האם הקול שלכם יחליף את הסיסמא שלכם?

המרוץ נמשך למצוא תחליף ל-SecureID. המפתחים שמאחורי הטכנולגיה של SecureID חושפים שיטת אימות חדשה המשלבת גם דגימת קול, במסגרת מערכת תלת-שלבית לאימות הזיהוי.

במסגרת המאבק להקשות על פורצים לפרוץ למערכות מידע רגישות, אחד הממציאים של SecureID הודיע כי פיתח טכנולוגיה המאפשרת לחברות שלהן מאגרי מידע רגישים לזהות את מורשי הגישה באמצעות מערכת תלת-שלבית לאימות. אם עד כה נחשב בטוח להשתמש במערכת דו-שלבית, אשר כוללת את הסיסמא שבוחר המשתמש ובנוסף אליה מספר רנדומלי הנוצר על-ידי מחולל, הנמצא פיזית בידי מורשה הכניסה. אל אלה מציעים עתה להוסיף גם דגימת קול, כגורם אימות שלישי.

RSA טרם החלימה

הפריצות האחרונות למערכות RSA חשפו את מנגנון האבטחה המייצר את ה-SecureID של החברה. מוצר זה היה בשימוש אצל חברות גדולות וידועות, וביניהן גם יצרניות נשקים ואמצעי לחימה אמריקניות. כמה שבועות לאחר הפריצה אל מערכות RSA, התגלתה פריצה חמורה אצל יצרניות נשק ידועות, כגון לוקהיד מרטין ונורת’רופ-גרומן שבמסגרתה נגנב מידע רגיש. לאחר חקירה התברר שהפורצים ניצלו את המידע שנגנב כמה שבועות מוקדם יותר מחברת RSA, בכדי להתגבר על מערכות אימות מורשי הגישה של יצרניות נשקים אלו.

הבעיה שיצרה הפריצה ל-RSA טרם נפתרה. פתרון האימות שהציעה RSA היה פופולרי מאוד, ושימש ארגונים רבים. כעת, ארגונים אלה חשופים עד שיאמצו פרוטוקולי אימות אחרים מאלה שסיפקה להם RSA. מאז היוודע דבר הפריצה החל מרוץ מסביב השעון, לו שותפות RSA וכל מתחרותיה, לפתח את המנגנון היעיל הבא שיאפשר לחברות לספק למורשי גישה מסוימים לגשת אל החומרים שלהם המאוחסנים בשרתי החברה (או במיקום מאובטח אחר), גם אם הם נמצאים מחוץ למתחם המוגן והמאובטח של החברה, ומכל מקום בעולם.

אימות קולי

הטכנולוגיה החדשה שפיתח Kenneth Weiss מציעה לשלב מנגנון של אימות קולי לפני שמחולל המספרים נותן את המספר שלו. יש להדגיש כי לרוב, מחולל המספרים מייצר לא רק מספרים רנדומליים, אלא מכיל בתוך הנוסחא רכיב המושפע מהזמן האמיתי, כך שהסיסמא שמיוצרת על-ידו טובה רק לזמן מסוים, למשל, היא תהיה טובה רק ל-3 דקות מרגע ייצורה. כך, מצמצם מחולל המספרים את הסיכוי שמישהו יוכל להשתמש בסיסמא הזו מאוחר יותר, גם אם היא מאוחסנת במקום כלשהו, או מועתקת מהמשתמש.

אימות קולי לפני מתן הסיסמא אמנם יאפשר למערכת לדעת שמדובר בדגימת קול של אותו אדם, אך טרם נמסרו פרטים כיצד תאובטח טכנולוגיה זו. זאת, משום שדגימת קול של אדם קל מאוד להשיג, מספיק לגשת אליו פנים אל פנים ולומר ‘שלום’, או להתקשר אליו לסלולרי ולדגום את השיחה התמימה עימו. בנוסף, חסרון נוסף שבולט בשלב הזה, בו טרם נחשפו הפרטים המלאים כיצד הטכנולוגיה החדשה תעבוד, היא שהמפתחים רוצים שאת דגימת הקול ניתן לפני שהמחולל מייצר עבורנו את המספר הרנדומלי המוגבל בזמן, והקול יהיה תנאי לקבלתו.

דו-שלבי או תלת?

כלומר, לא מדובר באמת בזיהוי תלת-שלבי, אלא מדובר ביצירת סיסמא קולית כדי לקבל את המספר הרנדומלי. כך ייצא שלאחר שנקבל את המספר הרנדומלי, אנחנו עדיין נכניס את הסיסמא הרגילה שלנו בתוספת למספר הזה, וניכנס למערכת עם שני גורמי אימות בלבד. כדי שהמערכת תהיה תלת-שלבית אמיתית, היא אמורה לדרוש מאיתנו לספק למערכת במקביל ובזמן אמת את הסיסמא שלנו, את המספר הרנדומלי ואת דגימת הקול.

המרוץ לפתח את מערכת האבטחה היעילה הבאה עדיין נמשך. ההצעה של וייס לגבי אימות תלת-שלבי עשויה לספק פתרון חלקי, אך יישומה ביעילות תלוי בקיום שלושה שלבי אימות אמיתיים, עם אפשרות שהגורם הביומטרי לא יהיה בהכרח דגימת קול של מורשה החתימה, אשר, כאמור, עשויה להיות קלה ליירוט.

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "האם הקול שלכם יחליף את הסיסמא שלכם?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
need4steer
Guest

אולי זה יעזור להם לשמור ולשפר את השם והמוניטין שלהם.

wpDiscuz

תגיות לכתבה: