技術(shù)
導(dǎo)讀:忽然之間,好像全世界都愛(ài)上了生物特征識(shí)別——不僅僅是高端智能手機(jī)和筆記本的用戶,甚至負(fù)責(zé)引領(lǐng)全球身份驗(yàn)證解決方案未來(lái)的資深安全專家都沉迷此道。但實(shí)際情況可能并非如此。
僅依賴生物特征識(shí)別的身份驗(yàn)證既不準(zhǔn)確又容易被黑,還遠(yuǎn)不是萬(wàn)無(wú)一失的。
忽然之間,好像全世界都愛(ài)上了生物特征識(shí)別——不僅僅是高端智能手機(jī)和筆記本的用戶,甚至負(fù)責(zé)引領(lǐng)全球身份驗(yàn)證解決方案未來(lái)的資深安全專家都沉迷此道。最近召開的一個(gè)專注未來(lái)身份驗(yàn)證安全標(biāo)準(zhǔn)確立的業(yè)界討論會(huì)上,眾多與會(huì)者都認(rèn)定生物特征識(shí)別是終極安全身份驗(yàn)證解決方案。但實(shí)際情況可能并非如此。
生物識(shí)別的缺陷
生物特征識(shí)別在驗(yàn)證人們身份上遠(yuǎn)不是人們所想的那么精確可靠,理由如下:
1. 生物特征識(shí)別不準(zhǔn)確
大多數(shù)人認(rèn)為生物特征識(shí)別非常準(zhǔn)確,因?yàn)樾麄鲝V告就是這么說(shuō)的:“你的指紋、虹膜、視網(wǎng)膜、掌紋獨(dú)一無(wú)二,其他人都沒(méi)有?!彪m然這種說(shuō)法可能接近真實(shí),但生物特征屬性的存儲(chǔ)方式卻遠(yuǎn)沒(méi)有真正的生物特征因子那么細(xì)致和獨(dú)特。
指紋確實(shí)有可能近乎全球唯一,但保存下來(lái)供后續(xù)驗(yàn)證比對(duì)的指紋副本可未必唯一。指紋(或者虹膜、視網(wǎng)膜、人臉等等)從測(cè)量到存儲(chǔ)都不是完全還原的高清圖片,只是該生物信息身份的幾個(gè)確定性特征(“點(diǎn)”)的測(cè)量值。
舉個(gè)例子,指紋就被調(diào)整為一系列反應(yīng)主要谷線、脊線和轉(zhuǎn)折的點(diǎn)。這些大的個(gè)體差異以點(diǎn)位來(lái)標(biāo)記,整個(gè)保存下來(lái)的指紋看上去更像是星座圖而不是真正的指紋。
記錄原始生物特征屬性的設(shè)備和軟件也就只能做到這種精細(xì)程度了。某些時(shí)候,讀取器/掃描器不做模糊處理就看不清細(xì)節(jié),但大多數(shù)情況下它們是能看到很多沒(méi)用的細(xì)節(jié)的。每個(gè)人的指紋都有些非常微小的改變,有時(shí)候也可能是指紋的一部分發(fā)生了變化,但更多的是些臨時(shí)的劃傷、擦傷和磨損。
如果指紋讀取器忠實(shí)記錄下指紋的每一點(diǎn)細(xì)節(jié),那很有可能今天錄入的指紋明天就識(shí)別不了了。人臉、虹膜、視網(wǎng)膜等其他生物特征屬性也一樣。所以生物特征讀取器和驗(yàn)證器都會(huì)反向調(diào)諧自身,讓自己別那么精確。事實(shí)上,這種反向調(diào)諧往往實(shí)現(xiàn)得過(guò)于深入,真正生物特征因子所謂的唯一性最終卻會(huì)與其他多個(gè)毫不相關(guān)的存儲(chǔ)值相匹配。
一家700人規(guī)模的公司都會(huì)出現(xiàn)指紋匹配重復(fù)現(xiàn)象,錄指紋時(shí)被彈出“您的指紋已有記錄”的員工不得不換一個(gè)指頭錄入自己的生物特征信息以確保指紋的“唯一性”。
如果指紋讀取器精細(xì)到能看清所有真正的差異,就會(huì)出現(xiàn)太多的誤報(bào)。有意反向調(diào)諧的情況下都已經(jīng)存在太多的假性拒絕現(xiàn)象了。相信大家都體驗(yàn)過(guò)公司上班指紋打卡按無(wú)數(shù)次才驗(yàn)證通過(guò)的情況。指紋機(jī)也不過(guò)是盡忠職守,已經(jīng)盡可能快地掃描呈現(xiàn)在自己面前的生物特征信息以確定是放行還是拒絕了。如果人們知道自己每次提交的生物特征身份要被對(duì)比和否定多少次,他們可能就會(huì)真正理解生物特征系統(tǒng)到底有多不準(zhǔn)確了。
2. 生物特征識(shí)別不是每個(gè)人都適用
如果你運(yùn)營(yíng)過(guò)大型生物特征識(shí)別系統(tǒng),那種數(shù)萬(wàn)到數(shù)十萬(wàn)用戶級(jí)別的,你就會(huì)了解到總會(huì)有人永遠(yuǎn)用不了特定生物特征識(shí)別屬性進(jìn)行身份驗(yàn)證的各種原因。這還不是說(shuō)裝有義眼或天生沒(méi)有指紋的極個(gè)別現(xiàn)象,而是有些人不知道為什么錄入指紋后總是匹配不上。
或許是他們的身體有些特殊,生物特征屬性變化太快,讓他們總是無(wú)法成功通過(guò)特定生物特征識(shí)別驗(yàn)證。這些人只能作為例外被排除在生物特征識(shí)別身份驗(yàn)證系統(tǒng)之外,用其他的方法驗(yàn)證身份。
3. 生物特征不是秘密
生物特征與口令或私鑰類似,都不算秘密。你的生物特征隨處可見(jiàn),指紋到處按,人臉到處刷,你周圍的任何人都能捕獲到。再?zèng)]有其他任何一種身份驗(yàn)證是這么明目張膽、觸手可及了。這會(huì)引發(fā)另外一些問(wèn)題。
4. 生物特征識(shí)別數(shù)據(jù)很容易被復(fù)制
非秘密身份驗(yàn)證因子的最大問(wèn)題在于它們很容易被復(fù)制來(lái)做壞事。指紋和人臉都是很容易被捕捉、復(fù)制和重用的。一旦被別人捕獲,依賴這些生物特征屬性的系統(tǒng)還怎么信任你聲稱的身份?
比如說(shuō),2015年6月,560萬(wàn)美國(guó)公民的指紋記錄被某APT組織竊取。曾經(jīng)申請(qǐng)美國(guó)安全許可的人都被偷了指紋。在FBI、CIA和NSA工作的人員也被偷取了指紋,美國(guó)的間諜如今都能被自己的指紋出賣了。
但是生活中又有很多情況必須要用到指紋,比如上班打卡、簽購(gòu)房合同、申請(qǐng)政府工程項(xiàng)目等等。我們的指紋早已在自己知情或不知情的情況下進(jìn)入了多個(gè)數(shù)據(jù)庫(kù),比如征信系統(tǒng)和司法機(jī)構(gòu)的指紋數(shù)據(jù)庫(kù)。只要這些機(jī)構(gòu)的數(shù)據(jù)庫(kù)有一個(gè)被黑,指紋被盜就是板上釘釘?shù)氖隆?/p>
復(fù)制人臉更是容易。自己都能數(shù)數(shù)自己在社交媒體上發(fā)過(guò)多少?gòu)堊耘牧恕_€有全球各地遍布的安全攝像頭和各類情報(bào)機(jī)構(gòu)保存的人臉識(shí)別數(shù)據(jù)庫(kù)。FBI就有權(quán)調(diào)取多個(gè)數(shù)據(jù)庫(kù)中存儲(chǔ)的4億多張人臉照片。
虹膜和視網(wǎng)膜雖然不及指紋和人臉使用廣泛,但需要此類生物特征解鎖的設(shè)備上也存有其信息,同樣能被復(fù)制和盜取。
更糟的是,某些組織還在開發(fā)“全包式”生物特征識(shí)別數(shù)據(jù)庫(kù),內(nèi)含各類生物特征樣本,旨在令其機(jī)構(gòu)能夠像合法用戶那樣呈現(xiàn)和使用可被生物特征識(shí)別系統(tǒng)接受的那種特征信息。
形象一點(diǎn)表述就是:英俊瀟灑的007詹姆斯·邦德先生面對(duì)生物特征識(shí)別登錄界面,輕輕一按手上小巧玲瓏的生物特征信息呈現(xiàn)器,秒變合法用戶登錄系統(tǒng)或進(jìn)入密室。一個(gè)生物特征屬性播放器通吃所有生物特征識(shí)別系統(tǒng)。
5. 生物特征識(shí)別很容易被騙過(guò)
生物特征識(shí)別系統(tǒng)供應(yīng)商總在吹噓自己的系統(tǒng)配有3D或溫度傳感器,其他人不可能重用被盜/復(fù)制的生物特征屬性。但往往廣告剛開播幾天,YouTube上就有小孩放出用廉價(jià)材料制作假生物特征騙過(guò)讀取器的視頻了。幾乎沒(méi)有哪種生物特征識(shí)別產(chǎn)品會(huì)像廣告的那么防騙。用橡皮泥或紙版畫的老方法至今有效。用熱風(fēng)吹一下指紋讀取器都能重新激活前一個(gè)用戶留下的指紋油印,堂而皇之地以他/她的身份成功登錄。
還有供應(yīng)商打的就是超難騙過(guò)的生物特征識(shí)別掃描器,但這些產(chǎn)品通常也超不好用,甚至合法用戶都覺(jué)得難用——因?yàn)楹苈液戏ū痪艿默F(xiàn)象超多。生物特征識(shí)別產(chǎn)品宣稱的總體精度也就是忽悠忽悠那些不了解其運(yùn)行機(jī)制的天真管理員,或者知道內(nèi)情但能接受這種不準(zhǔn)確的用戶。
生物識(shí)別的兩大應(yīng)用場(chǎng)景
不甚精確的生物特征識(shí)別身份目前似乎也是可以接受的。成千上萬(wàn)的人每天都在用它順利驗(yàn)證身份,但這僅僅是因?yàn)檫@種生物特征身份在兩大主要應(yīng)用場(chǎng)景中運(yùn)行得還行。
第一類應(yīng)用場(chǎng)景是手機(jī)、筆記本電腦等個(gè)人設(shè)備,這種設(shè)備的安全需求其實(shí)不算很高。用戶當(dāng)然想要保護(hù)自己手機(jī)上的個(gè)人信息,但這畢竟不像是公司最寶貴的知識(shí)產(chǎn)權(quán)都存在了你的手機(jī)上一樣。如果攻擊者入手了這種設(shè)備,他們更感興趣的是將你的手機(jī)恢復(fù)成出廠設(shè)置再賣出去,而不是費(fèi)勁弄出里面存儲(chǔ)的信息。
第二類應(yīng)用場(chǎng)景是工作場(chǎng)所的生物特征識(shí)別門禁系統(tǒng)。這種場(chǎng)景中生物特征識(shí)別之所以有效,是因?yàn)楣粽卟惶赡苡H身出現(xiàn)在你每天上班的地方冒充你。真身出場(chǎng)意味著他們有可能被抓。因此,這種生物特征識(shí)別身份驗(yàn)證看起來(lái)取得了安全性和可用性上的良好平衡。
如果生物特征識(shí)別的使用場(chǎng)景擴(kuò)張,幾乎可以肯定,黑客將會(huì)開始偷竊、存儲(chǔ)和售賣生物特征身份。我們今天的很多身份驗(yàn)證都是為了遠(yuǎn)程登錄。畢竟沒(méi)人會(huì)連登錄個(gè)Web服務(wù)器都要親自跑到托管主機(jī)存放的機(jī)房。如果可以用生物特征遠(yuǎn)程登錄某資源,黑客肯定會(huì)對(duì)此趨之若鶩,他們會(huì)像現(xiàn)在盜取或猜解你的登錄名/口令一樣使用你的生物特征來(lái)登錄眾多網(wǎng)站,不用冒被抓的風(fēng)險(xiǎn)。
一旦黑客拿到了你的真實(shí)生物特征身份,該如何阻止他們永久使用呢?口令可以更改,多因子身份驗(yàn)證令牌可以換新,但指紋被盜了該怎么辦?你就只有接受余生都無(wú)法使用該指紋的事實(shí),并通告所有依賴該指紋進(jìn)行驗(yàn)證的系統(tǒng)了。
多因素認(rèn)證是方向
與至少一種非生物特征屬性的秘密型身份驗(yàn)證因子結(jié)合使用的生物特征識(shí)別方法是可以接受的。比如說(shuō),刷指紋的同時(shí)還要求輸入PIN碼或插入智能卡。生物特征可以作為一種標(biāo)識(shí),就像輸入登錄名或電子郵件地址一樣,提供一種便利性,但不能作為驗(yàn)明正身的唯一一種身份驗(yàn)證秘密。