当黑客窃取你的“心跳”时,生物数据安全何去何从

架构真经

共 2159字,需浏览 5分钟

 ·

2020-11-01 08:41

在这个“以人为本”的时代,利用生物识别进行人的身份识别和访问管理让人趋之若鹜。因为生物识别技术十分精确、难以伪造,或许未来会有所改变,甚至为滥用生物识别数据而付出代价。生物识别,现在正在快速发展,未来将不仅局限于面部识别。

然而,技术越进步,安全越重要。安全专家应该了解生物特征的状态以及如何管理生物特征数据。

基本生物识别:可穿戴设备

大多数人可能都携带过某种类型的含有芯片的钥匙卡,但是现在很多可穿戴设备能代替这些钥匙卡实现相同的功能。比如,低耗能蓝牙设备就可以取代钱包中的射频识别(RFID)钥匙卡实现相同的功能。但所有的身份识别技术进行合并时,会带来更大的便捷性体验。即使可穿戴设备能够进行健康监控想必也不会让人惊讶了,心跳数据也有可能变成人们身份识别的下一个“钥匙”。

在心跳的话题上,如果用激光代替可穿戴设备来测量心脏的输出功率又如何呢?那么以下场景将成为可能,在具有一定距离的地方就可以检测到这个人的心跳,穿过人们的轻薄的衣服检测由心跳引起的微小振动并进行识别。随着使用心脏测量进行识别和认证的能力增强,面部识别可能很快就会成为过去。

通过眼睛和声音都可以进行身份识别

生物识别技术不仅仅可以识别身份,还可以识别人的心情。即使戴着口罩,只要通过眼睛就可以识别出人的心情。虹膜扫描生物识别技术可捕获人眼圈中的图案照片,并验证人们的身份。虹膜识别是非接触式的,而且十分准确。它也可以远距离使用,只需要用户看一眼即可。

此外,语音识别发展由来已久,可以追溯到20世纪50年代。由IBM在1960年代初期开发的Shoebox Machine 能够识别16个口头单词,从零到9的十个数字以及一系列命令,例如“加号”,“减号”和“总计”。如今,有两种类型的语音身份验证方法,一种是与文本无关的文本(使用任何类型的语音进行身份验证),另一种是与文本相关的(需要特定密码短语)。因为我们的声音是独特的,在强度、动态和音调方面有所差异,所以作为身份识别具有唯一性。

生理和行为上的双重识别方式

从某种程度上来说,这种生物识别方式是令人恐惧的、毛骨悚然的。我们甚至还没有讨论检测人们的步行模式(某些警察机构已经开始使用)、监视气味、跟踪微生物细胞或从人们的体形进行识别的能力。越来越多的组织正在寻找多样的非接触式身份验证方法。

所有这些生物识别技术的共同点是,它们使用生理方法和行为方法的某种组合来确保“你就是你”。因为在生物特征上,很多事情是不能伪造的,比如无法伪造虹膜指纹,甚至心跳。就步行方式、打字方式和签名方式,每个人也都是独特的。

如果这些识别技术普及开来,那么即将进行的是一场认证革命。当我们不再使用那些RFID卡或者ID卡,一旦人们出行,激光识别将开始工作,进行人们的身份识别。当出现可疑人员时,便可快速制服。由此可见,独特的身份验证技术具有很大的价值,而那些犯罪分子似乎也“在劫难逃”?

风险总是来自数据

然而,新事物、新技术的出现总是伴随着风险,或许现在黑客无法复制人们的心跳,但是在未来呢?比如利用3D打印技术复制另外一个人,并“上传”心跳,这似乎是一件不可思议的事。

这一切现在听起来像科幻小说,但生物识别存在的技术风险危害有多大?这是难以估量的。毕竟,合法的研究人员正在证明他们可以使用AI击败面部识别软件。虹膜识别可以被高质量的图像所击败,拥有一些基本音频编辑软件的用户可以欺骗语音识别。以下三个风险表示我们不能轻视生物识别技术的潜在危害。

风险一:生物识别技术的管辖权

企业对于生物识别技术的使用程度应该有所把握,过度使用终将会出现问题。企业需要平衡生物识别技术的风险并进行安全成本的投资。例如,数据处理的方式正在变化中。7月,欧洲法院干预了企业外部数据的处理方式。当组织弄清楚如何管理数据时,他们将面临压力,如何节省成本的压力。

风险二:大数据

大数据具有多个潜在风险。首先,如果企业决定使用生物识别认证策略,那么将要在员工中收集大量个人身份信息(PII)。比如个人健康信息(PHI),那么1996年《健康保险携带和责任法案》(HIPAA)将以某种新形式实施,并适用于持有生物识别信息的任何人。

生物识别技术和大数据也存在管理问题。这些数据可能会不安全,因为数据的传感器是端点,如果有人在这些设备上安装嗅探器或窃取工具,是否就可以获取所有这些生物识别数据?一旦如此,那么所有这些PII和PHI将保留在企业的数据资产负债表上。

风险三:生物识别和隐私

最后,监视范围过大会引起隐私问题。在对人们进行身份验证时,利用生物识别技术和系统中的数据进行校对,那么势必会检测人们很多的动作等,进行严格的审查,如果不一致,则会被判为异常,会存在一定的误判率。

生物识别下的身份验证技术有很大的诱惑,但是如果无法确保生物信息的安全,并做好应对风险的准备,还是先暂缓,否则将因此付出巨大代价。

文章来自于:https://www.freebuf.com/articles/network/248929.html

浏览 21
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报