…in the name of… Security

Współczesne znaczenie biometrii podkreśla jej zautomatyzowane aspekty, które pozwalają na wdrażanie na dużą skalę. Najczęściej cytowaną definicją biometrii jest pewna odmiana „automatycznej identyfikacji osoby na podstawie jej cech fizjologicznych lub behawioralnych”. Termin „biometria” jest generalnie używany jako rzeczownik w odniesieniu do automatycznego rozpoznawania osób na podstawie ich cech fizycznych lub behawioralnych. Termin „biometryczny” może być używany jako rzeczownik w odniesieniu do pojedynczej technologii lub środka (np. Skan palca jest powszechnie stosowaną metodą biometryczną) lub jako przymiotnik, tak jak w przypadku „systemu biometrycznego wykorzystującego zintegrowany sprzęt i oprogramowanie do przeprowadzania identyfikacji lub weryfikacja.” Biometria od dawna jest reklamowana jako możliwe rozwiązanie problemów i luk w zabezpieczeniach innych powszechnie stosowanych metod uwierzytelniania i identyfikacji. Reprezentują wyrafinowane wersje tradycyjnych środków identyfikacji, takich jak osłona umożliwiająca dostęp do użytkownika, którego strażnik rozpoznaje na podstawie wzroku. Biometrię powszechnie definiuje się jako zautomatyzowane metody rozpoznawania / weryfikacji / identyfikacji osób w oparciu o pewne mierzalne cechy fizjologiczne lub behawioralne, takie jak odciski palców, geometria dłoni, kształt twarzy, wzór tęczówki, głos, podpis i tym podobne. Podczas gdy identyfikatory (ID) i klucze uwierzytelniają użytkownika na podstawie tego, co posiada użytkownik, a hasła / osobiste numery identyfikacyjne (PIN) uwierzytelniają użytkownika na podstawie tego, co wie użytkownik, biometria umożliwia uwierzytelnianie i weryfikację tożsamości na podstawie tego, kim jest użytkownik. Ponieważ biometryczne metodologie uwierzytelniania faktycznie opierają identyfikację na fizjologicznych lub behawioralnych „elementach” użytkownika, biometria stanowi jedyną formę uwierzytelnienia, która bezpośrednio uwierzytelnia użytkownika. Biometria ma wiele innych oczywistych zalet w porównaniu z innymi powszechnie używanymi metodami uwierzytelniania. W przeciwieństwie do identyfikatora lub klucza USB, nie można łatwo zgubić lub zgubić odcisku palca lub innych środków biometrycznych. Podobnie, w przeciwieństwie do przypadku z haseł i PIN-ów, nie trzeba pamiętać i nie można zapomnieć o jakiejś fizjologicznej lub behawioralnej charakterystyce. Chociaż środki biometryczne mogą być zagrożone, generalnie biometria jest znacznie trudniejsza do manipulowania poprzez kradzież, fałszowanie, udostępnianie lub niszczenie niż inne powszechnie używane narzędzia uwierzytelniania. Biometria zapewnia również sporą wygodę, w przeciwieństwie do kłopotów z zapamiętywaniem dziesiątek haseł. Chociaż początkowe koszty są dość wysokie, wdrożenie systemów biometrycznych zwykle skutkuje znacznie niższymi kosztami administracyjnymi niż inne metody dostępu ze względu na mniejszą liczbę wezwań do działu pomocy technicznej w celu zresetowania haseł, brak konieczności wydawania zastępczych identyfikatorów itd. Z tych i innych powodów biometria jest postrzegana jako zapewniająca lepsze bezpieczeństwo, zwiększoną wydajność i bardziej wiarygodne zabezpieczenie tożsamości niż inne powszechnie stosowane metody uwierzytelniania / identyfikacji oparte na tym, co posiada użytkownik lub co wie. Teoretycznie prawie każda cecha fizjologiczna i / lub behawioralna człowieka może być wykorzystana jako miara biometryczna. Jednak, aby zmieścić się w realnym, potencjalnie dokładnym i praktycznym systemie biometrycznym, używana biometria powinna również spełniać cztery inne wymagania oferowane przez Jaina i Bolle, Connell, Pankanti, Ratha i Seniora:

1. Uniwersalność. Każda osoba powinna mieć cechę biometryczną.
2. Wyjątkowość. Żadne dwie osoby nie powinny być takie same pod względem cech biometrycznych. Jain zaproponował nieco niższy standard charakteru odróżniającego, zdefiniowany jako „dwie dowolne osoby byłyby wystarczająco różne pod względem cechy”.
3. Trwałość. Dane biometryczne powinny być stosunkowo niezmienne przez dłuższy okres czasu.
4. Kolekcjonalność. Charakterystyka biometryczna powinna nadawać się do pomiaru ilościowego w praktyczny sposób.

Bolle, Connell, Pankanti, Ratha i Senior argumentowali, że biometria powinna mieć również piąty atrybut: akceptowalność, definiowana jako „konkretna populacja użytkowników i ogół społeczeństwa nie powinien mieć poważnych zastrzeżeń co do pomiaru / gromadzenia danych biometrycznych”. Jain argumentował, że praktyczny system biometryczny powinien uwzględniać dwa inne

atrybuty: (1) wydajność, czyli „osiągalna dokładność i szybkość rozpoznawania, zasoby wymagane do osiągnięcia pożądanej wydajności, a także czynniki operacyjne i środowiskowe, które mają wpływ na wydajność” oraz (2) obejście, które „odzwierciedla sposób system można łatwo oszukać przy użyciu oszukańczych metod ”. Wraz z tym tokiem myślenia odkrywamy, że eksplozja BYOD w miejscu pracy otwiera drogę do zarządzania tożsamością i dostępem. Wraz z przejęciem AuthenTec przez Apple w 2012 r., Przypuszczenia szły w parze z propozycją nowego mobilnego urządzenia biometrycznego do użytku wewnątrz i na zewnątrz przedsiębiorstwa. Podczas gdy era BYOD przyniosła atrybut „akceptowalności”, koncepcja Jaina dotycząca właściwych czynników operacyjnych i środowiskowych wciąż istnieje – to, w jakim stopniu zostanie to zaakceptowane, zostanie określone przez to, jak dobrze można nimi zarządzać i scentralizować za pomocą systemów IAM.

Stosowanie niezautomatyzowanych danych biometrycznych sięga początków ludzkiej cywilizacji, kiedy to jednostki zaczęły identyfikować inne osoby na podstawie pewnych cech fizycznych lub behawioralnych. Koncepcja biometrii jako środka uwierzytelniania sięga ponad 2000 lat wstecz. Już w 300 r. p.n.e. garncarze asyryjscy używali odcisku palca jako wczesnej formy identyfikacji marki dla swoich towarów. Stosowanie podpisów odręcznych (kotletów) w klasycznych Chinach to kolejny przykład wczesnej biometrii. W pierwszym przypadku formalnego, prawnego systemu uwierzytelniania biometrycznego, odciski palców były używane do podpisywania umów za panowania dynastii Tang (618–906). Rozwój współczesnych systemów biometrycznych można postrzegać jako wynik wysiłków naukowców kryminalistycznych i organów ścigania w celu zidentyfikowania i sklasyfikowania przestępców pod koniec XIX i na początku XX wieku. W 1882 roku Alphonse Bertillon wprowadził system pomiarów ciała zwany antropometrią w celu identyfikacji przestępców. Ten system okazał się niewiarygodny, ponieważ wykonane pomiary nie były unikalne w skali światowej. Uczeń Bertillona, ​​Edmund Locard, zaproponował później system odcisków palców oparty na pracy Sir Edmonda Galtona do identyfikacji ludzi poprzez analizę unikalnych punktów na grzbietach i porach odcisków palców. System Locarda, który wykorzystywał 12 punktów Galtona, jest do dziś uważany za niezawodny. Ta metodologia leży u podstaw w pełni zautomatyzowanej nowoczesnej biometrii, w tym zintegrowanych zautomatyzowanych systemów identyfikacji odcisków palców (IAFIS) używanych przez organy ścigania. Komercyjne systemy biometryczne (zazwyczaj opierające się na geometrii dłoni) zaprojektowane do użytku w fizycznym dostępie do budynków, pojawiły się w latach sześćdziesiątych i siedemdziesiątych XX wieku. Biometryczne metody identyfikacji i weryfikacji tożsamości, w tym automatyczna analiza odcisków palców i technologie rozpoznawania twarzy, były dostępne i stosowane przez niektóre agencje rządowe / publiczne (np. Organy ścigania, wywiad i bezpieczeństwo narodowe) oraz kilka branż prywatnych (np. Rozpoznawanie twarzy) skanów w kasynach) od lat 60. i 70. Niezależnie od potencjalnych korzyści i zalet w porównaniu z innymi metodami uwierzytelniania, biometria nie była szeroko stosowana, szczególnie w świecie korporacji. Analitycy wymieniają wysokie koszty sprzętu i wdrożenia, problemy technologiczne, słabe punkty określonych danych biometrycznych, brak standardów i opór użytkowników (zwłaszcza obawy o prywatność) jako przyczyny braku wdrożenia. Jednak od lat 90. XX wieku znaczące udoskonalenia technologii biometrycznych, ruch w kierunku standaryzacji, zmiany regulacyjne wymagające od organizacji przyjęcia rygorystycznych kontroli bezpieczeństwa i prywatności oraz znacznie obniżone koszty zachęciły do ​​szerszego zastosowania. Szereg agencji rządowych Stanów Zjednoczonych (np. Departament Bezpieczeństwa Wewnętrznego, Departament Transportu, Departament Obrony, Ceł i Ochrony Granic, Departament Sprawiedliwości, Narodowa Biblioteka Medyczna) i firm w niektórych branżach (np. Służba zdrowia i finanse) znacznie zwiększył wykorzystanie danych biometrycznych w ciągu ostatnich kilku lat – jest to czynnik, który prawdopodobnie zachęci inne organizacje również do przyjęcia biometrii. HP i Lenovo oferują skanery linii papilarnych w swoich komputerach przenośnych, umożliwiając użytkownikom zwiększenie bezpieczeństwa, wymagając przesunięcia palca i hasła (lub po prostu przesunięcia palcem) w celu uzyskania dostępu do plików. Inni producenci komputerów i dostawcy urządzeń peryferyjnych dodali skanowanie odcisków palców do klawiatur komputerowych i / lub opracowali samodzielne skanery linii papilarnych, które łączą się z komputerami przez port uniwersalnej magistrali szeregowej (USB). Niektórzy analitycy postrzegają ataki z 2001 roku na World Trade Center i Pentagon również jako kluczowy bodziec do zwiększonego wykorzystania biometrii do uwierzytelniania i identyfikacji. Ataki terrorystyczne odegrały kluczową rolę w zachęcaniu do adopcji nie tylko dlatego, że zwiększyły obawy firm i agencji o bezpieczeństwo, ale także dlatego, że wpływ i konsekwencje ataków terrorystycznych zdają się obniżyć odporność użytkowników na wykorzystywanie biometrii przez pracodawców i rząd . Innymi słowy, w ten sam sposób, w jaki zagrożenie globalnym terroryzmem zmniejszyło sprzeciw opinii publicznej wobec możliwych naruszeń swobód obywatelskich w wyniku wdrożenia amerykańskiej ustawy PATRIOT Act i innych środków związanych z bezpieczeństwem, wydaje się, że ataki te spowodowały, że wiele osób straciło wrażliwe na potencjalne konsekwencje biometrii, które naruszają prywatność. Boroshok poinformował w 2007 r., Że ankieta sponsorowana przez AuthenTec wykazała, że ​​71 procent konsumentów w USA zapłaciłoby więcej za opcje zabezpieczeń biometrycznych w swoich telefonach komórkowych, a 63 procent konsumentów zapłaciłoby dodatkowy koszt za dodanie tych opcji do ich komputerów osobistych. Zmieniające się środowisko bezpieczeństwa wywołało prognozy szybkiego wzrostu biometrii. W 2004 roku Międzynarodowa Grupa Biometryczna (IBG) przewidziała szybki wzrost branży biometrycznej w ciągu następnych kilku lat, od przychodów w wysokości poniżej 50 mln USD w 2004 r. Do prawie 200 mln USD w 2008 r.2 Pod koniec 2003 r. Analitycy z San Jose w Kalifornii – firma badawcza Frost and Sullivan z siedzibą w USA przewidywała, że ​​aplikacje biometryczne z aplikacji komercyjnych (z wyłączeniem IAFIS Federalnego Biura Śledczego) wzrosną z 93,4 mln USD w 2001 r. Do 2,05 mld USD w 2006 r. – z 700 mln USD (w 2006 r.) przewidywane przed atakami z 11 września 2001 roku. W styczniu 2009 roku IBG opublikowało swoje najnowsze prognozy wzrostu rynku dla branży biometrycznej. Oszacowali, że przychody branży biometrycznej wzrosną z 3,01 mln USD w 2007 r. Do ponad 7,4 mln USD w 2012 r.3 Jest to dalekie od ich początkowej przewidywanej stopy wzrostu opublikowanej w 2004 r. I można ją przypisać brakowi standardów, kwestiom regulacyjnym i grupom zajmującym się prywatnością. który potępił naruszenie ich prywatności przez te urządzenia (IBG nie opublikował publicznie nowszego raportu, więc nie możemy stwierdzić, czy te prognozy zostały spełnione). Pomimo różowych prognoz analityków branżowych, wdrażanie systemów uwierzytelniania biometrycznego nadal pozostaje w tyle. Niektóre firmy nadal powołują się na kwestie związane z kosztami (chociaż te maleją) i obawy dotyczące prywatności, podczas gdy inne wskazują na problemy związane z wdrażaniem biometrii na lotniskach i wśród agencji rządowych. Ogólnie rzecz biorąc, badania firm wskazują, że prognozy dotyczące dramatycznego i szybkiego wzrostu we wdrażaniu biometrii mogą być zawyżone. Potwierdza to niedawne badanie priorytetów wydatków z 2013 r. Opublikowane przez InformationWeek. Spośród 513 firm, które odpowiedziały na ankietę, 13 procent zmniejszyło budżet w stosunku do budżetów na 2012 rok, a 43 procent nie zmieniło swoich budżetów – dla wielu jest to mentalność „rób, co możesz, mając to, co masz”. Jednak mimo to 58 procent ankietowanych chciało ogólnie poprawić swoje bezpieczeństwo. Jednak w innym badaniu przeprowadzonym w 2013 r. Ankieta „Strategic Security Survey” przeprowadzona przez InformationWeek ujawniła, że ​​52 procent z ponad 1000 respondentów chciało poprawić swoje praktyki zarządzania tożsamością i hasłami. Pozorne rozłączenie można przypisać kierownictwu, które chce obniżyć koszty, oraz stale zmieniającemu się światowi przepisów – wielu czeka, aby zobaczyć, jak będzie wyglądał krajobraz, gdy opadnie kurz. Ankieta przeprowadzona przez Forrester Research z 2003 r. Wykazała, że ​​tylko 1% firm wdrożyło systemy biometryczne, tylko 3% miało w toku wdrażanie systemów biometrycznych, tylko 15% testowało dane biometryczne, a 58% ankietowanych nie planowało ich wypróbować. Dziesięć lat później nadal nie widzimy żadnego istotnego przyjęcia uwierzytelniania biometrycznego.

Biometria opiera się na pomiarze i dopasowaniu charakterystycznych cech fizjologicznych i / lub behawioralnych. Te pierwsze opierają się na bezpośrednim pomiarze fizjologicznej charakterystyki jakiejś części ludzkiego ciała. Przykłady fizjologicznych danych biometrycznych obejmują skany palców, dłoni, siatkówki, twarzy i tęczówki. Te ostatnie pośrednio mierzą cechy ludzkiego ciała na podstawie pomiarów i danych pochodzących z działania. Powszechnie używane dane biometryczne behawioralne obejmują skanowanie głosu i sygnatur oraz wzorce naciśnięć klawiszy.

Zapewnienie tożsamości i autentyczności osób jest warunkiem wstępnym bezpieczeństwa i skuteczności w dzisiejszych działaniach organizacyjnych. Intruzi mogą uszkodzić infrastrukturę fizyczną i logiczną, wykraść zastrzeżone informacje, zagrozić konkurencyjnym aktywom i trwałości organizacyjnej. Tradycyjne metody rozpoznawania i identyfikacji, w których jedna osoba identyfikuje drugą na podstawie głosu, wyglądu fizycznego lub chodu, są niepraktyczne, nieefektywne i niedokładne w zakresie współczesnych działań organizacyjnych. Aby sprostać zapotrzebowaniu na szybkie, wydajne i opłacalne uwierzytelnianie, organizacje obecnie polegają głównie na dwóch metodach „czegoś, co wiesz” i „czegoś, co masz” (stosowanych indywidualnie lub łącznie) w celu weryfikacji tożsamości osób uzyskujących dostęp ich fizyczną i / lub logiczną infrastrukturę. Najbardziej niezawodne systemy uwierzytelniania wykorzystują wiele czynników uwierzytelniania.

Kiedyś wyłącznie zakres kompetencji organów ścigania, wywiadu i agencji bezpieczeństwa narodowego, biometria – automatyczne rozpoznawanie ludzi na podstawie ich cech fizjologicznych lub behawioralnych – w końcu weszła do głównego nurtu biznesu jako metoda identyfikacji i uwierzytelniania dostępu do infrastruktury fizycznej i logicznej. . Kiedyś tylko marzenie, biometryczne technologie uwierzytelniania znacznie poprawiły bezpieczeństwo, wygodę i przenośność w porównaniu z innymi powszechnie stosowanymi metodami uwierzytelniania. Wskaźniki przyjęcia są nadal niższe, niż oczekiwali niektórzy specjaliści ds. Bezpieczeństwa; Jednak spadające koszty, ulepszenia technologii, zwiększone potrzeby w zakresie bezpieczeństwa i zmieniające się przepisy rządowe zachęcają do przyjęcia biometrii.

Hasła są szeroko stosowane w praktyce i nadal będą dominującą formą uwierzytelniania użytkowników. Wdrażanie haseł wiąże się z wieloma zagrożeniami, a wiele powszechnie używanych systemów haseł ma poważne luki w zabezpieczeniach. Niemniej jednak środki techniczne mogą złagodzić nieodłączne luki w zabezpieczeniach haseł. Chociaż wymaga to wielkich umiejętności i staranności, przy naszym obecnym zrozumieniu jest technicznie możliwe zbudowanie i wdrożenie silnych systemów uwierzytelniania opartych na hasłach przy użyciu produktów komercyjnych. Prawdziwie nieodłączne ryzyko niewykrytej kradzieży i niewykrytego udostępniania można w znacznym stopniu złagodzić dzięki nowym technologiom, takim jak systemy wykrywania włamań. Niewykryte udostępnianie może być dodatkowo zniechęcane przez system, który łączy tajne dane o wysokiej wartości, takie jak numery kont kart kredytowych, z hasłami. Dostępne są tokeny do generowania haseł jednorazowych lub do bezpośredniej komunikacji z systemami uwierzytelniania. Chociaż koszty spadają, tokeny nadal nie są tak szeroko rozpowszechnione, jak sugerowały wczesne prognozy. Uwierzytelnianie biometryczne jest wdrażane rzadko i na małą skalę, ale oferuje duży potencjał, szczególnie w aplikacjach o wysokim poziomie bezpieczeństwa. Ciekawe nowe badania i aplikacje rozszerzają stosowanie uwierzytelniania (i autoryzacji) na niezaufane sieci między organizacjami federacyjnymi.

Identyfikacja i uwierzytelnianie są podstawą dla prawie wszystkich innych celów bezpieczeństwa w cyberprzestrzeni. W przeszłości problemy te często były postrzegane jako proste, których rozwiązanie zakładano, zanim pojawiły się rzeczywiste kwestie bezpieczeństwa. Ważne standardy bezpieczeństwa komputerowego zostały opublikowane i praktykowane bez zwracania większej uwagi na identyfikację i uwierzytelnianie. W cyberprzestrzeni problemy związane z I&A są poważne i ledwie zaczęto je skutecznie rozwiązywać. Solidna, skalowalna infrastruktura identyfikacji i uwierzytelniania jest niezbędna do osiągnięcia bezpieczeństwa. Technologie takie jak tokeny i biometria mają duże znaczenie obiecujące, ale ich wdrożenie wymaga kosztów infrastruktury zdominowanych przez koszt sprzętu dla czytelników i tym podobnych. W międzyczasie hasła są nadal wzmacniane, ponieważ lepiej rozumiemy rzeczywiste ryzyko związane z ich używaniem i opracowujemy środki techniczne mające na celu ograniczenie tego ryzyka. Fakt, że nowoczesne systemy operacyjne nadal zapewniają proste uwierzytelnianie oparte na hasłach, podatne na ataki słownikowe, słabo odzwierciedla tempo, w jakim technologia bezpieczeństwa jest wdrażana na rynku. Patrząc w przyszłość, można przewidzieć, że zobaczymy mieszankę haseł, danych biometrycznych i tokenów w użyciu, być może w konfiguracjach dwu- lub trójczynnikowych. Biometria i tokeny prawdopodobnie zdominują segment z wysokim poziomem pewności, podczas gdy hasła zdominują segment niższy. Jednym z błędnych przekonań, które specjaliści ds. Bezpieczeństwa powinni starać się rozwiać, jest to, że identyfikacja i uwierzytelnianie wystarczą do poprawy bezpieczeństwa publicznego. Jednak przypisanie komuś wiarygodnej i niezaprzeczalnej tożsamości nie jest w żaden sposób równoznaczne z potwierdzeniem wiarygodności tej osoby. W populacjach zamkniętych, takich jak pule pracowników, pracodawcy mogą sprawdzać pochodzenie potencjalnych pracowników i monitorować wydajność obecnych pracowników; w takich okolicznościach znajomość czyjejś tożsamości przy bramie wejściowej może rzeczywiście poprawić bezpieczeństwo. Jednak gdy mamy do czynienia z dużą liczbą osób, które nie zostały poddane kontroli bezpieczeństwa, np. Potencjalnymi pasażerami linii lotniczych, możliwość ich nazwiska nie mówi nam nic o ich wiarygodności. Fakt, że urzędnik w urzędzie rządowym zerka na faktury za olej opałowy i akt urodzenia przed wydaniem komuś dokumentu tożsamości ze zdjęciem, nie jest podstawą do przypuszczenia, że ​​posiadacz ważnego dokumentu tożsamości jest nieszkodliwym podróżnikiem. Jak zauważyło kilku autorów, jednoznaczna znajomość nazwiska zamachowca-samobójcy siedzącego obok ciebie w samolocie nie jest rozsądną podstawą do samozadowolenia. Timothy McVeigh, bombowiec z Oklahoma City, był doskonale rozpoznawalnym obywatelem Stanów Zjednoczonych, ale mimo to popełnił swoje okrucieństwo. Od 11 września 2001 r. Branża transportu lotniczego jest bardzo publicznym przykładem zarówno trudności związanych z silną identyfikacją i uwierzytelnianiem, jak i wykorzystaniem identyfikacji i uwierzytelniania jako substytutu public relations dla bezpieczeństwa materialnego obejmującego dokładną kontrolę pasażerów. Nieodłączne trudności związane z uwierzytelnianiem stają się oczywiste dla laika oraz dla przywódców politycznych i korporacyjnych. Zapewnienie niezawodnej identyfikacji i uwierzytelnienia w wolnych społeczeństwach jest bardzo trudne, a może nawet niemożliwe. Jako technologowie zdajemy sobie sprawę, że w cyberprzestrzeni nie da się osiągnąć absolutnych gwarancji. Zbyt wielu specjalistów ds. Bezpieczeństwa dąży do osiągnięcia absolutnych celów, a zbyt wiele technologii zabezpieczeń jest sprzedawanych jako silniejsze niż w rzeczywistości. Nasz zawód odniesie ogromne korzyści, jeśli zajmiemy się praktycznymi problemami za pomocą praktycznych, opłacalnych technik i rozwiniemy rozsądną dyscyplinę bezpieczeństwa, która zawiera, ogranicza i łagodzi nieuniknione ryzyko rezydualne, z którym musimy się zmierzyć w każdej sytuacji ludzkiej na dużą skalę.

Jedną z częstych odpowiedzi specjalistów ds. Bezpieczeństwa w dyskusjach na temat identyfikacji i uwierzytelniania przy użyciu czegokolwiek innego niż hasła jest to, że koszt zakupu nowego sprzętu jest wygórowany. Jednak hasła nie są darmowe. W analizie kosztów zarządzania hasłami, RSA Data Security, twórców tokena SecurID, szacowane koszty wdrożenia (inicjalizacja kont użytkowników) na około 12 USD na użytkownika w ciągu trzech lat oraz koszty zarządzania (zastąpienie zapomnianych haseł i resetowanie zablokowanych kont) około 660 USD na użytkownika w ciągu trzech lat. Co gorsza, utrwalony błąd większości użytkowników w wyborze silnych haseł (tj. Tych odpornych na zgadywanie, ataki słownikowe i ataki siłowe) sprawia, że hasła są w praktyce słabym trybem uwierzytelniania. Dla porównania uwierzytelnianie oparte na tokenach i uwierzytelnianie biometryczne jest tańsze i skuteczniejsze niż hasła.

Ponieważ coraz więcej systemów i procesów włącza się do Internetu, ludzie oczekują bezproblemowego połączenia organizacji i aplikacji w Internecie. Ponadto stale rosnące ryzyko kradzieży tożsamości sprawia, że ​​osoby i organizacje są bardziej ostrożne w przesyłaniu zbyt dużej ilości informacji o tożsamości przez niezaufaną sieć. W ciągu ostatnich kilku lat wzmożono wysiłki, aby umożliwić łatwą, ale bezpieczną wymianę informacji dotyczących uwierzytelniania i autoryzacji między organizacjami. Korzystając z języka SAML (Security Assertion Markup Language), badacze opracowują metody umożliwiające jednej organizacji dzielenie się wystarczającą ilością informacji między systemami, aby umożliwić transakcję bez naruszania prywatności. Shibboleth, projekt rozpoczęty w 2000 roku jako inicjatywa dotycząca oprogramowania pośredniczącego w Internecie, to projekt typu open source wykorzystujący SAML. Organizacje używające Shibboleth jako podstawy do projektowania nowych federacyjnych implementacji uwierzytelniania i autoryzacji obejmują InCommon i brytyjską Federację Zarządzania Dostępem dla Edukacji i Badań. Aby ułatwić tego rodzaju wymianę informacji, organizacje uczestniczące muszą udostępniać szczegółowe informacje na temat swoich zasad i procedur bezpieczeństwa, aby każda z nich mogła z góry zdecydować, czy będzie ufać potwierdzeniom uwierzytelniania drugiej strony. Ten rodzaj wymiany informacji osiąga się najskuteczniej dzięki politykom i praktykom stosowanym w PKI.

Uwierzytelnianie biometryczne wygląda na doskonałe rozwiązanie problemu uwierzytelniania w cyberprzestrzeni. Istnieje jednak kilka wyzwań związanych z wdrażaniem danych biometrycznych, w tym wady dokładności (wyniki fałszywie dodatnie i fałszywie ujemne), utrata identyfikatorów biometrycznych, bezpieczeństwo szablonów i obawy dotyczące prywatności