пользовательское устройство;

2) пройти в нем процедуру аутентификации;

3) воспрепятствовать попыткам пользователя заблокировать потерянное устройство.

Система идентификации, спроектированная с учетом всего этого, прошла бы тест Тьюринга на идентичность.

Одной из модных тем сегодня является блокчейн – технология, обладающая достаточно высоким потенциалом для того, чтобы стать основополагающим элементом нового подхода к обеспечению конфиденциальности, безопасности и цифровой идентификации потребителей. Коммерческие компании и госструктуры всего мира со всей серьезностью рассматривают методологии ведения распределенного журнала, помогающие внести улучшения в самые разные области. Инновационные подходы предполагается использовать при разработке решений для нового поколения онлайн-сервисов, которые должны способствовать совершенствованию способов идентификации и подтвердить тезис о том, что ждать появления конфиденциальной и безопасной экосистемы цифровой идентификации осталось не так уж долго.

Андре Бойзен — директор по системам идентификации компании SecureKey Technologies


Теги: Информационная безопасность Идентификация Искусственный интеллект Аутентификация
На ту же тему: