仅依靠生物识别技术的身份验证不准确且容易被黑客攻击,远非万无一失。突然间,全世界似乎都爱上了生物识别技术——不仅是高端智能手机和笔记本电脑的用户,甚至包括负责全球身份验证解决方案未来的经验丰富的安全专家。在最近一次专注于建立未来身份验证安全标准的行业讨论中,许多与会者将生物识别技术视为一种安全的身份验证解决方案。但现实中可能并非如此。生物识别技术的缺陷生物识别技术在验证人们身份方面远没有人们想象的那么准确和可靠,原因如下:1.生物识别技术不准确大多数人认为生物识别技术非常准确,因为广告就是这么说的:“你的指纹、虹膜、视网膜,掌纹是独一无二的,没有其他人是。”虽然这种说法可能接近真实,但生物特征属性的存储方式远没有真正的生物特征因素那么精细和独特。指纹可能确实在世界上几乎是独一无二的,但为随后的验证和比较而保存的指纹副本可能不一定是独一无二的。指纹(或虹膜、视网膜、人脸等)从测量到存储都不是完全还原的高清图片,而只是对生物识别身份的几个确定性特征(“点”)的测量。例如,指纹被调整为一系列反映主要谷、脊和拐点的点。这些较大的个体差异用点来标记,整个保存下来的指纹看起来更像是星座图,而不是真正的指纹。记录原始生物识别属性的设备和软件只能在这种粒度级别上进行。有时阅读器/扫描器无法在不模糊的情况下看到精细的细节,但大多数时候他们可以看到很多无用的细节。每个人的指纹都有一些非常细小的变化,有的时候可能是指纹的一部分,但更多的时候是暂时的划痕、擦伤、擦伤。如果指纹读取器忠实地记录指纹的每一个细节,很可能今天输入的指纹明天就无法识别。这同样适用于其他生物特征属性,如面部、虹膜、视网膜等。因此生物特征读取器和身份验证器都会将自己重新调整为不太准确。事实上,这种回调通常实现得如此之深,以至于真正的生物特征因子的所谓唯一性最终会匹配多个其他不相关的存储值。一个700人规模的公司,都会有重复的指纹比对。采集指纹时,提示“您的指纹已被记录”的员工,必须用另一根手指输入自己的生物识别信息,以保证指纹的“唯一性”。如果指纹读取器足够精细,可以看到所有真正的差异,就会有太多的误报。即使有意反向调整,也已经有太多错误拒绝。上班时公司指纹签到被验证无数次的情况相信大家都有过。指纹机刚好尽职尽责,已经以最快的速度扫描了呈现在自己面前的生物特征信息,决定是允许还是拒绝。如果人们知道他们的生物识别身份在每次提交时被比较和拒绝了多少次,他们可能真的会明白生物识别系统到底有多不准确。2.出于各种原因,生物识别技术并不适合所有人验证。这并不是说有义眼或天生没有指纹等极其罕见的现象,只是有些人不知道为什么输入指纹后总是匹配不上。或许是他们的身体有些特殊,生物属性变化太快,总是无法顺利通过特定的生物特征验证。这些人只能作为例外排除在生物识别身份验证系统之外,可以通过其他方式验证其身份。3.生物识别不是秘密生物识别与密码或私钥一样,不是秘密。你的生物识别无处不在,指纹无处不在,人脸无处不在,你身边的任何人都可以被捕捉到。没有其他形式的身份验证如此明目张胆且触手可及。这引发了其他问题。4.生物识别数据容易被复制非秘密认证因素的问题在于它们很容易被复制来做坏事。指纹和面部都可以轻松捕获、复制和重复使用。一旦被其他人捕获,依赖这些生物识别属性的系统如何信任您声称的身份?例如,2015年6月,APT组织窃取了560万美国公民的指纹记录。任何曾经申请过美国安全许可的人的指纹都被盗了。在联邦调查局、中央情报局和国家安全局工作的人的指纹也被盗,美国间谍现在可以被自己的指纹出卖。但是生活中有很多场合都必须用到指纹,比如上班签到、签购房合同、申请政府项目等等。我们的指纹已经在不知不觉中进入了多个数据库,比如征信系统、司法机关的指纹数据库。只要这些机构的其中一个数据库被黑,指纹被盗是板上钉钉的事情。复制面孔更容易。我可以数一数我在社交媒体上发布了多少张自拍照。世界各地还有安全摄像头和各种情报机构保存的面部识别数据库。FBI有权访问存储在多个数据库中的4亿多张人脸照片。虽然虹膜和视网膜不像指纹和面部那样被广泛使用,但它们的信息也存储在需要此类生物识别解锁的设备上,也可以被复制和窃取。更糟糕的是,一些组织还在开发“包罗万象”的生物识别数据库,其中包含各种生物识别样本,旨在让他们的机构能够以合法用户的身份呈现和使用生物识别系统可接受的生物识别信息。那种特征信息。一个小小的形象表达就是:帅气的007詹姆斯·邦德先生面对生物识别登录界面,轻轻一按手上小巧玲珑的生物识别信息显示装置,瞬间成为合法用户登录系统或进入密室房间。一个生物识别属性播放器吃掉所有生物识别系统。5.生物识别很容易被愚弄生物识别系统供应商总是吹嘘他们的系统有3D或温度传感器,其他人不可能重新使用被盗/复制的生物识别属性。但通常在广告播出几天后,YouTube上就会出现一些视频,内容是孩子们用廉价材料制作假生物特征来愚弄读者。很少有生物识别产品像宣传的那样防欺诈。制作橡皮泥或纸版画的旧方法今天仍然有效。对着指纹读取器吹热风,可以重新激活上一个用户留下的指纹油印,成功登录。也有制造超级难骗的生物识别扫描仪的供应商,但这些产品通常超级难用,即使是合法用户也很难使用——因为它们速度慢,而且有太多的法律拒绝。生物识别产品声称的整体准确性旨在愚弄不了解其工作原理的天真管理员,或知道但可以接受不准确性的用户。生物识别的两大应用场景生物特征识别,不是很精确,目前看来还可以接受。每天都有成千上万的人使用它来成功验证他们的身份,但这只是因为这种生物识别身份在两个主要用例中运作良好。第一类应用场景是手机、笔记本电脑等个人设备。这类设备的安全要求其实不是很高。用户当然希望保护自己手机上的个人信息,但这并不像在手机上拥有一家公司最有价值的知识产权。如果攻击者得到这样的设备,他们更有兴趣将您的手机重置为出厂设置并出售,而不是试图窃取存储在其中的信息。第二类应用场景是工作场所的生物识别门禁系统。生物识别技术在这种情况下起作用的原因是攻击者不太可能每天都出现在您的工作地点并冒充您。亲自出现意味着他们有被抓到的风险。因此,这种生物认证似乎在安全性和可用性之间取得了良好的平衡。如果生物识别用例扩大,黑客几乎肯定会开始窃取、存储和出售生物识别身份。我们今天的大部分身份验证都是针对远程登录的。毕竟,没有人会去存放托管主机的机房,哪怕是去登录一个web服务器。如果您可以使用生物识别技术远程登录资源,黑客肯定会蜂拥而至。他们将使用您的生物识别技术登录许多网站,就像现在窃取或猜测您的登录名/密码一样,而不会冒被抓到的风险。一旦黑客获得了您的真实生物识别身份,您如何阻止他们使用它?密码可以改,多因素认证token可以更新,但是指纹被盗了怎么办?你只是接受你将无法在你的余生中使用它指纹的事实会通知所有依赖该指纹进行身份验证的系统。多因素身份验证是一种生物识别方法,结合至少一个非生物特征属性的秘密身份验证因素是可以接受的。例如,刷指纹还需要输入PIN码或插入智能卡。生物识别技术可以用作标识符,例如输入登录名或电子邮件地址,以提供便利,但不能作为真实性的唯一认证秘密。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
