導讀:忽然之間,好像全世界都愛上了生物特征識別——不僅僅是高端智能手機和筆記本的用戶,甚至負責引領全球身份驗證解決方案未來的資深安全專家都沉迷此道。但實際情況可能并非如此。
僅依賴生物特征識別的身份驗證既不準確又容易被黑,還遠不是萬無一失的。
忽然之間,好像全世界都愛上了生物特征識別——不僅僅是高端智能手機和筆記本的用戶,甚至負責引領全球身份驗證解決方案未來的資深安全專家都沉迷此道。最近召開的一個專注未來身份驗證安全標準確立的業(yè)界討論會上,眾多與會者都認定生物特征識別是終極安全身份驗證解決方案。但實際情況可能并非如此。
生物識別的缺陷
生物特征識別在驗證人們身份上遠不是人們所想的那么精確可靠,理由如下:
1. 生物特征識別不準確
大多數(shù)人認為生物特征識別非常準確,因為宣傳廣告就是這么說的:“你的指紋、虹膜、視網(wǎng)膜、掌紋獨一無二,其他人都沒有?!彪m然這種說法可能接近真實,但生物特征屬性的存儲方式卻遠沒有真正的生物特征因子那么細致和獨特。
指紋確實有可能近乎全球唯一,但保存下來供后續(xù)驗證比對的指紋副本可未必唯一。指紋(或者虹膜、視網(wǎng)膜、人臉等等)從測量到存儲都不是完全還原的高清圖片,只是該生物信息身份的幾個確定性特征(“點”)的測量值。
舉個例子,指紋就被調整為一系列反應主要谷線、脊線和轉折的點。這些大的個體差異以點位來標記,整個保存下來的指紋看上去更像是星座圖而不是真正的指紋。
記錄原始生物特征屬性的設備和軟件也就只能做到這種精細程度了。某些時候,讀取器/掃描器不做模糊處理就看不清細節(jié),但大多數(shù)情況下它們是能看到很多沒用的細節(jié)的。每個人的指紋都有些非常微小的改變,有時候也可能是指紋的一部分發(fā)生了變化,但更多的是些臨時的劃傷、擦傷和磨損。
如果指紋讀取器忠實記錄下指紋的每一點細節(jié),那很有可能今天錄入的指紋明天就識別不了了。人臉、虹膜、視網(wǎng)膜等其他生物特征屬性也一樣。所以生物特征讀取器和驗證器都會反向調諧自身,讓自己別那么精確。事實上,這種反向調諧往往實現(xiàn)得過于深入,真正生物特征因子所謂的唯一性最終卻會與其他多個毫不相關的存儲值相匹配。
一家700人規(guī)模的公司都會出現(xiàn)指紋匹配重復現(xiàn)象,錄指紋時被彈出“您的指紋已有記錄”的員工不得不換一個指頭錄入自己的生物特征信息以確保指紋的“唯一性”。
如果指紋讀取器精細到能看清所有真正的差異,就會出現(xiàn)太多的誤報。有意反向調諧的情況下都已經存在太多的假性拒絕現(xiàn)象了。相信大家都體驗過公司上班指紋打卡按無數(shù)次才驗證通過的情況。指紋機也不過是盡忠職守,已經盡可能快地掃描呈現(xiàn)在自己面前的生物特征信息以確定是放行還是拒絕了。如果人們知道自己每次提交的生物特征身份要被對比和否定多少次,他們可能就會真正理解生物特征系統(tǒng)到底有多不準確了。
2. 生物特征識別不是每個人都適用
如果你運營過大型生物特征識別系統(tǒng),那種數(shù)萬到數(shù)十萬用戶級別的,你就會了解到總會有人永遠用不了特定生物特征識別屬性進行身份驗證的各種原因。這還不是說裝有義眼或天生沒有指紋的極個別現(xiàn)象,而是有些人不知道為什么錄入指紋后總是匹配不上。
或許是他們的身體有些特殊,生物特征屬性變化太快,讓他們總是無法成功通過特定生物特征識別驗證。這些人只能作為例外被排除在生物特征識別身份驗證系統(tǒng)之外,用其他的方法驗證身份。
3. 生物特征不是秘密
生物特征與口令或私鑰類似,都不算秘密。你的生物特征隨處可見,指紋到處按,人臉到處刷,你周圍的任何人都能捕獲到。再沒有其他任何一種身份驗證是這么明目張膽、觸手可及了。這會引發(fā)另外一些問題。
4. 生物特征識別數(shù)據(jù)很容易被復制
非秘密身份驗證因子的最大問題在于它們很容易被復制來做壞事。指紋和人臉都是很容易被捕捉、復制和重用的。一旦被別人捕獲,依賴這些生物特征屬性的系統(tǒng)還怎么信任你聲稱的身份?
比如說,2015年6月,560萬美國公民的指紋記錄被某APT組織竊取。曾經申請美國安全許可的人都被偷了指紋。在FBI、CIA和NSA工作的人員也被偷取了指紋,美國的間諜如今都能被自己的指紋出賣了。
但是生活中又有很多情況必須要用到指紋,比如上班打卡、簽購房合同、申請政府工程項目等等。我們的指紋早已在自己知情或不知情的情況下進入了多個數(shù)據(jù)庫,比如征信系統(tǒng)和司法機構的指紋數(shù)據(jù)庫。只要這些機構的數(shù)據(jù)庫有一個被黑,指紋被盜就是板上釘釘?shù)氖隆?/p>
復制人臉更是容易。自己都能數(shù)數(shù)自己在社交媒體上發(fā)過多少張自拍了。還有全球各地遍布的安全攝像頭和各類情報機構保存的人臉識別數(shù)據(jù)庫。FBI就有權調取多個數(shù)據(jù)庫中存儲的4億多張人臉照片。
虹膜和視網(wǎng)膜雖然不及指紋和人臉使用廣泛,但需要此類生物特征解鎖的設備上也存有其信息,同樣能被復制和盜取。
更糟的是,某些組織還在開發(fā)“全包式”生物特征識別數(shù)據(jù)庫,內含各類生物特征樣本,旨在令其機構能夠像合法用戶那樣呈現(xiàn)和使用可被生物特征識別系統(tǒng)接受的那種特征信息。
形象一點表述就是:英俊瀟灑的007詹姆斯·邦德先生面對生物特征識別登錄界面,輕輕一按手上小巧玲瓏的生物特征信息呈現(xiàn)器,秒變合法用戶登錄系統(tǒng)或進入密室。一個生物特征屬性播放器通吃所有生物特征識別系統(tǒng)。
5. 生物特征識別很容易被騙過
生物特征識別系統(tǒng)供應商總在吹噓自己的系統(tǒng)配有3D或溫度傳感器,其他人不可能重用被盜/復制的生物特征屬性。但往往廣告剛開播幾天,YouTube上就有小孩放出用廉價材料制作假生物特征騙過讀取器的視頻了。幾乎沒有哪種生物特征識別產品會像廣告的那么防騙。用橡皮泥或紙版畫的老方法至今有效。用熱風吹一下指紋讀取器都能重新激活前一個用戶留下的指紋油印,堂而皇之地以他/她的身份成功登錄。
還有供應商打的就是超難騙過的生物特征識別掃描器,但這些產品通常也超不好用,甚至合法用戶都覺得難用——因為很慢且合法被拒的現(xiàn)象超多。生物特征識別產品宣稱的總體精度也就是忽悠忽悠那些不了解其運行機制的天真管理員,或者知道內情但能接受這種不準確的用戶。
生物識別的兩大應用場景
不甚精確的生物特征識別身份目前似乎也是可以接受的。成千上萬的人每天都在用它順利驗證身份,但這僅僅是因為這種生物特征身份在兩大主要應用場景中運行得還行。
第一類應用場景是手機、筆記本電腦等個人設備,這種設備的安全需求其實不算很高。用戶當然想要保護自己手機上的個人信息,但這畢竟不像是公司最寶貴的知識產權都存在了你的手機上一樣。如果攻擊者入手了這種設備,他們更感興趣的是將你的手機恢復成出廠設置再賣出去,而不是費勁弄出里面存儲的信息。
第二類應用場景是工作場所的生物特征識別門禁系統(tǒng)。這種場景中生物特征識別之所以有效,是因為攻擊者不太可能親身出現(xiàn)在你每天上班的地方冒充你。真身出場意味著他們有可能被抓。因此,這種生物特征識別身份驗證看起來取得了安全性和可用性上的良好平衡。
如果生物特征識別的使用場景擴張,幾乎可以肯定,黑客將會開始偷竊、存儲和售賣生物特征身份。我們今天的很多身份驗證都是為了遠程登錄。畢竟沒人會連登錄個Web服務器都要親自跑到托管主機存放的機房。如果可以用生物特征遠程登錄某資源,黑客肯定會對此趨之若鶩,他們會像現(xiàn)在盜取或猜解你的登錄名/口令一樣使用你的生物特征來登錄眾多網(wǎng)站,不用冒被抓的風險。
一旦黑客拿到了你的真實生物特征身份,該如何阻止他們永久使用呢?口令可以更改,多因子身份驗證令牌可以換新,但指紋被盜了該怎么辦?你就只有接受余生都無法使用該指紋的事實,并通告所有依賴該指紋進行驗證的系統(tǒng)了。
多因素認證是方向
與至少一種非生物特征屬性的秘密型身份驗證因子結合使用的生物特征識別方法是可以接受的。比如說,刷指紋的同時還要求輸入PIN碼或插入智能卡。生物特征可以作為一種標識,就像輸入登錄名或電子郵件地址一樣,提供一種便利性,但不能作為驗明正身的唯一一種身份驗證秘密。