Главная » Технологии

Цифровые отпечатки устройств. Что это и с чем их едят?

Технологии
На чтение 7 мин Просмотров 159 Опубликовано

Google недавно объявила о значительном изменении своей политики конфиденциальности, впервые за 10 лет разрешив использовать отпечатки устройств (fingerprinting) для идентификации пользователей. Это решение вызвало серьезные дебаты в среде экспертов по кибербезопасности и приватности.

Содержание
  1. Цифровые отпечатки
  2. Обеспечение кибербезопасности с помощью цифровых отпечатков
  3. Обнаружение мошеннической активности
  4. Противодействие ботам
  5. Усиление многофакторной аутентификации (MFA)
  6. Контроль доступа
  7. Обнаружение вредоносного ПО
  8. Как бигтехи относятся к цифровым отпечаткам?
  9. Apple
  10. Meta (Facebook и Instagram)
  11. Microsoft
  12. Amazon
  13. Mozilla
  14. Brave
  15. Яндекс
  16. Использование цифровых отпечатков
  17. Конфиденциальность и ограничения
  18. VK (бывший Mail.ru Group)
  19. Использование цифровых отпечатков
  20. Конфиденциальность и пользователи

Цифровые отпечатки

Отпечатки устройств представляют собой уникальный набор данных, собираемых из характеристик браузера, устройства или сети. Эти данные позволяют идентифицировать пользователей без использования cookies или других явных идентификаторов.

Google ранее запрещала использование отпечатков устройств в рамках своей политики конфиденциальности, но новая политика допускает этот метод в целях обеспечения безопасности, а именно для борьбы с мошенничеством и кибератаками

Планируется включение этого механизма уже в феврале этого года!

Однако критики эксперты по приватности предупреждают, что это может стать шагом назад для защиты данных пользователей, так как может привести может привести к усилению трекинга пользователей, что вызовет вопросы у регуляторов, например, в ЕС, где собрались апологеты GDPR. Учитывая, что отпечатки устройств трудно блокировать или удалить, этот метод идентификации считается потенциально более опасным, чем те же самые куки, которые раздражают жуть как при посещении европейских сайтов.

Согласие на обработку куки при посещении европейского сайта
Согласие на обработку куки при посещении европейского сайта

1568 партнеров, которым владельцы сайта, пекущиеся о моей приватности, хотят продать мои данные?! И кнопки «Reject all» нет ;-( Вариант ниже гораздо честнее 🙂

Необычное согласие на обработку куки :-)
Необычное согласие на обработку куки 🙂

Обеспечение кибербезопасности с помощью цифровых отпечатков

Но заметка не про приватность, а про кибербезопасность. Поэтому стоит понимать, как этот способ идентифицировать устройства и пользователей без необходимости использовать традиционные методы, такие как пароли или cookies, может быть использован. Вот несколько примеров:

Обнаружение мошеннической активности

Отпечатки устройств помогают выявлять подозрительные действия, такие как:

  • Многократный вход с разных IP-адресов. Если один и тот же аккаунт используется с устройств с разными отпечатками за короткий промежуток времени, это может указывать на компрометацию компьютера.
  • Аномальная активность. Например, если устройство с определенным отпечатком ранее не взаимодействовало с системой, это может быть сигналом мошенничества.

Противодействие ботам

Цифровые отпечатки позволяют отличать реальных пользователей от автоматизированных ботов. У ботов, как правило, менее разнообразные характеристики устройств (браузеры, шрифты, параметры экрана), что делает их идентификацию более надежной.

Усиление многофакторной аутентификации (MFA)

Если пользователь входит в систему с устройства с неопознанным отпечатком, система может потребовать дополнительный фактор аутентификации, например, одноразовый код через OTP-приложений, аппаратный токен или биометрию.

Контроль доступа

Отпечатки помогают обеспечивать доступ только с доверенных устройств. Например, система может блокировать попытки входа с устройства, отпечаток которого не соответствует зарегистрированным.

Обнаружение вредоносного ПО

Необычные или измененные параметры устройств (например, нехарактерные плагины браузера) могут указывать на наличие вредоносного ПО, что помогает оперативно реагировать на угрозу.

Как бигтехи относятся к цифровым отпечаткам?

Сейчас цифровые отпечатки обсуждаются многими крупными технологическими компаниями, и их подходы к этому вопросу различаются. Вот несколько примеров, как бигтех-компании, помимо Google, рассматривают и используют цифровые отпечатки:

Apple

Apple позиционирует себя как компанию, которая ставит конфиденциальность выше всего, и активно противостоит методам трекинга, включая цифровые отпечатки. В рамках своей политики конфиденциальности компания внедрила следующие меры:

  • Прозрачность отслеживания приложений (App Tracking Transparency, ATT). С 2021 года приложения обязаны запрашивать разрешение у пользователей перед сбором данных для трекинга, включая цифровые отпечатки.
  • Safari. Браузер Apple блокирует использование отпечатков благодаря механизму предотвращения трекинга (Intelligent Tracking Prevention, ITP).

Meta (Facebook и Instagram)

Meta (организация, запрещенная в России) использует методы анализа поведения пользователей, включая отпечатки, чтобы улучшать рекламу. Хотя компания не заявляет об этом прямо, их рекламные алгоритмы зависят от точной идентификации устройств и пользователей. И хотя Meta подвергалась критике за использование таких методов без должной прозрачности, она, возможно, использует отпечатки для связывания пользователей между платформами Facebook и Instagram.

Microsoft

Microsoft интегрирует цифровые отпечатки в своих продуктах, таких как Azure AD и Windows, но с акцентом на безопасность:

  • Azure Active Directory. Использует отпечатки для управления безопасностью устройств, например, для предотвращения доступа неавторизованных пользователей.
  • Windows Hello. Методы биометрической аутентификации зависят от цифровых отпечатков и других данных для безопасной идентификации пользователей.

Amazon

Amazon использует отпечатки для защиты аккаунтов пользователей и предотвращения мошенничества:

  • AWS. Amazon активно разрабатывает технологии защиты учетных записей, включая отпечатки устройств и IP-адресов, чтобы бороться с вредоносной активностью.
  • Amazon.com. Компания отслеживает устройства для персонализации предложений и защиты от мошеннических покупок.

Mozilla

Mozilla выступает против использования цифровых отпечатков и активно лоббирует законы о защите конфиденциальности и работает над созданием стандартов, которые ограничат использование отпечатков:

  • Firefox. Браузер включает защиту от отпечатков, блокируя известные методы, которые пытаются идентифицировать устройства.

Brave

Brave, ориентированный на конфиденциальность браузер, идёт еще дальше:

  • Блокировка отпечатков: Brave включает механизм блокировки отпечатков по умолчанию, делая идентификацию устройств практически невозможной.

А вы не задавались вопросом, как на вас таргетируют рекламу при посещении сайтов, на которых вы заблокировали cookies?

Яндекс и VK, как крупнейшие представители российской IT-индустрии, также используют технологии, которые могут быть связаны с цифровыми отпечатками, но их подходы отличаются и зависят от целей, таких как реклама, персонализация или безопасность. Прямых заявлений о цифровых отпечатках от них немного, но на основе доступной информации можно сделать следующие выводы:

Яндекс

Использование цифровых отпечатков

  • Реклама. Яндекс активно использует собственные технологии таргетинга в рекламных продуктах (например, Яндекс.Директ). Отпечатки могут применяться для связывания пользователей между устройствами или для повышения точности таргетинга без использования cookies.
  • Персонализация. Продукты, такие как Яндекс.Браузер и Яндекс.Музыка, могут использовать информацию об устройствах «для улучшения пользовательского опыта».
  • Яндекс ID. Система единой авторизации может включать механизмы идентификации, аналогичные цифровым отпечаткам, для защиты аккаунтов и предотвращения мошенничества.

Конфиденциальность и ограничения

  • Яндекс заявляет о приверженности защите данных пользователей, однако прозрачность использования таких технологий остается ограниченной.
  • В своем браузере (Яндекс.Браузер) компания внедрила защиту от стороннего трекинга, включая блокировку cookies, что может свидетельствовать об осторожности в применении методов цифровых отпечатков.

VK (бывший Mail.ru Group)

Использование цифровых отпечатков

  • Реклама и таргетинг. VK активно использует данные пользователей для продвижения рекламы в экосистеме ВКонтакте, «Одноклассников» и других сервисов. Цифровые отпечатки могут быть частью инструментов для идентификации пользователей между устройствами и сервисами.
  • Защита аккаунтов. «ВКонтакте» и другие продукты VK используют механизмы для предотвращения несанкционированного доступа, включая информацию об устройствах и их конфигурации.

Конфиденциальность и пользователи

  • VK официально заявляет о защите данных пользователей, но информация об использовании конкретно отпечатков минимальна.
  • Политика конфиденциальности VK и продуктов Mail.ru Group включает пункты, которые допускают использование данных об устройствах для улучшения сервиса, безопасности и рекламы.

Как итог, компании из бигтеха по-разному подходят к цифровым отпечаткам — одни используют их для улучшения сервисов и рекламы, другие фокусируются на защите конфиденциальности и блокировке этой технологии. Кто-то пытается усидеть на двух стульях одновременно, благо внутри бигтехов за рекламу и за безопасность обычно отвечают разные подразделения. В ближайшем будущем, вероятно, тема цифровых отпечатков будет становиться всё более актуальной в связи с ростом законодательства о конфиденциальности в разных регионах мира и усилением давления со стороны пользователей и регуляторов.

Но в корпоративной среде данная технология тоже может найти свое применение для дополнительной идентификации пользователей и обнаружения их компрометации (например, в решениях класса UEBA). Но об этом как-нибудь в другой раз…

аутентификация персональные данные
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.