生物識別技術的概念
生物識別技術是人類的物理或行為特征�����,可用于數字識別一個人��,以授予對系統、設備或數據的訪問權限�。
這些生物特征標識符的例子包括指紋�����、面部模式、聲音或打字節奏等��。這些標識符中的每一個對個人而言都是唯一的���,并且它們可以組合使用以確保更高的識別準確性�����。
由于生物識別技術可以在對用戶進行身份驗證時提供合理程度的信任,并且減少了用戶摩擦�����,因此它有可能極大地提高企業安全性���。當電腦和設備檢測到用戶的指紋時����,它們可以自動解鎖;服務器機房的門在識別出受信任的系統管理員時就會自動打開;當服務臺系統在支持線上識別出員工的聲音時,可能會自動調出所有相關信息�����。
然而�,公司需要小心如何推出他們的生物識別認證系統,以避免侵犯員工或客戶的隱私或不恰當地暴露敏感信息。畢竟,當舊密碼被泄露時�,很容易發布一個新密碼���,但你不能給某人一個新的眼球���。
生物識別標識的類型
生物識別標識符是一種與人類內在特征相關的標識符��。它們大致分為兩類:物理標識符和行為標識符���。
物理標識符
在大多數情況下�,物理標識符是不可變的��,并且與設備無關。它主要包括以下幾種:
指紋:近年來����,指紋掃描儀由于在智能手機上的廣泛部署而變得無處不在����。任何可以觸摸的設備(如手機屏幕����、電腦鼠標或觸摸板),都有可能成為簡單方便的指紋掃描儀���。
照片和視頻:如果設備配備了攝像頭,它可以很輕松地用于身份驗證。面部識別和視網膜掃描是兩種最常見的方法�����。
生理識別:包括面部識別�、掌形識別、虹膜或視網膜掃描、掌靜脈識別和耳朵識別��。
語音:基于語音的數字助理和基于電話的服務門戶已經在使用語音技術來識別和驗證用戶����。
簽名:數字簽名掃描儀已經在零售收銀臺和銀行廣泛使用,對于已經習慣簽名的用戶和客戶來說是一個很好的選擇。
DNA:如今��,DNA掃描主要用于執法部門識別嫌疑人�。在實踐中,DNA測序速度太慢����,無法廣泛應用��。不過,這種情況正在開始改變��。2018年�,一款價值1000美元的掃描儀上市���,可以在幾分鐘內完成DNA匹配��,而且價格可能會繼續下降��。
行為標識符
行為標識符是一種較新的方法,但由于可靠性較低�,通常需要與另一種方法結合使用�����。然而,隨著技術的進步���,這些行為標識符可能會越來越突出。與僅限于人類某些固定特征集的物理標識符不同����,行為標識符的唯一限制是人類的想象力���。
今天��,這種方法經常被用來區分人類和機器人,以幫助公司過濾垃圾郵件或檢測暴力破解密碼的企圖。以下是行為標識符的一些常見方法:
打字模式:每個人都有不同的打字風格,這包括他們打字的速度,從一個字母到另一個字母所需的時間長度,對鍵盤的影響程度等。
身體動作:每個人走路的方式都是獨一無二的����,可用于對大樓里的員工進行身份驗證�,或者作為特別敏感地點的第二層身份驗證機制�����。
導航行為:鼠標移動和手指在觸控板或觸敏屏幕上的移動方式對個人來說也是獨一無二的���,用軟件相對容易檢測���,無需額外的硬件��。
互動模式:我們都以不同的方式與技術互動。我們打開和使用應用程序的方式�����、我們最有可能使用設備的地點和時間�、我們瀏覽網站的方式、我們拿著手機時傾斜手機的方式����,甚至我們查看社交媒體賬戶的頻率��,都是潛在的獨特行為特征。這些行為模式可以用來區分人和機器人��,也可以與其他身份驗證方法結合使用�,或者,如果技術足夠進步�����,也可作為獨立的安全措施���。
生物識別認證的隱私和安全風險
安全風險
指紋掃描或語音記錄等身份驗證憑據可能會從設備�、公司服務器或用于分析它們的軟件中泄露出去。此外���,面部識別系統可能無法識別化妝或戴眼鏡的用戶,也無法識別生病或疲勞的用戶���。即便能夠識別,誤報的可能性也很高���。
人們剛睡醒的時候,或者在擁擠的公共場合使用手機的時候����,或者在生氣或不耐煩的時候,聲音都是不同的�����。識別系統可以被面具����、照片和錄音、指紋副本實施欺騙,也可以在合法用戶睡覺時被信任的家庭成員或室友欺騙�����。
人工智能深度造假的禍害也讓人們對生物識別技術的可靠性產生了懷疑�����。研究公司Gartner預測�����,“到2026年,使用人工智能生成的深度偽造面部生物識別技術的攻擊將意味著�,30%的企業將不再認為這種身份驗證解決方案是孤立可靠的����。”
為此��,專家建議公司可以同時使用多種身份驗證機制��,并在發現警告信號時迅速升級。例如���,如果指紋匹配����,但面部不匹配��,或者在不尋常的時間從不尋常的位置訪問帳戶,則可能需要切換到備用身份驗證方法或二級通信通道。這對于金融交易或密碼更改尤為重要����。
隱私風險
一些用戶可能不希望公司收集有關其習慣使用手機的時間和地點等數據�����。如果這些信息泄露出去,就有可能被跟蹤者利用���。一些用戶也可能不希望他們的家人或配偶始終獲悉他們的動向。
這些信息也可能被專制政府或越界的刑事檢察官濫用�����。外國勢力可能會利用這些信息試圖影響公眾輿論�����。不道德的營銷人員和廣告商可能也會這樣做��。2018年,一款健身應用被發現收集用戶位置信息,并以某種方式暴露了美國秘密軍事基地和巡邏路線的位置。
這些情況中的任何一種都可能導致收集數據的公司在公眾面前陷入尷尬�,面臨監管罰款或集體訴訟�。如果DNA掃描變得普遍��,它們會引發一個全新的隱私問題領域�����,包括暴露醫療狀況和家庭關系�����。
生物識別認證數據的安全性
生物識別身份驗證數據的安全性至關重要�,甚至比密碼的安全性更重要�,因為密碼一旦暴露很容易更改。然而�����,指紋或視網膜掃描是不可改變的�。這些或其他生物特征信息的泄露可能會讓用戶面臨永久的風險,并給丟失數據的公司帶來重大的法律風險。
歸根結底,每家公司都要對自己的安全決策負責���。您無法外包合規性,但是您可以通過選擇合適的供應商來降低合規性的成本和泄漏的潛在后果。如果一家中小型公司使用谷歌或蘋果的認證技術�,而谷歌或蘋果出現了安全漏洞���,那么谷歌或蘋果很可能會受到指責�。
此外�,不將憑據存檔的公司也有其優勢。例如��,許多零售商可以通過將他們的系統“排除在范圍之外”來避免大量的合規成本�。支付信息在支付終端被加密,并直接進入支付處理器�����。原始支付卡數據永遠不會接觸公司服務器�,從而降低合規性影響和潛在的安全風險。
如果公司需要收集身份驗證信息并將其保存在自己的服務器上�����,則應該應用最佳實踐安全措施����。這包括對靜態數據和傳輸中的數據進行加密����。
當然,如果被授權訪問數據的應用程序或用戶本身受到威脅�,加密并不能保證絕對的安全��。但是,公司可以通過多種方法避免在服務器上保存加密的身份驗證數據。
生物識別技術的企業用例
IDC預測����,到2026年����,歐洲公司將在生物識別解決方案上花費61億美元。在員工體驗和客戶體驗的自動化和數字化的推動下����,生物識別技術將取代更傳統的身份驗證和識別方法���。
根據IDC的研究�,以下是企業計劃投資生物識別技術的主要用例:
員工設施訪問控制;
員工考勤管理;
員工數據訪問身份驗證;
客戶注冊標識;
客戶ID認證����。
生物識別技術的用例和投資重點因行業而異。例如��,在金融領域����,生物識別技術投資將用于提供更簡化的客戶體驗,同時改善欺詐預防和檢測�。在交通運輸領域��,智能票務將有助于加快各個檢查站的處理時間,比如行李托運和機場安檢���。在制造業���,對生物識別技術的投資將集中在員工體驗上�,包括時間跟蹤和訪問控制。
用于身份驗證的生物識別技術:兩種方法
本地或基于設備的生物識別驗證
本地身份驗證機制最常見的例子是智能手機中的硬件安全模塊��。用戶信息——如指紋掃描����、面部圖像或聲紋——存儲在該模塊中。當需要身份驗證時�,指紋識別器���、攝像頭或麥克風會收集生物特征信息���,將其發送到模塊��,并與原始信息進行比較。該模塊會告訴手機新信息是否與它已經存儲的信息相匹配�。
有了這個系統��,原始的生物識別信息永遠不會被模塊外的任何軟件或系統訪問,包括手機自己的操作系統��。在iPhone上����,這被稱為安全飛地(secure enclave),適用于所有搭載蘋果A7或更新版本芯片的手機。首款采用這種技術的手機是2013年發布的iPhone 5S。類似的技術也適用于安卓手機���。例如,三星開始在三星S3智能手機上推出ARM TrustZone可信執行環境。
如今����,智能手機硬件安全模塊被用于為蘋果支付��、谷歌支付和三星支付提供安全保障,以及認證第三方應用程序。例如�,PayPal可以使用手機的生物識別傳感器進行身份驗證�,而它自己根本看不到實際的生物識別數據��。Square Cash、Venmo、Dropbox以及許多銀行應用程序和密碼管理應用程序也利用了這種身份驗證機制�。
企業還可以在用戶或客戶使用智能手機時使用基于智能手機的生物識別讀取器�����,而無需在自己的服務器上收集和存儲任何生物識別信息。類似的技術也適用于其他類型的設備,如智能卡����、智能門鎖或個人電腦的指紋掃描儀��。
基于智能手機的身份驗證提供了顯著的可用性優勢。首先,用戶往往會立即意識到他們把智能手機放錯地方或丟失了����,并會立即采取措施尋找或更換它�����。然而�,如果他們丟失了僅用于非工作時間進入建筑物的徽章���,那么他們可能暫時不會注意到它不見了�����。
智能手機制造商也在進行一場軍備競賽���,以使他們的技術更好�、更容易使用�。沒有任何其他行業——或單個公司——可以與手機的投資規模或可用性和安全性測試相媲美��。
最后���,電話身份驗證為用戶提供了最大的靈活性���。他們可以選擇帶有面部識別����、指紋掃描或語音識別的手機�����,或者其他一些尚未發明但將在未來主導市場的新技術�����。然而,使用像消費者智能手機這樣的第三方機制會將身份驗證過程置于企業控制之外����。
通常���,基于設備的身份驗證的另一個缺點是身份信息僅限于該設備��。如果人們使用指紋解鎖智能手機,那么他們就不能在沒有單獨授權門鎖的情況下使用相同的指紋解鎖辦公室的門��,或者在沒有單獨授權個人電腦的指紋掃描儀的情況下解鎖電腦����。
需要在多個位置的多個設備上對用戶或客戶進行身份驗證的公司,要么需要某種集中機制來存儲身份驗證憑據����,要么需要利用用戶始終隨身攜帶的設備。例如��,公司可以將身份驗證機制放入員工在辦公室佩戴的智能徽章中。他們還可以使用智能手機對員工進行身份驗證����,然后通過藍牙、近場通信(NFC)���、WiFi或互聯網將身份確認信息傳遞給其他設備和系統���。
標記化或加密
允許新設備識別現有授權用戶的另一種方法是令牌化(Tokenization)����、單向加密或散列函數。例如����,視網膜���、聲音或指紋識別被用來識別和認證員工����,無論他們在公司內的任何位置。但公司不希望將圖像或音頻文件存儲在服務器上��,以免黑客或惡意員工濫用它們�����。
相反地���,該公司可以通過掃描一個人的面部或指紋����,將該圖像轉換成唯一的代碼��,然后將該代碼發送到中央服務器進行身份驗證。然后�,任何使用相同轉換方法的設備都能夠識別員工��,而原始識別數據在任何系統上都不可用。這種方法的缺點是公司會被鎖定在單一的專有身份驗證機制中��。
沃卡惠
