— Доброе утро! Мне нужен дежурный офицер вашего отделения.
— Что случилось, мадам? У вас проблема? Да не плачьте, пожалуйста! Мы попробуем ее решить! Хотите воды? Чаю? С печеньем?
— Спасибо, господин офицер, вы так добры!
— И все же, пока мы с вами будем пить чай, давайте поговорим о ваших проблемах, ведь я не поверю, что вы просто зашли к нам на чашку чаю. Увы, к нам просто так не заходят. Что случилось? Может мне позвать женщину-офицера, вам будет проще с ней говорить?
— Нет. Не нужно, спасибо! Сегодня утром я шла в свой банк, снять деньги. Но когда пришла, мне сказали, что у меня на счету денег нет! Что я сама сняла их вчера вечером. В банкомате на
— Может у вас кто-то просто украл вашу карту и PIN-код?
— Да нет! Вот моя карта. И банкомат защищен таким образом, что при снятии денег мне не нужен PIN. У меня сканируют радужку глаза и проверяют отпечаток пальца. У нас очень продвинутый на технологиях безопасности банк.
— Хорошо, пройдите в комнату напротив, сержант запишет ваши показания.
Прошло 10 минут.
— Господин комиссар, это уже пятое заявление от вкладчиков этого банка. И все карты привязаны к биометрии. Вам не кажется, что нам нужно запрашивать помощь у столичного офиса?
— Думаю, да. Я сейчас перезвоню туда.
Через час в кабинете Иоганна
— Шеф, СРОЧНО!
— Что случилось на этот раз, Мишель?
— Сбылся кошмар всех экспертов в области информационной безопасности!
— А подробнее?
— Шеф, произошла утечка биометрических данных по вине нескольких правительственных организаций.
— У нас?
— Вы правы. Несколько банков используют для подтверждения транзакций клиентов уникальные персональные номера, присваиваемые каждому гражданину империи в рамках идентификации граждан. Идентификация осуществляется на основе анкетных данных, изображений радужной оболочки глаза и отпечатков пальцев. Эти данные, в частности, используются для аутентификации и авторизации денежных переводов, а также для осуществления платежей.
— И что произошло?
— У этих банков буквально полностью очищены счета более 400 клиентов, использующих такую идентификацию. Очевидно, атаковано наше центральное хранилище уникальных персональных номеров. А сколько информации похищено в результате атаки — мы просто не знаем.
— Действительно кошмар. Самое страшное, что биометрические данные, в отличие от пароля, сменить нельзя. Следовательно, для этих людей биометрию использовать уже нельзя. А самое страшное — неизвестен точный размер утечки. Сколько пострадавших? Кому можно доверять? Кому нельзя? Фактически это крах аутентификации с помощью биометрических данных.
— Да, шеф, теперь я понимаю, почему вы всегда говорили, что аутентификация с помощью биометрических данных — это удобство, а отнюдь не безопасность!
— Да. Я действительно так считаю. Более того, на мой взгляд, взлом баз данных, содержащих биометрические данные, приведет к тому, что придется менять всю систему аутентификации граждан, а это и время, и огромные деньги.
— А что будет с этими несчастными?
— Пострадавшие получат свои деньги из имперского фонда страхования. Но что делать с фондом биометрии? Высылайте наших ребят в хранилище идентификационных номеров. До особого распоряжения система аутентификации работать не будет. Мы должны понять не только как произошла утечка, но и сколько и какие данные ушли наружу.
Прошел месяц. По окончании расследования был сделан вывод, что атака, скорее всего, пришлась на системы резервного копирования. Но идея биометрического распознавания клиента без пароля была закрыта в империи и теперь для проведения платежа все чаще и чаще используются аппаратные генераторы одноразовых паролей в сочетании с биометрией.
Недавно в Индии обнаружилась утечка более 100 млн. уникальных персональных номеров, присваиваемых каждому гражданину в рамках национальной программы идентификации.
А как вы считаете, аутентификация с помощью биометрии — это безопасность или просто удобство?
