Akankah beberapa sensor biometrik simultan menciptakan keamanan yang tidak bisa dipecahkan untuk perangkat?

Artikel ini mengutip CEO Image Ware,

[Solusinya] menurut Miller, adalah biometrik multi-modal yang menurutnya membuatnya hampir mustahil bagi orang yang salah untuk mengakses sistem komputer.

Perusahaannya menggunakan perangkat keras dan platform yang ada, menghubungkan algoritme pengenalan fitur fisik (jari, telapak tangan, dan sidik jari, dan wajah, mata, iris) dengan algoritme lain yang menggunakan sensor data biometrik umum yang ditemukan pada perangkat seluler saat ini.

Perasaan saya adalah bahwa ia telah melebih-lebihkan ini entah bagaimana, tetapi saya tidak bisa meletakkan jari saya pada mengapa ini berdering tidak benar. Sepertinya saya bahwa jika pendekatan multi-sensor benar-benar efektif, kita akan melihat perangkat keras dan perangkat lunak untuk strategi seperti itu di mana-mana sekarang.

Dapatkah jaringan IoT dari beragam sensor menjadi strategi keamanan yang efisien dan efektif? (Apakah pendekatan multi-sensor efektif?)

Apa jebakannya?

Jawaban teknis untuk apakah keamanan ini tidak bisa dipecahkan? Tidak". Alasan utama adalah bahwa atribut biometrik bukan rahasia. Beberapa mudah digandakan, seperti sidik jari , atau gambar wajah . Beberapa lebih sulit untuk dipalsukan, seperti iris . Tetapi begitu atribut biometrik ditangkap, ia dapat diputar ulang. Dan atribut biometrik diperbaiki. Jika atribut pengguna pernah disalin, Anda jelas tidak bisa memberi tahu pengguna "kami telah melakukan pelanggaran, ubah iris Anda."

Sangat tidak mungkin bahwa pencuri rata-rata akan dapat menipu semua sensor biometrik secara bersamaan. Namun, tidak akan mustahil bagi penyerang yang berdedikasi dan canggih untuk merekayasa prestasi semacam itu.

Selain sensor spoofing, dimungkinkan untuk melakukan serangan replay menggunakan data yang dipancarkan oleh sensor. Namun, ini akan tergantung pada implementasi, dan orang akan mengharapkan perusahaan untuk merancang keamanan perangkat mereka terhadap jenis serangan ini.

Di sinilah pendekatan IoT mungkin memberikan keamanan yang lebih buruk daripada solusi terintegrasi. Jika sensor tidak berhubungan satu sama lain, penyerang dapat membahayakan satu perangkat pada satu waktu tanpa menimbulkan kecurigaan. Penyerang dapat berlatih dengan sidik jari gummi-bear palsu sampai ia mendapatkan yang sempurna, kemudian ia menggunakan sidik jari palsu itu sementara ia berlatih dengan foto untuk menipu sensor gambar. Sensor terintegrasi dapat dirancang agar semua atribut hadir pada saat yang sama; pendekatan IoT dapat diimplementasikan secara bertahap, dengan kerentanan yang diciptakan oleh kesenjangan antara sistem.

Secara praktis, pendekatan ini masih terdengar sangat aman, dan akan lebih aman daripada kode sandi sederhana atau pengukuran biometrik tunggal.

Pertama, kutipan itu tampaknya tentang pengamanan perangkat seluler, bukan tentang "jaringan IoT dengan beragam sensor", tetapi beberapa pelajaran mungkin masih bisa ditarik.

Berbeda dengan perangkat seluler, sensor "jaringan IoT" cenderung menyiratkan bahwa mereka tidak semuanya berada di tempat yang sama, sehingga pengguna kemungkinan tidak dapat diharapkan memenuhi syarat dalam penilaian mereka semua sekaligus. Ini berarti bahwa suatu sistem harus sangat sementara tentang keaslian pengguna - yang berlaku:

Anda berjalan seperti Joe dan tahu kata sandi Joe, jadi mungkin Anda adalah Joe, dan saya akan membiarkan Anda melakukan hal-hal yang kurang penting dari Joe kecuali saya mulai curiga Anda bukan Joe, tetapi untuk melakukan sesuatu yang lebih penting Anda harus pergi di sini dan lakukan ini, dan pergi ke sana dan menatap itu, dan ulangi frasa berikut, dan ...

Namun sama kritisnya, dan sama halnya dengan case perangkat seluler, skema semacam itu hanya mengamankan pintu depan . Ia tidak menawarkan perlindungan terhadap setidaknya tiga jenis kerentanan lainnya.

• Banyak eksploitasi terhadap sistem modern tidak berasal dari pengguna jahat, melainkan dari data berbahaya yang dikirim melalui jaringan, stik USB atau sejenisnya, baik dalam bentuk lalu lintas yang tidak diminta, atau muatan yang tidak diinginkan mengejar hal-hal yang diinginkan pengguna. Biasanya data tersebut mengeksploitasi kegagalan keamanan dalam desain - baik fitur opsional tidak aman yang seharusnya tidak ada (file autorun windows) atau bug kesalahan-data-untuk-kode klasik seperti buffer overflow.

• Baik sistem IoT dan telepon seluler cenderung sangat terintegrasi dengan server jaringan, dengan yang terakhir sering diberikan akses tingkat tinggi ke data yang sama atau kemampuan yang coba dilindungi oleh keamanan sistem seluler. Tidak ada hal-hal seperti enkripsi end-to-end dan token otentikasi yang tidak diketahui oleh infrastruktur server , serangan yang berhasil atau penyalahgunaan infrastruktur server sering kali dapat mencapai sebagian besar dari apa yang dapat melewati keamanan perangkat.

• Sistem IoT, kemungkinan bahkan lebih daripada perangkat seluler, mungkin sangat rentan terhadap serangan fisik. Ponsel mungkin mencoba untuk mengamankan kunci yang digunakan untuk mengenkripsi data pengguna terhadap akses siap dengan debugger JTAG, tetapi apa yang dipegang sistem IoT secara lokal sering kali tidak banyak data, karena kemampuan untuk melakukan berbagai hal. Secara efektif tidak penting bagi penyerang lokal seberapa aman bagian komputer dari perangkat IoT, jika mereka dapat melepas penutup dan menggunakan klip untuk mengaktifkan output relay - atau dalam hal ini, potong kabel yang menuju aktuator dan sentuh mereka ke baterai mereka sendiri. Atau penyerang dapat membuat kondisi palsu di lokasi sensor perangkat IoT (lilin di bawah sensor panas, spons basah pada uap air, dll), dan menyebabkannya uplink atau bertindak berdasarkan pembacaan yang salah.