生物識別可以信任嗎

　　去年六月，美國人事管理局辦公室(OPM)被指大量工作人員信息泄露，隨后OPM也承認內部遭到黑客襲擊，重要信息泄露。據了解，在OPM數據泄露事故中，560萬(wàn)指紋數據被盜。這對生物識別安全有什么影響?攻擊者能否復制指紋，并使用復制指紋來(lái)欺騙生物識別系統以及訪(fǎng)問(wèn)受害者的設備或賬戶(hù)?除了生物識別安全攻擊，攻擊者能否以其他方式利用指紋記錄?

　　MichaelCobb：OPM和國防部發(fā)現在最近的OPM數據泄露事故中，2150萬(wàn)人的敏感信息被泄露，約560萬(wàn)人的指紋記錄被盜，最初這個(gè)數字被估計為110萬(wàn)。這些被盜的個(gè)人數據包括社會(huì )安全號碼、居住歷史記錄、就業(yè)和教育記錄，以及健康、財務(wù)等歷史記錄。這些被盜的信息可能被用在身份盜竊欺詐中，而指紋數據的丟失帶來(lái)不同的威脅，目前安全行業(yè)還沒(méi)有完全了解這種威脅。

　　OPM在很大程度上低估了被盜指紋數據帶來(lái)的風(fēng)險，他們表示：“聯(lián)邦專(zhuān)家認為，截至目前，濫用指紋數據的能力很有限。”然而，指紋數據已經(jīng)被成功用于欺騙某些簡(jiǎn)單的生物識別系統，現在指紋數據濫用僅局限于這一事實(shí)：攻擊者難以像他們?yōu)E用密碼一樣自動(dòng)化濫用指紋數據。

　　目前利用指紋等生物識別技術(shù)的身份驗證正逐漸成為登錄到電腦和智能設備的常見(jiàn)方法。生物識別利用用戶(hù)的某些生物特征的獨特性來(lái)準確識別和授權用戶(hù)，例如視網(wǎng)膜、指紋甚至打字特征。信用卡和密碼泄露后可被撤銷(xiāo)和重新發(fā)布，而生物特征數據永久地與用戶(hù)相關(guān)聯(lián)，不能被替換。這是生物識別的主要缺點(diǎn)之一，現在已經(jīng)有560萬(wàn)人可能被模擬。

　　生物識別元素不能被重新發(fā)布的事實(shí)讓指紋數據被盜的所有人都可能受到威脅，因為日后攻擊者可能找到更有效的方式來(lái)利用這些數據。指紋識別無(wú)疑是最弱形式的生物識別身份驗證，因為它們難以保守秘密;人們碰觸東西后都會(huì )留下指紋，所以很容易復制指紋，并使用硅膠制造翻版。語(yǔ)音和面部識別也面臨同樣的問(wèn)題，因為這兩者都可以被獲取來(lái)重新創(chuàng )建副本以欺騙生物識別系統。

　　而更難復制的生物識別元素(例如視網(wǎng)膜)泄露的風(fēng)險最小，但對于所有生物識別元素，在身份識別過(guò)程中還有解釋的因素。

　　對于基于密碼的模式，計算機系統很容易檢查提交的密碼是否與數據庫存儲的密碼相符。而對于生物識別，核實(shí)是否相符主要是看是否“像”而不是“完全相同”，原始生物特征數據需要從模擬信息轉換成模板數字數據，讓計算機可以讀取、測量和分析。而OPM數據泄露事故中攻擊者竊取的就是這種模板數據。匹配算法需要基于接受閾值來(lái)作出決定，這意味著(zhù)身份識別可能出現漏報和誤報，讓未經(jīng)授權用戶(hù)可以成功通過(guò)身份驗證。

　　隨著(zhù)被盜的560萬(wàn)用戶(hù)的指紋數據流入黑市進(jìn)行銷(xiāo)售，誤報可能成為更大的問(wèn)題。

　　生物識別背后的驅動(dòng)力是出于便利性，但與使用密碼相比，我們需要做更多工作以確保生物識別提供更高的安全性。如果企業(yè)考慮部署生物識別系統，則需要確保在所有時(shí)間加密生物識別數據。ISO/IEC24745標準為存儲和傳輸過(guò)程中保護生物信息提供了指導意見(jiàn)，它還旨在解決被泄露生物識別信息帶來(lái)的風(fēng)險?？扇∠纳镒R別是最有前途的選項，它在存儲生物數據之前會(huì )扭曲生物圖像或特征;這類(lèi)似于在散列密碼中加鹽。這種失真的生物特征數據很容易被更改，如果生物存儲被泄露，相同的生物數據可映射到新的模板?，F在行業(yè)正在努力讓著(zhù)成為可行的標準部署，我們需要加快速度防止更多人的生物數據被泄露。