什么是生物识别技术?
生物识别技术是用于身体测量、计算和人类特征的技术术语。生物识别认证是一种身份识别和访问控制形式。由于生物识别标识符对个人是唯一的,因此在验证个人身份方面被认为比传统的基于令牌的识别系统(如护照)以及基于知识的识别系统(如密码)更可靠。然而,使用生物识别技术存在隐私问题和其他缺点。
生物识别数据的用途
生物识别数据用于通过物理特征来识别或验证一个人。生物识别技术的使用依赖于被测量特征的独特性、持久性和可收集性,例如指纹。一旦测量了特征,实时信息可以与生物识别数据库进行比较和匹配。
常见的生物识别系统用途包括:
- 执法:指纹、掌纹和面部识别
- 边境管制:电子护照使用指纹识别、面部识别、虹膜识别或语音识别
- 医疗保健:国民身份证和健康保险计划使用指纹进行识别
- 信用卡公司:信用卡公司可能使用语音识别来确定电话中的人是否是他们声称的人
印度唯一身份识别机构(UIDAI)的Aadhaar计划是一个广泛使用生物识别识别的国家示例。这是一个多步骤的生物识别认证程序,包含虹膜扫描、指纹和面部识别。一旦注册,生物识别数据就会链接到智能卡,该卡发放给印度的12亿居民。
生物识别技术的工作原理
如果您曾经使用面部识别技术来解锁Apple iPhone,那么您已经使用了生物识别认证。Apple所做的是记录您的生物识别信息(在这种情况下是您的面部),将其作为生物识别模板存储在您的手机上,然后在每次解锁手机时将其与实时信息进行比较。
在使用生物识别系统之前,需要先注册个人。注册过程收集特征的测量值,并将其作为生物识别模板存储在数据库中。然后在后续使用中将模板与实时生物识别数据进行比较。当您获得新iPhone并将面部添加到FaceID时,您正在进行注册过程。
注册后,生物识别系统倾向于以两种模式之一运行:
- 生物识别认证:将捕获的生物识别数据与个人的生物识别模板进行一对一比较,以验证个人是否是他们声称的人。这类似于使用用户名和密码登录帐户。
- 生物识别识别:旨在识别未知个人的一对多比较。如果系统能够在可接受的阈值内将生物识别样本与保存的模板匹配,则个人被识别。生物识别识别的一个示例是使用攻击者的打字模式或IP归属作为数字取证的一部分。
对于生物识别系统来说,存储和检索的安全性至关重要,才能被认为是健壮的。
生物识别技术的普及程度
生物识别认证和识别在安全系统、消费电子产品和销售点应用中越来越普遍。这有两个驱动因素:安全性和便利性。使用生物识别技术,无需记住密码,也不会丢失安全令牌。然而,如果生物识别数据被泄露,与密码不同,无法更改它们。
可用于生物识别的特征
有许多不同的生理、化学或行为方面可用作生物识别特征。选择生物识别特征应权衡以下七个因素:
- 普遍性:使用该系统的每个人是否都拥有该特征?
- 独特性:该特征在相关人群中的个体之间是否足够不同,以便能够相互区分?
- 持久性:该特征是否随时间变化?
- 可测量性:获取或测量该特征的难易程度如何?
- 性能:所用技术的准确性、速度和健壮性如何?
- 可接受性:相关人群中的个体对其生物识别数据被捕获和评估的接受程度如何?
- 规避性:用人工制品或替代品伪造该特征的难易程度如何?
也就是说,适当的生物识别使用非常依赖于应用。对消费者手机来说可接受的风险,对美国国土安全部或纽约警察局来说可能是不可接受的。
生物识别的类型
生物识别标识符分为生理特征和行为特征:
生理特征:与身体形状相关 行为特征:与人的行为相关
生理特征示例:
- 指纹:由于在智能手机上的广泛部署,指纹扫描器近年来已无处不在
- 虹膜扫描:人眼的形状可用作生物识别特征
- DNA:DNA主要由执法部门用于识别嫌疑人
- 静脉模式:静脉模式可以像指纹或虹膜扫描一样使用
- 手部几何形状:一些生物识别安全系统依赖于手部几何形状来识别个人
- 掌纹:像指纹一样,掌纹可用作安全系统的一部分
- 面部:面部识别技术常用于边境管制
- 签名:数字签名扫描器用于零售收银台和银行
- 语音:测量您对设备说话时声音中独特的声波
行为特征示例:
- 打字模式:每个人都有不同的打字风格,可能包括打字速度和从一个字母到另一个字母所需的时间长度
- 身体运动:人的步态可用于识别建筑物中的未经授权人员,为特别敏感的位置添加第二层认证
- 导航模式:鼠标移动和触控板使用对个人是独特的,并且相对容易用软件识别
- 参与模式:您如何打开应用程序、允许电池电量降到多低、您多久拿起一次手机都是潜在的独特标识符
生物识别技术可靠吗?
生物识别测量依赖于统计算法,因此单独使用时不能100%可靠。这导致许多组织将生物识别技术作为其深度防御策略的一部分。
用户需要知道某些东西(密码),拥有某些东西(双因素认证代码)并且是某些东西(指纹)。如果用户缺少这三条信息中的任何一条,他们将无法登录。
虽然生物识别数据更难窃取,但指纹或语音记录仍然可以从设备、服务器或分析它们的软件中窃取。
还存在误报和漏报的可能性:
- 误报:生物识别系统接受生物识别数据,尽管它是伪造的。例如,指纹读取器可能在误报中批准从玻璃杯上提取的指纹。
- 漏报:生物识别系统拒绝生物识别数据,尽管它来自同一个人。
什么是多模态生物识别系统?
多模态生物识别系统使用多个传感器或生物识别特征来克服单模态(一个生物识别数据点)系统的局限性。
例如,虹膜识别系统可能因虹膜老化而受损,电子指纹识别可能因指纹磨损而变差。
与单模态系统不同,多模态系统不受一个标识符完整性的限制,并且几个标识符不太可能同时受到限制。
多模态系统可以使用相同的标记(例如,多次虹膜扫描)或来自不同生物识别特征的信息(例如,指纹、虹膜扫描和语音识别)。
生物识别技术安全吗?
在生物识别数据方面存在严重的安全问题:
-
收集生物识别数据是一个巨大的网络安全风险。这是因为生物识别数据是个人可识别信息(PII),可能在数据泄露中被窃取或在数据泄漏中意外暴露。存储生物识别数据是一种网络风险,因为它是潜在攻击者在暗网上出售用于身份盗窃或用作网络攻击或企业间谍活动的一部分的有吸引力的目标。好消息是,大多数个人信息往往是信息安全团队的焦点。然而,随着生物识别技术变得越来越普遍,它很可能在更多地方(例如第三方供应商)可用,这些地方可能没有采用相同级别的安全性。
-
随着生物识别技术变得越来越普遍,人们将开始更多地依赖它们来代替更常识性的安全措施。
-
生物识别数据无法更改,使其比其他认证方法更脆弱。一旦指纹被泄露,您无法更改它。
-
一些生物识别数据可以被复制,例如,罪犯可能从玻璃杯上提取指纹。
-
没有统一的法律规定生物识别数据应如何存储以及什么被视为隐私,这意味着您的权利可能因国家/地区甚至州而异。
-
第三方供应商及其供应商可能可以访问生物识别数据,并且没有良好的安全实践。这被称为第三方风险和第四方风险。生物识别数据的不变性意味着,当您或您的供应商处理生物识别数据时,供应商风险管理、第三方风险管理框架、信息安全政策、供应商管理政策和网络安全风险评估更加重要。考虑自动化供应商风险管理并寻找具有SOC 2的供应商。
如何保护生物识别数据
保护生物识别数据的常见方法包括:
- 使用强密码,并将生物识别信息仅保存在具有严格安全控制的有限地方
- 保持设备修补,以避免常见漏洞利用,如CVE上发布的那些
- 使用网络安全来减少攻击者访问内部网络的威胁
- 如果您不相信生物识别数据被安全存储,请不要提供它
- 使用配置管理以避免配置漂移
- 雇用OPSEC专业人员,他们可以确保生物识别数据的位置或存储不被知晓
- 使用供应商风险管理工具持续监控您的第三和第四方供应商的安全状况
- 持续扫描和发现与您业务任何部分相关的数据暴露
生物识别技术的优势
生物识别技术的优势包括:
- 难以伪造或窃取,与基于知识或令牌的认证方法不同
- 普遍性,可以在所有个体上找到
- 独特性,允许区分个体
- 可测量性,允许随时间变化
- 易于使用和方便
- 在人的一生中变化很小
- 不可转移
- 生物识别模板占用很少的存储空间
生物识别技术的缺点
生物识别技术的缺点包括:
- 生物识别系统设置和维护成本高昂
- 如果生物识别数据未完全捕获,可能无法识别或验证用户
- 保存生物识别数据的数据库可能被黑客攻击,导致个人可识别信息(PII)和敏感数据的数据泄露。数据泄露的平均总成本估计从未如此之高,达到392万美元。一旦数据暴露,几乎无法知道数据去了哪里,这就是为什么防止数据泄露如此重要。事实上,最大的数据泄露之一涉及Aadhaar,暴露了11亿人的生物识别数据
- 错误可能导致误接受
- 如果用户受伤或毁容,生物识别认证可能无法工作,例如,如果您失去手指,指纹传感器将无法工作
- 许多国家,包括美国,正计划与其他国家共享生物识别数据
UpGuard如何防止第一方和第三方数据泄露
毫无疑问,网络安全比以往任何时候都更加重要。这就是为什么洲际交易所、Taylor Fry、纽约证券交易所、IAG、First State Super、Akamai、Morningstar和NASA等公司使用UpGuard来保护其数据并防止数据泄露。
我们是数据泄露方面的专家,事实上,我们的数据泄露研究已被《纽约时报》、《彭博社》、《华盛顿邮报》、《福布斯》、《路透社》和《Techcrunch》报道。
UpGuard Breach Risk可以通过网络安全评级和持续暴露检测来帮助打击域名抢注、防止数据泄露和数据泄漏、避免监管罚款并保护客户的信任。
UpGuard Vendor Risk可以通过自动化供应商问卷并持续监控供应商的安全状况,同时根据其行业对它们进行基准测试,来最小化您的组织花费在管理第三方关系上的时间。
每个供应商根据50多个标准进行评级,例如SSL和DNSSEC的存在,以及域劫持、中间人攻击和用于网络钓鱼的电子邮件欺骗的风险。