使用生物识别技术(如指纹,面部识别等)进行身份验证存在几个基本问题。 当涉及加密时,问题就更大了。
使用生物识别技术进行身份验证存在两个主要问题。
- 如果没有其他人真正看着你"应用"生物识别,那么很难确保生物识别真的附着在真实的人身上。 想想3d模型的脸,或砍掉拇指:-(。
- 你不能改变你的脸或你的指纹,这不是一个秘密,所以一旦知识掌握在坏人手中,这是一场技术军备竞赛,对抗物理和电子欺骗设备,如假拇指或指纹读 你永远被你的脸和手指缠住了。
这清楚地表明,纯生物识别身份验证仅适用于受保护资产的价值足够低,攻击者不会发现绕过它的成本和风险是值得的。
目前将指纹认证纳入移动设备的趋势令人不安。 现代移动设备所代表的价值,包括可能间接可获得的资产,如在线帐户,很容易使欺骗变得有价值。 在世界的某些地方,不需要太多的想象力就能想象到人们不仅像今天一样被抢了手机,而且在明天的同一时间被抢了指尖。
我们已经有一个身份盗窃是一个主要头痛的情况。 但这实际上是可以处理的,即使这个过程受到过时的制度和法律的阻碍。 如果生物识别技术继续取得进展,我们可能会得到一群永远不会完全融入社会的人,因为他们的生物识别技术一旦被盗就永远无法恢复或改变。 盗窃可能单独发生,也可能来自公司或政府数据库。
虽然国家或企业指纹数据库泄漏的可能性可能很低,但并不是零。 随着时间的推移,它会发生。 一旦发生,就永远无法挽回。
另一方面,被盗密码的更改相对微不足道。
用于加密的生物识别
我们经常收到将各种形式的生物识别技术集成到AxCrypt中的请求,而不是作为密码的补充。 这里的问题是,正确设计的加密系统假设攻击者拥有巨大的资源和对所有内容的完全了解。 除了一条信息:解密密钥。 这是所有必须保密的,也必须保密。 一切都取决于这把钥匙是秘密的。 在AxCrypt术语中,密码最终是必须保密的密钥。
指纹是唯一的,但它不是秘密的,它不能改变。 直接或间接用作加密密钥是完全不适合的。
可以做移动设备制造商所做的事情,使用内部受信任的硬件作为秘密密钥的守护者,这些密钥只有在通过例如指纹进行身份验证时才会释放秘密。 这就是Apple Touch ID的工作原理。 但是,请记住上面提到的生物认证的注意事项。 内部受信任的硬件总是可以被一个足够好的设备或工件所愚弄,并且经常需要的指纹甚至在设备本身被发现!
AxCrypting快乐!