Biometria behawioralna

Krzysie_k · 10 Wrzesień 2019 11:35

Brzmi nieco nudno ale potencjał jest. Polecam filmik

A tu trochę więcej o całym projekcie

icanswiftabit · 10 Wrzesień 2019 15:18

To brzmi aż za dobrze. Gdzie jest luka?

Krzysie_k · 10 Wrzesień 2019 16:24

Luka jest taka, że kolejne “coś” będzie zbierało nasze dane i będzie je “gdzieś” przechowywało. No i jak każde zabezpieczenie zapewne i to będzie miało jeszcze kilka innych podatności i 0day’ów. Nic nie jest idealne.

luke-g · 10 Wrzesień 2019 18:54

Generalnie nie jest tak różowo jak na tym filmie. Nie mogę powiedzieć, że na tym temacie zjadłem zęby, ale ‘coś tam wiem’. W mBanku też mi było dane chwilę wewnętrznie siedzieć także fajnie fajnie, ale rzeczywistość taka fajna nie jest.

Coś takiego ma sens działać głównie na komputerze, ale nie na smartfonie, a to tam byśmy sobie tego najprędzej życzyli.

Krzysie_k · 10 Wrzesień 2019 20:52

To prawda. To nie jest tak, że chłopaki nagle odkryli “amerykę” i od teraz wszystko będzie super bezpieczne.
Co nie zmienia jednak faktu, że jeśli algorytm będzie dobrze skonstruowany i faktycznie nauczy się rozpoznawać kto jet kto to pomysł może okazać się przydatny. Ale to jeszcze sporo wody w Wiśle upłynie.

p_m · 12 Wrzesień 2019 22:40

Wydaje mi się, że o nich słyszałem w podcaście Panoptykonu. Pomysł fajny i widzę go jako jakieś usprawnienie systemów bezpieczeństwa, ale nie można (i raczej nigdy nie można będzie) na tym polegać jako głównej metodzie bezpieczeństwa. Poza tym

a bankowość obecnie zdecydowanym krokiem zmierza z desktopu na smartfony właśnie.

voter101 · 13 Wrzesień 2019 00:55

A można wdrożyć zabezpieczenia oparte o U2F, 2FA (nie w postaci kodów SMS) w otwartym standardzie. Zamiast tego widzę banki wolą pójść w takie rozwiązania, które z założenia są dalekie od doskonałości. Nawet power userzy nie mają za dużo pola do ochrony swojej bankowości.

Fajny bajer jako internalowy system do alertów albo do wykrywania data-crawlerów.

luke-g · 13 Wrzesień 2019 04:45

2FA już dawno w dobrych bankach nie jest tak realizowany tylko w formie push’a. Tu problem jest inny. Cały rynek korzysta z rozwiązań Vasco w postaci software tokena, który lekko mówiąc jest niedoskonały, ale to inny temat. Autentykacja jednak wyszła już dawno poza SMSy.

OTP jednak nie da się uniknąć przy parowaniu, Ala aby uniknąć scamu ryzyko jest minimalizowane poprzez np oddzwaniają IVR-y, listy w kopertach czy właśnie hardware tokeny.

W masowym rozwiązaniu lepszy już jest hardware token niż klucz U2F, bo statystyczny człowiek nie wie co z tym zrobić, a bezpieczeństwo jednego i drugiego jest niemal identyczne. Klucz U2F robi dokładnie to samo dla użytkownika niekorporacyjnego.