Il y a quelques mois, les chercheurs en sécurité de 4iQ ont découvert un fichier de 41 gigaoctets vendu sur le web contenant 1,4 milliards de combinaisons de noms d'utilisateur et de mots de passe de services en ligne tels que Netflix, Last.FM, LinkedIn , MySpace, Zoosk, YouPorn, Minecraft, Runescape, et d'autres.
Malheureusement, c'est quelque chose qui arrive souvent. La vente des informations d'identification des utilisateurs reste une affaire très lucrative qui rapporte aux cybercriminels des milliards de dollars chaque année. C'est parce que pour beaucoup d'entre nous, la seule chose qui se dresse entre nos comptes en ligne et les pirates est un nom d'utilisateur et un mot de passe. Cela signifie que dès qu'ils auront obtenu nos informations d'identification sur le web noir, les pirates pourront accéder à nos ressources en ligne les plus sensibles. Et avouons-le, nous sommes très mauvais à l'aide de mots de passe . Nous les réutilisons d'un compte à l'autre, ne les changeons pas souvent, ne les conservons pas sur notre frigo, ou ne choisissons pas quelque chose comme – oui, cela arrive encore -123456.
été développé pour protéger les utilisateurs contre le vol de compte. Mais ils n'ont pas encore été largement adoptés parce que, pour la plupart, ils ajoutent trop d'étapes à l'authentification et introduisent une friction et une complexité que beaucoup d'utilisateurs n'apprécient pas.
Cela reflète une réalité: Nos technologies d'authentification n'ont pas suivi la sensibilité et la valeur de nos services en ligne. Mais cela pourrait changer grâce aux progrès de l'intelligence artificielle. Les algorithmes d'apprentissage automatique et d'apprentissage en profondeur, qui ont été introduits ces dernières années dans de nombreux domaines et industries, ouvriront la voie à une ère où l'authentification devient une expérience fluide qui n'exige pas que les utilisateurs commercialisent la commodité pour la sécurité.
authentification biométrique
Pendant de nombreuses années, les entreprises ont tenté d'utiliser l'authentification biométrique comme la voix, les empreintes digitales, la rétine et les scans de visage comme solutions de rechange aux mots de passe. Mais pour la plupart, ces techniques nécessitaient un matériel coûteux et pouvaient facilement être contournées.
Le problème avec l'authentification biométrique est que c'est comme imprimer votre mot de passe. Par exemple, les pirates étaient facilement capables de contourner les générations précédentes de technologies d'authentification par reconnaissance faciale en utilisant des images fixes, telles que des photos publiques obtenues à partir de Facebook .
Pendant ce temps, ces technologies se brisent rapidement dans de mauvaises conditions d'éclairage ou dans le cas où l'utilisateur change de coiffure ou porte un chapeau. Même les scanners à iris trouvés sur les nouveaux smartphones peuvent être trompés avec du matériel commercial disponible pour tous les utilisateurs.
AI peut ajouter un niveau d'amélioration à l'authentification biométrique qui le rend (presque) infalsifiable et assez intelligent pour éviter irritant l'utilisateur. Un exemple est la nouvelle technologie d'identification d'identification de visage d'Apple d'Apple, trouvée sur son smartphone iPhone X smartphones. Face ID crée un modèle complexe du visage de l'utilisateur en utilisant des capteurs infrarouges et un processeur de réseau neuronal sur le dispositif, une architecture logicielle AI qui cherche des corrélations et des modèles entre différents points de données et les transforme en règles d'application.
Cela signifie qu'au lieu de comparer tout ce qu'il voit dans sa caméra frontale aux images fixes de l'utilisateur, le téléphone fera une comparaison sophistiquée qui prend en compte la forme du visage de l'utilisateur ainsi que d'autres fonctionnalités. Le modèle d'apprentissage en profondeur alimentant Face ID peut fonctionner sous différentes conditions d'éclairage et s'habituer progressivement aux changements subis par le visage de l'utilisateur au fil du temps, comme changer de coiffure, faire pousser une barbe ou porter une écharpe ou un chapeau. Il sera également capable de détecter si un utilisateur est éveillé et conscient et d'empêcher le déverrouillage involontaire du téléphone.
Pour être juste, Face ID n'est pas une solution parfaite . Les pirates ont été capables de le contourner (mais à un coût élevé et dans des circonstances très mystérieuses) et il a tendance à aller de travers s'il n'a pas été bien entraîné (ce qui signifie essentiellement juste après la configuration initiale). Il n'est pas recommandé pour les célébrités et politiciens de très haut niveau (ou les utilisateurs paranoïaques comme moi ), mais pour la plupart des utilisateurs, c'est une alternative fiable et commode aux mots de passe et PIN.
Analyse comportementale
Un des avantages des algorithmes d'IA dans la sécurité de compte d'utilisateur est qu'ils peuvent trouver des comptes potentiellement compromis en temps réel sans casser l'expérience d'utilisateur. Les algorithmes d'apprentissage en profondeur peuvent créer un modèle de comportement en analysant la façon dont l'utilisateur interagit avec une plateforme, comme les heures de connexion, les adresses IP, les périphériques ou encore les actions plus détaillées telles que la frappe, le clic et le défilement. raccourcis
Par la suite, les algorithmes AI surveilleront de manière transparente les interactions futures à l'aide du même compte et du même comportement d'indicateur ou de bloc qui s'écarte de la ligne de base établie. Ce processus est appelé authentification adaptative ou authentification basée sur le risque et exige que les utilisateurs effectuent des étapes d'authentification et de vérification d'identité supplémentaires uniquement si les algorithmes AI de l'application jugent leur comportement suspect.
détecter une augmentation soudaine du téléchargement de documents et de données d'utilisateur dans une application de stockage en nuage; accès anormal aux courriels archivés; un gros achat envoyé à un nouvel endroit; ou peut-être un type de frappe et de cliquage anormal. Dans de tels cas, l'application demandera à l'utilisateur de fournir une preuve supplémentaire de la propriété du compte, par exemple en tapant un code de vérification envoyé à un appareil mobile associé ou une adresse e-mail ou en branchant une clé USB de sécurité.
L'ajout d'intelligence analytique comportementale à la protection de compte en ligne rendra exponentiellement plus difficile pour les mauvais acteurs d'usurper l'identité des utilisateurs. Alors qu'ils pourraient être en mesure d'obtenir des mots de passe à partir du web sombre, les pirates auront beaucoup de mal à imiter tous les comportements et habitudes de l'utilisateur ciblé. Pendant ce temps, les utilisateurs réels auront une expérience ininterrompue et ne seront pas dérangés par des contrôles de sécurité constants dans leur entreprise.
L'avenir de l'authentification
L'explosion des données et de la connectivité offrira de nombreuses possibilités pour les algorithmes IA faire la distinction entre imposteurs et utilisateurs réels. Pour certains, l'avenir de l'authentification pourrait ressembler à un peu effrayant . Et même s'il y aura de nouvelles préoccupations à régler, en particulier sur la protection des données des utilisateurs et de la vie privée, une fois ces obstacles surmontés, l'avenir de l'authentification offrira de nouvelles possibilités et technologies passionnantes.
PwC est globalement reconnu comme un leader en matière de cybersécurité – et prévoit de rester dans cette voie. C'est pourquoi ils cherchent à développer leur équipe avec des gens qui sont naturellement curieux, qui ont un esprit d'investigation et qui cherchent à résoudre les problèmes – tels que l'authentification intelligente. ] Démarrez votre carrière grâce à Cyber Security Fast Track de PwC et entrez dans un environnement de travail extrêmement diversifié où la qualité et l'intégrité de nos produits et services sont d'une importance primordiale. Postuler avant le 14 juillet .
Ce message vous est présenté par PwC .
Publié 13 juillet 2018 – 08:17 UTC
Source link