Weryfikacja multimodalna – czym jest i jak łączy się z weryfikacją behawioralną?

W kilku poprzednich wpisach wspominaliśmy o przewagach weryfikacji behawioralnej nad “standardową” weryfikacją. Te rozwiązania nie muszą być jednak alternatywami, a mogą wzajemnie się uzupełniać. Mówimy wtedy o weryfikacji multimodalnej, czyli jak sama nazwa wskazuje – połączeniu dwóch lub więcej danych weryfikacyjnych. Jak działa weryfikacja multimodalna i jakie są jej zalety?

Czym jest weryfikacja multimodalna?

Multimodalny system weryfikacyjny stosuje się w celu zwiększenia poziomu bezpieczeństwa poprzez zwiększenie liczby informacji pobieranych od użytkowników w celu uwierzytelnienia. Wykorzystuje się więcej niż jeden wskaźnik weryfikacyjny, ponieważ wtedy uwierzytelnianie multimodalne jest zdecydowanie trudniejsze do zhakowania.

Przykładem weryfikacji unimodalnej jest czynność zeskanowania odcisku palca, dłoni, twarzy czy tęczówki oka w celu odblokowania dostępu do danego konta/systemu/urządzenia. Jak wiadomo, nie jest to jednak w pełni bezpieczna metoda uwierzytelniania, ponieważ cyberprzestępcy potrafią podrobić dane weryfikacyjne ofiary i wykorzystać je.

Weryfikacja multimodalna polega na jednoczesnej rejestracji kilku składników weryfikacyjnych, a do odblokowania dostępu wymaga ich pomyślnego uwierzytelnienia – może to być jednoczesny skan odcisku palca, tęczówki oka i twarzy. Choć nie jest to rozwiązanie powszechnie stosowane, z łatwością można wyobrazić sobie jego stosowanie np. w przypadku smartfonów, gdzie jednoczesne umiejscowienie palca na ekranie dotykowym i skierowanie wzroku w obiektyw przedniego aparatu nie jest trudnym zadaniem. Zdecydowanie bardziej skomplikowane byłoby zaimplementowanie weryfikacji multimodalnej w komputerach stacjonarnych.

Dlaczego weryfikacja multimodalna jest ważna i czy wykorzystanie danych weryfikacyjnych jest skuteczne?

Koncepcja zastosowania weryfikacji multimodalnej jest podobna do systemu uwierzytelniania wielopoziomowego (MFA), ale trzeba zaznaczyć, że MFA jest zdecydowanie bardziej skutecznym i uniwersalnym rozwiązaniem. Posługując się tym przykładem chcemy pokazać, że zastosowanie kilku różnych czynników weryfikacyjnych, podobnie jak kilku różnych składników uwierzytelniania, utrudnia hakerom zadanie – jeśli uda im się podrobić skan twarzy ofiary, to i tak konieczne będzie jeszcze oszukanie np. skanera odcisków palców. Zadanie trudniejsze, ale nie niemożliwe, o czym warto pamiętać.

Warto pamiętać, ponieważ w przypadku wycieku lub skutecznego podrobienia danych weryfikacyjnych pojawia się bardzo poważny problem – brak możliwości ich zmiany. Nie ma możliwości dokonania korekty odcisków palców czy tęczówki oka, a więc jeśli zostaną one skutecznie użyte przez cyberprzestępców, mogą być wykorzystane również w kolejnych atakach. Oczywiście takie podrobienie danych weryfikacyjnych nie jest proste i wymaga bardzo zaawansowanych umiejętności, ale podkreślamy, że jest to możliwe.

Inną niedoskonałością “standardowej” weryfikacji jest wpływ na User Experience – choć w teorii są to rozwiązania przyjazne dla użytkownika, to w praktyce często zawodzą. Skan twarzy czy tęczówki oka wymaga odpowiedniego światła i czystego obiektywu. Podobnie jak skan odcisku palca, który może nie zostać autoryzowany przez zabrudzenie, skaleczenie czy też zmarznięcie (szczególnie zimą) dłoni. Mimo przyłożenia odpowiedniego palca przez właściciela do czytnika, uwierzytelnianie wykaże niezgodność danych. Dodatkowo w dzisiejszych czasach wykonanie skutecznie skanu twarzy utrudnia wymóg noszenia maseczek ochronnych.

Zalety weryfikacji multimodalnej

Abstrahując jednak na moment od samych czynników wpływających na zawodność “standardowych” danych weryfikacyjnych, najważniejsze przewagi weryfikacji multimodalnej nad unimodalną to:

• Większa dokładność niż w przypadku jakiejkolwiek pojedynczej cechy weryfikacyjnej.
• Zwiększony poziom bezpieczeństwa – trudniej jest sfałszować wiele cech (szczególnie w tym samym czasie) niż jedną.
• Większa elastyczność – jeśli jedna cecha zmienia się lub jest przesłonięta (na przykład skan twarzy wskutek półmroku w pokoju), inne cechy (np. skan odcisku palca) ją rekompensują.

Weryfikacja behawioralna + weryfikacja = weryfikacja multimodalna?

Dochodzimy do meritum naszego wywodu – skoro weryfikacja multimodalna to połączenie kilku różnych czynników weryfikacyjnych, czy jest możliwe zastosowanie jednego z nich (np. skanu odcisku palca) w połączeniu z weryfikacją behawioralną? Odpowiadamy, że tak, takie rozwiązanie mogłoby być stosowane jako alternatywa dla tradycyjnego systemu loginów i haseł, które zostałyby zastąpione przez odcisk palca. Na ten moment to rozważanie czysto teoretyczne, ale z technicznego punktu widzenia – wykonalne.

Nie jest jednak konieczne stosowanie jednocześnie zarówno loginu/hasła, skanu odcisku palca oraz weryfikacji behawioralnej. Jej sposób działania, czyli ciągła weryfikacja zachowań użytkownika sprawia, że jest rozwiązaniem niepodrabialnym i niemal w 100% skutecznym. Możliwość jej łączenia z innymi składnikami weryfikacyjnymi jest jednak ciekawym zagadnieniem, szczególnie w perspektywie optymalizacji UX w procesach uwierzytelniania wieloskładnikowego.