就在上个月,有消息传出,一个名为Biostar 2的平台暴露了超过一百万人的生物识别数据,该平台是控制进入建筑物和安全区域的工具。这不是生物识别数据库遭到破坏的第一次。还记得违反OPM的行为吗?确实有超过2000万人经过了美国政府的背景调查-当然,现在拥有该数据的中国黑客也是如此。如何印度公民身份数据库,Aadhaar?媒体报道大量涌入,反对者警告我们对生物识别认证感到恐惧。他们说:“毕竟,您可以更改密码,但不能更改指纹。”
Biostar最近的这一新闻只是向已经建造了多年的大火中添加了汽油。上个月,《华尔街日报》(Wall Street Journal)的一篇文章声称:“生物计量学有其自身的问题,可能比密码更糟。”不过,此类故事遗漏了一个关键点,因此,保持纪录很重要。这里的违规不是生物识别问题,而是集中式生物识别问题。具体而言,当生物识别数据存储在集中式数据库中时,就会出现问题。
生物识别技术本质上是安全的
在当今的网络经济中,私密性和便利性之间是有取舍的。想要更多的便利,准备放弃更多的个人数据。但是在生物特征认证的情况下,不仅是数据,还关系到我们的物理属性。生物特征认证的便利性是否使我们不得不放弃对可能仍然是我们唯一可以称其为“我们”的东西之一的控制?
不,令人惊讶的是,生物特征认证是当今可用的最安全和可用的认证形式之一。如果正确实施,生物识别技术实际上可以成为为数不多的技术之一,无需折衷,这为我们提供了便利和安全。“正确”的实施意味着将我们的生物识别数据置于中央服务器之外,并遵循隐私最佳实践。
的确,您无法更改指纹,但是仅密码(仍是最广泛使用的身份验证形式)是可用的绝对最差的身份验证形式,并且是我们绝大多数数据泄露的根源。生物识别技术可能是我们未来的最佳选择之一,甚至可能会恢复采用两因素身份验证的停滞状态-但是我们不能像密码一样犯同样的错误。
看一下模型:密码已经失去了作用,因为普通消费者拥有90多个帐户,而且经常在多个帐户中使用相同的密码。它们位于易受攻击的服务器上,之后很容易被用于密码喷雾,凭据填充以及其他使罪犯进入您的帐户的攻击(每年要花费数十亿美元进行欺诈)。
是的,生物识别技术很安全。但是将它们存储在服务器上后,我们又回到了开始的位置,但更糟糕的是,因为整个过程“无法更改指纹”。
无需依赖服务器,生物识别数据可以并且应该仅本地存储在用户设备上。许多提供商已经采用这种方法,包括上述Microsoft,Apple和Google的平台。当用于身份验证的生物特征数据存储方法时,提供商应保持透明,不要将其隐藏在TOS中。
生物识别技术可以击败欺骗
除了生物识别存储问题外,生物识别欺骗也引起了警钟。我们所有人都已经看到黑客利用3-D打印机创建复杂的指纹模型并成功进入设备的报道。虽然生物识别方法确实很容易受到表示(或欺骗)攻击的攻击,但在实践中它们极其难以实施,而且最关键的是,它们难以大规模实施。
供应商正在通过在传感器灵敏度方面增加新的创新以及增加新的动态检测功能来解决这个问题。对于一些示例,这涉及到在使用面部识别系统时让用户眨眼,或者使指纹传感器读取到皮肤下方,以获取无法被伪造的指纹欺骗的特征。
欺骗威胁并不意味着我们必须放弃生物识别技术,仅仅是我们需要对黑客所推动的军备竞赛变得现实,并确保建立并遵循生物识别认证的最佳做法。除了仅将生物特征数据存储在设备上之外,服务提供商还需要采取第二步,即利用可利用的技术,该技术可在每次提供生物特征时验证授权用户的个人设备的物理所有权。
采取以下两个步骤–将生物特征数据存储在用户的设备上(并且永远不要让它离开),并要求拥有设备的无可争议的证据–并没有大规模违反生物特征数据的威胁。犯罪分子甚至需要您的生物特征和设备来进行攻击。而且,如果我们对黑客一无所知,那么我们知道,如果黑客无法扩展,他们也不会打扰。
通过采取这些步骤,我们可以毫不折衷地接受生物识别身份验证所带来的便利,并且不必担心失去我们剩下的唯一一部分。