この記事はImage WareのCEOを引用しており、
[ソリューション]は、マルチモーダルバイオメトリクスであり、悪意のある人物がコンピュータシステムにアクセスすることを事実上不可能にしていると主張しています。
彼の会社は既存のハードウェアとプラットフォームを使用して、物理的特徴認識アルゴリズム(指、手のひら、手とプリント、顔、目、虹彩)を、今日のモバイルデバイスにある一般的な生体認証データセンサーを使用する他のアルゴリズムと接続しています。
私の直感は彼が何とかこれを誇張しているということですが、これが真実ではない理由を指で言えません。マルチセンサーのアプローチが本当に効果的だったとしたら、今ではそのような戦略のハードウェアとソフトウェアがどこにでも見られるように思えます。
多様なセンサーのIoTネットワークは、効率的で効果的なセキュリティ戦略になるでしょうか?(マルチセンサーアプローチは効果的ですか?)
落とし穴は何ですか?
回答:
に対する技術的な答えは、このセキュリティが壊れないことですか?「いいえ」です。主な理由は、バイオメトリック属性が秘密ではないことです。指紋や顔の画像など、簡単に複製できるものもあります。アイリスのように、なりすましが難しいものもあります。ただし、バイオメトリック属性が取得されると、再生することができます。また、生体認証属性が修正されています。ユーザーの属性がコピーされた場合、明らかにユーザーに「違反があったので、虹彩を変更してください」と伝えることはできません。
平均的な泥棒がすべての生体認証センサーを同時に偽装できる可能性はほとんどありません。しかし、熱心な洗練された攻撃者がそのような偉業を設計することは不可能ではありません。
センサーのスプーフィングに加えて、センサーから送信されたデータを使用してリプレイアタックを実行する可能性があります。ただし、これは実装に依存するため、企業はこの種の攻撃に対するデバイスのセキュリティを設計する必要があります。
これは、IoTアプローチが統合ソリューションよりも悪いセキュリティを提供する可能性がある場所です。センサーが互いに無関係である場合、攻撃者は疑いを持たずに一度に1つのデバイスを危険にさらす可能性があります。攻撃者は、完璧になるまで偽のグミの指紋を使って練習することができます。その後、写真の練習中にその偽の指紋を使用してイメージセンサーをだますことができます。統合されたセンサーは、すべての属性が同時に存在することを要求するように設計できます。IoTアプローチは、システム間のギャップによって生じる脆弱性を伴い、段階的に実装することができます。
実際には、このアプローチは依然として非常に安全に聞こえ、単純なパスコードや単一の生体認証測定よりも優れたセキュリティになります。
まず、引用はモバイルデバイスのセキュリティ保護に関するものであり、「多様なセンサーのIoTネットワーク」に関するものではないようですが、いくつかの教訓を引き出すことができます。
モバイルデバイスとは異なり、センサーの「IoTネットワーク」は、センサーがすべて同じ場所にあるわけではないことを意味する傾向があるため、ユーザーは一度にすべてのセンサーの判断に適格であるとは期待できません。これは、システムがユーザーの信憑性について非常に暫定的である必要があることを意味します-実際には:
あなたはジョーのように歩き、ジョーのパスワードを知っているので、たぶんあなたはジョーであり、私はあなたがジョーではないと疑い始めない限り、ジョーのそれほど重要でないことをやらせますが、もっと重要なことをするには、あなたは行かなければなりませんここでこれを行い、そこに行ってそれを見つめ、次のフレーズを繰り返して...
しかし、非常に重要なことであり、モバイルデバイスのケースと同様に、このようなスキームは正面玄関のみを保護します。少なくとも3つのタイプの脆弱性に対する保護は提供されません。
最新のシステムに対する多くの悪用は、悪意のあるユーザーからではなく、ネットワーク、USBスティックなどを介して配信される悪意のあるデータによるものであり、一方的なトラフィックの形式、またはユーザーが望むものに乗る望ましくないペイロードの形で提供されます。通常、このようなデータはデザインのセキュリティ障害を悪用します-存在してはならない安全でないオプション機能(Windows自動実行ファイル)か、バッファオーバーフローのような古典的なコードのデータ誤りバグです。
IoTシステムと携帯電話はどちらもネットワークサーバーと密接に統合される傾向があり、後者は多くの場合、モバイルシステムのセキュリティが保護しようとしている同じデータまたは機能への高度なアクセス権を与えられます。サーバーインフラストラクチャで認識されていないエンドツーエンドの暗号化や認証トークンなどの不在、サーバーインフラストラクチャの攻撃または悪用の成功は、デバイスのセキュリティをバイパスすることのほとんどを達成できることがよくあります。
IoTシステムは、おそらくモバイルデバイスよりもはるかに多く、物理的な攻撃に対して非常に脆弱です。携帯電話は、JTAGデバッガーを使用して、ユーザーのデータを暗号化するために使用されるキーをすぐにアクセスできないように保護しようとする場合がありますが、IoTシステムがローカルに保持するものは、さまざまなことを実行する機能として、それほど多くのデータではありません。ローカルの攻撃者にとって、IoTデバイスのコンピューター部分がどれほど安全であるかは重要ではありません。カバーを外してクリップリードを使用して出力リレーをアクティブにできる場合、またはそのために配線を切断します。アクチュエータと自分のバッテリーにそれらを触れます。または、攻撃者がIoTデバイスのセンサーの場所(熱センサーの下のろうそく、湿気に濡れたスポンジなど)で誤った条件を作成し、それをアップリンクさせたり、誤った読み取り値に作用させたりする可能性があります。