生物識(shí)別可以信任嗎
來源:數(shù)字音視工程網(wǎng) 編輯:merry2013 2016-03-14 06:33:47 加入收藏
去年六月,美國人事管理局辦公室(OPM)被指大量工作人員信息泄露,隨后OPM也承認(rèn)內(nèi)部遭到黑客襲擊,重要信息泄露。據(jù)了解,在OPM數(shù)據(jù)泄露事故中,560萬指紋數(shù)據(jù)被盜。這對(duì)生物識(shí)別安全有什么影響?攻擊者能否復(fù)制指紋,并使用復(fù)制指紋來欺騙生物識(shí)別系統(tǒng)以及訪問受害者的設(shè)備或賬戶?除了生物識(shí)別安全攻擊,攻擊者能否以其他方式利用指紋記錄?
MichaelCobb:OPM和國防部發(fā)現(xiàn)在最近的OPM數(shù)據(jù)泄露事故中,2150萬人的敏感信息被泄露,約560萬人的指紋記錄被盜,最初這個(gè)數(shù)字被估計(jì)為110萬。這些被盜的個(gè)人數(shù)據(jù)包括社會(huì)安全號(hào)碼、居住歷史記錄、就業(yè)和教育記錄,以及健康、財(cái)務(wù)等歷史記錄。這些被盜的信息可能被用在身份盜竊欺詐中,而指紋數(shù)據(jù)的丟失帶來不同的威脅,目前安全行業(yè)還沒有完全了解這種威脅。
OPM在很大程度上低估了被盜指紋數(shù)據(jù)帶來的風(fēng)險(xiǎn),他們表示:“聯(lián)邦專家認(rèn)為,截至目前,濫用指紋數(shù)據(jù)的能力很有限。”然而,指紋數(shù)據(jù)已經(jīng)被成功用于欺騙某些簡單的生物識(shí)別系統(tǒng),現(xiàn)在指紋數(shù)據(jù)濫用僅局限于這一事實(shí):攻擊者難以像他們?yōu)E用密碼一樣自動(dòng)化濫用指紋數(shù)據(jù)。
目前利用指紋等生物識(shí)別技術(shù)的身份驗(yàn)證正逐漸成為登錄到電腦和智能設(shè)備的常見方法。生物識(shí)別利用用戶的某些生物特征的獨(dú)特性來準(zhǔn)確識(shí)別和授權(quán)用戶,例如視網(wǎng)膜、指紋甚至打字特征。信用卡和密碼泄露后可被撤銷和重新發(fā)布,而生物特征數(shù)據(jù)永久地與用戶相關(guān)聯(lián),不能被替換。這是生物識(shí)別的主要缺點(diǎn)之一,現(xiàn)在已經(jīng)有560萬人可能被模擬。
生物識(shí)別元素不能被重新發(fā)布的事實(shí)讓指紋數(shù)據(jù)被盜的所有人都可能受到威脅,因?yàn)槿蘸蠊粽呖赡苷业礁行У姆绞絹砝眠@些數(shù)據(jù)。指紋識(shí)別無疑是最弱形式的生物識(shí)別身份驗(yàn)證,因?yàn)樗鼈冸y以保守秘密;人們碰觸東西后都會(huì)留下指紋,所以很容易復(fù)制指紋,并使用硅膠制造翻版。語音和面部識(shí)別也面臨同樣的問題,因?yàn)檫@兩者都可以被獲取來重新創(chuàng)建副本以欺騙生物識(shí)別系統(tǒng)。
而更難復(fù)制的生物識(shí)別元素(例如視網(wǎng)膜)泄露的風(fēng)險(xiǎn)最小,但對(duì)于所有生物識(shí)別元素,在身份識(shí)別過程中還有解釋的因素。
對(duì)于基于密碼的模式,計(jì)算機(jī)系統(tǒng)很容易檢查提交的密碼是否與數(shù)據(jù)庫存儲(chǔ)的密碼相符。而對(duì)于生物識(shí)別,核實(shí)是否相符主要是看是否“像”而不是“完全相同”,原始生物特征數(shù)據(jù)需要從模擬信息轉(zhuǎn)換成模板數(shù)字?jǐn)?shù)據(jù),讓計(jì)算機(jī)可以讀取、測(cè)量和分析。而OPM數(shù)據(jù)泄露事故中攻擊者竊取的就是這種模板數(shù)據(jù)。匹配算法需要基于接受閾值來作出決定,這意味著身份識(shí)別可能出現(xiàn)漏報(bào)和誤報(bào),讓未經(jīng)授權(quán)用戶可以成功通過身份驗(yàn)證。
隨著被盜的560萬用戶的指紋數(shù)據(jù)流入黑市進(jìn)行銷售,誤報(bào)可能成為更大的問題。
生物識(shí)別背后的驅(qū)動(dòng)力是出于便利性,但與使用密碼相比,我們需要做更多工作以確保生物識(shí)別提供更高的安全性。如果企業(yè)考慮部署生物識(shí)別系統(tǒng),則需要確保在所有時(shí)間加密生物識(shí)別數(shù)據(jù)。ISO/IEC24745標(biāo)準(zhǔn)為存儲(chǔ)和傳輸過程中保護(hù)生物信息提供了指導(dǎo)意見,它還旨在解決被泄露生物識(shí)別信息帶來的風(fēng)險(xiǎn)??扇∠纳镒R(shí)別是最有前途的選項(xiàng),它在存儲(chǔ)生物數(shù)據(jù)之前會(huì)扭曲生物圖像或特征;這類似于在散列密碼中加鹽。這種失真的生物特征數(shù)據(jù)很容易被更改,如果生物存儲(chǔ)被泄露,相同的生物數(shù)據(jù)可映射到新的模板。現(xiàn)在行業(yè)正在努力讓著成為可行的標(biāo)準(zhǔn)部署,我們需要加快速度防止更多人的生物數(shù)據(jù)被泄露。
評(píng)論comment