Touch ID и корпоративная идентичность: что в биометрии реально полезно, а что опасно переоценивать

Apple только что анонсировала Touch ID в iPhone 5s - сканер отпечатка пальца прямо в кнопке Home. Для потребительского рынка это значительный шаг: разблокировать телефон стало удобнее, чем вводить PIN. Несколько компаний уже спрашивают, что это означает для корпоративных устройств и для безопасности в целом.

Ответ неоднозначный. Биометрия действительно упрощает жизнь пользователю - и именно поэтому у неё есть место в корпоративной архитектуре. Но переносить удобство потребительского устройства напрямую в корпоративную модель безопасности - значит путать фактор аутентификации с системой идентичности.

Что биометрия делает хорошо

Биометрия решает конкретную проблему: пользователь не запоминает пароль и не несёт физический токен. Вместо этого он использует то, что у него всегда с собой - часть тела.

С точки зрения многофакторной аутентификации отпечаток пальца - это фактор "кто ты есть" в дополнение к факторам "что ты знаешь" (пароль) и "что у тебя есть" (токен, телефон). Добавление такого фактора реально повышает защиту, если остальные факторы тоже присутствуют.

Ещё одно преимущество - снижение трения. Если биометрия заменяет слабый пароль или PIN, который пользователь всё равно бы забыл, безопасность в среднем вырастает. Люди перестают клеить стикеры с паролями на монитор.

Где биометрия не решает проблему

Первая ловушка - биометрические данные нельзя отозвать. Если пароль скомпрометирован, его меняют за минуту. Если скомпрометирован отпечаток пальца - заменить его невозможно. У человека десять пальцев. После этого - ничего.

Вторая ловушка - биометрия аутентифицирует устройство вместе с человеком, а не человека отдельно. Touch ID говорит: "этот телефон разблокирован человеком, чей отпечаток был зарегистрирован". Это не то же самое, что "этот конкретный Иван Петров получил доступ к корпоративному ресурсу в 14:32".

Третья - корпоративные политики управления идентичностью работают на уровне учётных записей, прав доступа и сессий. Биометрика на устройстве пользователя не интегрируется в эту модель автоматически. Нужна промежуточная инфраструктура - MDM, сертификаты, федеративная аутентификация.

Что это меняет для корпоративного контекста

Появление Touch ID - повод пересмотреть не то, нужна ли биометрия, а то, насколько зрела базовая архитектура идентичности в компании.

Если у вас нет единого каталога пользователей, нет политики паролей, нет разграничения доступа по ролям - биометрика не исправит это. Она добавит удобный вход в устройство, за которым по-прежнему стоит хаос. Инфраструктура SSO и федерации идентичности должна быть выстроена до того, как добавлять ещё один фактор поверх неё.

Если базовая инфраструктура есть - биометрика как дополнительный фактор на мобильных устройствах имеет смысл. Она снижает трение для пользователя и не ослабляет общую модель, если оставшиеся факторы сохраняются.

Вопросы для оценки готовности

Прежде чем обсуждать биометрику как элемент корпоративной безопасности, стоит ответить на несколько вопросов:

1. Есть ли у нас единый каталог идентичности - Active Directory, LDAP или аналог?
2. Работает ли многофакторная аутентификация на критичных системах?
3. Есть ли политика управления мобильными устройствами (MDM)?
4. Как мы обрабатываем увольнение сотрудника - насколько быстро отзывается доступ?
5. Как мы логируем доступ к корпоративным ресурсам?

Если на эти вопросы нет уверенных ответов - добавление биометрики в пазл преждевременно. Сначала стоит выстроить основание.

Touch ID - интересный продукт и, вероятно, важный шаг в нормализации биометрики для массовой аудитории. Но удобство для пользователя и зрелость корпоративной модели идентичности - разные измерения.