生物识别技术是当今最流行的趋势之一,它通过更具弹性的身份验证机制来提高安全性和阻止网络攻击。世界不仅面临越来越多的跨设备和系统的网络威胁,冠状病毒大流行还改变了消费者和企业对数字和物理风险的思考方式。从安全的角度来看,生物识别技术具有明显的优势,尤其是在与PIN或安全问题等多种其他因素结合使用时。生物识别技术很难破解,对不良行为者来说具有挑战性,而且从便利的角度来看,个人生物识别信息始终在我们身上这一事实具有很大的优势。从汽车、电子学习、物流、远程医疗等,各行各业的公司越来越多地考虑使用生物识别接口来提高安全性和体验。虽然使用生物识别技术有很多好处,但企业仍必须尽职调查并评估有关隐私和安全的一些挑战和担忧。生物识别技术面临的挑战(1)生物识别信息具有唯一性和不可更改性,一旦被破坏或被盗,则不可逆转。个人生物识别技术虽然有很多优点,比如:可以准确识别信息,但被破解的几率极低,而且很难被复制。但这项前景广阔的新兴技术也是一把双刃剑。如果生物识别信息被泄露,损失将是灾难性的。首先被盗的身份凭证可用于各种形式的盗窃、伪造和犯罪。其次,一个人的生物特征是不可替代的。(2)大规模实施生物识别技术的成本会很高。大规模实施可支持多个位置、设备或人员的生物识别技术是昂贵的。基于AI的生物识别认证(例如人脸或语音认证)所需的硬件、软件、互操作性和云服务并不容易获得,更不用说支持它们所需的培训、通信和服务了。安全资源的成本。(3)安全权衡。虽然生物识别身份验证具有一定的安全优势,但它也在安全领域的其他地方带来了额外的安全问题。终端扫描仪只是其中一个认证节点,数据、服务器、网络的渗透率代表了另一个攻击向量,使不法分子发展诈骗技术,恶意利用AI功能进行模拟,利用社会工程学进行破坏。此外,由于生物识别数据非常昂贵且在暗网上很受欢迎,因此生物识别数据已成为黑客和防御者之间的一个关键问题。(4)错误,不准确。与任何技术一样,不准确的风险是另一个考虑因素。生物识别技术有其自身的一系列机器缺陷,包括训练数据的偏差、由于错误扫描导致身份验证被拒绝、由于手指割伤导致身份验证失败、设备故障或错误、其他生物识别数据的错误识别等等。生物识别技术法律问题的责任不明确。在美国,关于使用生物识别数据的法律非常分散,伊利诺伊州、德克萨斯州、华盛顿州、密歇根州、新罕布什尔州、阿拉斯加和蒙大拿州存在不同的法律。同时,欧盟的GDPR也对敏感数据分类(包括生物识别数据)、可变覆盖范围、可变追索权和判例进行了明确划分,根据不同行业、客户和员工构成规则迷宫,其中有数项法律规定不确定性。尚未完全成熟的技术可能会面临不同的突发事件。除了围绕生物数据和界面的监管灰色地带,新兴技术在与现实世界融合时总会产生意想不到的后果。随着生物识别技术超越人类健康领域,未开发的法律领域将会出现。一名安全黑客使用了一张德国政客拇指的高分辨率照片,并使用商业软件对其进行了重建,以证明通过指纹窃取身份相对容易。最近,CiscoTalos的一项研究发现,某些指纹扫描技术可能会因3D打印而受到质疑。认证方式。数字认证将人们限制在显示屏上,而生物识别技术则打破了数字认证的形式,将其扩展到物理世界。例如:一些生物识别技术(如指纹扫描仪)需要主动触摸,而一些生物识别技术可能不需要人的主动参与(如:语音识别认证)。这些身份验证方式涵盖了广泛的领域,包括嵌入式机器人、汽车、智能家居扫描仪等。在生活的许多领域引入生物识别技术意味着法律必须结合实际情况。不同的应用对不同的群体有不同的要求。法律规则。企业生物识别实施步骤生物识别有很多好处,但这些技术、法律和伦理问题也不容忽视。安全专业人员在评估生物识别技术时必须考虑更广泛的趋势。无论公司在生物识别评估中的地位如何,都建议采取以下步骤:(1)进行全面和持续的尽职调查。与汽车行业相比,医疗行业的生物识别技术可能面临威胁以及不同的技术和法律挑战。综合评估还涉及跨学科方法,汇集了多个领域的专业知识。(2)优先考虑多因素认证。生物识别是许多不同的潜在身份验证因素之一。其他包括PIN、密码和问题等。虽然使用多个身份验证因素会降低便利性,但从安全的角度来看,建议选择生物识别以外的其他因素来保持安全性,同时牺牲较少的便利性。(3)寻找可靠的合作伙伴。生物识别行业充满了开发创新系统和保障措施的公司,有些还参与了更广泛的联盟和标准机构。将技术规范和原则纳入供应商评估。(4)沟通了解更多相关问题。鉴于生物识别技术在技术、标准、法律、治理和社会价值方面的巨大碎片化,公司与用户、联盟、管理层和公民进行更广泛的互动至关重要。谈到生物识别技术,安全永远是第一位的。本文翻译自:https://jessgroopman.wordpress.com/2020/07/20/biometric-security-concerns-span-technical-legal-ethical/
