微信关注公众号网络研究观获取更多。
对数字身份验证不太了解的人通常认为生物识别技术是我们所有身份验证问题的答案。
许多人认为身份验证的终极是面部识别,甚至可能是 DNA 分析。
生物识别技术(例如指纹、面部、虹膜、视网膜、静脉、几何、语音、击键、光标移动等)可以是一种很好的身份验证形式。
但您必须选择良好的实现方式,并且无论采用哪种生物识别选项,都存在合理的担忧你选。
以下是生物识别认证的一些常见问题和需要考虑的关键事项。
准确性
大多数生物识别供应商都夸大了其准确性数据。唯一重要的是生物识别解决方案在实际部署条件下的准确性。
在美国,美国国家标准与技术研究院 (NIST) 多年来一直在审查不同生物识别解决方案(主要是指纹和面部识别)的准确性。
任何生物识别供应商或算法创建者都可以提交其算法以供审核。
通常,研究院寻求的准确度目标约为 1:100,000,这意味着每 100,000 次测试出现一个错误。
到目前为止,提交的候选人中没有一个能接近这一点。
最好的解决方案的错误率为 1.9%,这意味着每 100 次测试几乎有 2 个错误。
我曾参与过许多大规模的生物识别部署,我们发现错误率(假阳性或假阴性)远高于 NIST 在最佳情况下(实验室条件测试)所见的水平。
现实世界中的生物识别技术是一个难以攻克的难题。
话虽如此,一些生物识别解决方案比竞争对手准确得多。有些解决方案在同类中排名靠前,而另一些解决方案则排名垫底。
如果您要购买生物识别解决方案,请先试用再购买。
安全与黑客攻击
任何东西都可能被黑客入侵,任何生物识别解决方案都可能被黑客入侵。
任何告诉你不同之处的生物识别供应商都应避免使用,但有些生物识别解决方案比其他解决方案更具弹性。
困难的部分是分辨出差异,当我查看某个生物识别解决方案是否比其竞争对手更安全时,我会寻找以下信息:
● 生物识别解决方案开发人员是否接受过安全开发生命周期 (SDL) 编程培训?大多数都不是,但那些这样做的人将更有可能提供更安全的产品。
● 生物识别供应商是否进行内部代码审查和渗透测试?
● 生物识别供应商是否雇用外部渗透测试人员并参与漏洞赏金计划?
● 该解决方案能抵御中间人攻击吗?
● 该解决方案是否以真实图像形式存储用户的生物识别属性,或者将捕获的生物识别数据转换为其他内容,如果被盗,这些数据对黑客来说是否将不太有用?
● 该解决方案是单因素身份验证还是多因素身份验证 (MFA)?
● 与同类解决方案相比,该解决方案的准确度是否高于平均水平?
生物识别盗窃
最具挑战性的问题之一是如果您的生物识别属性被盗该怎么办。例如,在 2015 年 6 月臭名昭著的 OPM 数据泄露事件中,我的所有 10 个指纹以及其他 560 万人的指纹都被盗了。
任何依赖我指纹的系统如何才能真正知道提交指纹的人是我?
首先,最好将生物特征属性与密码或 PIN 等基于知识的秘密配对。拥有我指纹的攻击者也必须知道我基于知识的秘密。
我还更喜欢不以"纯文本"形式存储我的生物特征属性的生物特征识别系统,这意味着我不喜欢任何获取我的指纹(或面部、视网膜、虹膜等)并将其作为真实、完整的图像存储在数据库中的生物特征识别系统。
我希望生物特征识别系统能够读取我的生物特征属性,然后将其转换为生物特征识别系统可以存储和使用的内容,但如果被盗,对小偷来说毫无意义。
隐私问题和政府入侵
许多国家和企业现在存储了数十亿的指纹和面孔。这可能是为了进行合法的执法场景,但许多隐私倡导者想知道,拥有数十亿人生物识别属性的任何单一实体是否会导致非法滥用。
偏见
生物识别技术可能存在技术偏见。这是由技术引起的偏见。
例如,许多研究表明,生物识别面部扫描仪很难辨别不同肤色的人,因为光线在皮肤上的反射方式以及识别特征和几何形状的能力。
其他情况可能会导致技术偏差。例如,有些人出生时没有指纹(称为皮纹症),有些人出生时没有声音或眼睛。
面部纹身、眼镜、面具和头发也会使面部识别扫描变得复杂。
一些劳动密集型工作会造成更多的"微磨损",这可能会导致指纹扫描仪等出现问题。
最好了解这些潜在的偏差,并尽可能避免或修改解决方案。
生物识别技术在数字身份验证领域中正日益成为重要组成部分,生物识别解决方案有好有坏。
尽量选择更安全、更准确的解决方案。即便如此,也没有哪种生物识别解决方案是不可破解或完美的。
任何考虑生物识别解决方案的防御者所能做的最好的事情就是保持警惕,选择他们能选择的最佳解决方案。