生物识别的五大缺陷与两大应用场景

仅仅依靠生物特征识别的身份验证既不准确又容易被黑客攻击，而且远非万无一失。

突然间，似乎全世界都爱上了生物特征识别——不仅是高端智能手机和笔记本电脑的用户，还有未来负责全球身份验证解决方案的高级安全专家。在最近举行的行业研讨会上，许多参与者认为生物特征识别是一种安全身份验证解决方案。但事实可能并非如此。

缺陷的生物识别

原因如下：

1. 生物特征识别不准确

大多数人认为生物特征识别非常准确，因为广告就是这么说的：“你的指纹、虹膜、视网膜、掌纹独特，其他人都没有。”虽然这种说法可能接近现实，但生物特征属性的存储 *** 远不如真实生物特征因素细致独特。

指纹可能几乎是世界上唯一的，但保存的指纹副本可能不是唯一的。指纹（或虹膜、视网膜、人脸等）并不是从测量到存储完全恢复的高清图片，而是生物信息身份的几个确定性特征(“点”)的测量值。

例如，指纹被调整为一系列反应主要谷线、脊线和转折点。这些大的个体差异被标记为点，整个保存的指纹看起来更像星座图，而不是真正的指纹。

记录原始生物特征属性的设备和软件只能达到这种精细度。有时，读取器/扫描器看不到细节而不模糊，但在大多数情况下，它们可以看到许多无用的细节。每个人的指纹都有一些非常小的变化，有时指纹的一部分可能会发生变化，但更多的是临时划痕、划痕和磨损。

如果指纹读取器忠实地记录了指纹的每一个细节，那么今天输入的指纹很可能明天就不会被识别出来人脸、虹膜、视网膜和其他生物特征属性也是如此。因此，生物特征读取器和验证器会反向调整自己，使自己不那么准确。事实上，这种反向调整往往实现得太深，而所谓的真实生物特征因素的唯一性最终将与许多其他无关的存储值相匹配。

一家700人的公司会重复指纹匹配，在记录指纹时会弹出“您的指纹已被记录下来”员工必须用另一个手指输入自己的生物特征信息，以确保指纹“唯一性”。

如果指纹读取器精细到能看清所有真正的差异，就会出现太多的误报。有意反向调谐的情况下都已经存在太多的假性拒绝现象了。相信大家都体验过公司上班指纹打卡按无数次才验证通过的情况。指纹机也不过是尽忠职守，已经尽可能快地扫描呈现在自己面前的生物特征信息以确定是放行还是拒绝了。如果人们知道自己每次提交的生物特征身份要被对比和否定多少次，他们可能就会真正理解生物特征系统到底有多不准确了。

2.并不是每个人都适用于生物特征识别

如果你运行过一个大型的生物特征识别系统，数万到数十万的用户级别，你就会明白，有些人永远不会使用特定的生物特征识别属性进行身份验证的各种原因。这并不是说假眼睛或天生没有指纹的极少数现象，但有些人不知道为什么输入指纹后总是不匹配。

也许他们的身体有点特殊，生物特征属性变化太快，所以他们总是无法通过特定的生物特征识别验证。这些人只能被排除在生物特征识别身份验证系统之外，以其他方式验证身份。

3. 生物特征不是秘密

生物特征类似于密码或私钥，这不是秘密。你的生物特征随处可见，到处按指纹，到处刷脸，你周围的任何人都可以捕捉到它。没有其他身份验证是如此明目张胆和触手可及。这将导致其他问题。

4. 生物特征识别数据易于复制

非秘密身份验证因素的问题是，它们很容易被复制来做坏事。指纹和面部很容易被捕获、复制和重用。一旦被捕获，依赖这些生物特征的系统如何信任你所声称的身份？

例如，2015年6月，560万美国公民的指纹记录被某人记录APT组织盗窃。所有申请美国安全许可证的人都被偷了指纹。FBI、CIA和NSA工作人员也被偷走了指纹，美国间谍现在可以被自己的指纹出售了。

然而，在生活中有许多必须使用指纹的情况，如打卡工作、签订购房合同、申请 *** 项目等。我们的指纹已经进入多个数据库，如信用调查系统和司法机构的指纹数据库。只要这些机构的数据库中有一个是黑色的，指纹被盗就是肯定的。

复制人脸更容易。你可以数一数你在社交媒体上发布了多少张 *** 照片。还有安全摄像头和各种情报机构保存的人脸识别数据库。FBI有权转移存储在多个数据库中的4亿多张人脸照片。

虹膜和视网膜虽然不如指纹和人脸广泛使用，但其信息也存在于需要解锁这些生物特征的设备上，也可以复制和窃取。

更糟糕的是，一些组织仍在发展中“全包式”生物特征识别数据库包含各种生物特征样本，旨在使其组织能够像合法用户一样呈现和使用生物特征识别系统可接受的特征信息。

一点形象表达就是:英俊潇洒的007詹姆斯·面对生物特征识别登录界面，邦德先生轻轻按下手中小巧精致的生物特征信息呈现器，将合法用户登录系统转换为秒或进入密室。生物特征属性播放器可以吃掉所有生物特征识别系统。

5. 生物特征识别很容易被欺骗

生物特征识别系统供应商总是吹嘘他们的系统配备了3D或者温度传感器，其他人不能重用被盗/复制的生物特征属性。但广告通常只播出几天，YouTube一些孩子发布了一段用廉价材料 *** 假生物特征来欺骗读取器的视频。很少有生物特征识别产品能像广告那样防止欺诈。旧的橡皮泥或纸质版画 *** 仍然有效。用热风吹指纹读取器可以重新激活前一个用户留下的指纹油印，并以他/她的身份成功登录。

也有供应商玩超难欺骗的生物特征识别扫描仪，但这些产品通常超难使用，甚至合法用户也觉得难使用——因为有很多现象非常缓慢和合法地被拒绝。生物特征识别产品声称的整体精度是愚弄那些不了解其操作机制的天真管理员，或者了解内容但能够接受这种不准确的用户。

生物识别的两个应用场景

目前，不准确的生物特征识别身份似乎是可以接受的。成千上万的人每天都用它来验证身份，但这只是因为这种生物特征身份在两个主要应用场景中运行得很好。

               
• 之一种应用场景是手机、笔记本电脑和其他个人设备。事实上，这种设备的安全要求不是很高。当然，用户想保护手机上的个人信息，但毕竟，这并不像公司最宝贵的知识产权存在于你的手机上。如果攻击者开始使用这种设备，他们更感兴趣的是将手机恢复到工厂设置并出售，而不是努力获取存储在其中的信息。
               
• 第二种应用场景是工作场所的生物特征识别访问控制系统。生物特征识别在这种场景中是有效的，因为攻击者不太可能出现在你每天工作的地方冒充你。真实的外表意味着他们可能会被抓住。因此，这种生物特征识别身份验证似乎在安全性和可用性之间取得了良好的平衡。

如果扩大生物特征识别的使用场景，几乎可以肯定的是，黑客将开始盗窃、存储和销售生物特征身份。我们今天的许多身份验证都是为了远程登录。毕竟，没有人会登录Web服务器必须亲自运行到托管主机存储的机房。如果你能用生物特征远程登录资源，黑客肯定会蜂拥而至。他们会使用你的生物特征登录许多网站，比如窃取或猜测你的登录名称/密码，而不会冒被抓的风险。

一旦黑客获得了你的真实生物特征身份，他们应该如何阻止他们使用它？密码可以更改，多因素身份验证令可以更改，但如果指纹被盗怎么办？你只接受你余生不能使用指纹的事实，并通知所有依赖指纹验证的系统。

多因素认证是方向

与至少一种非生物特征属性的秘密型身份验证因子结合使用的生物特征识别 *** 是可以接受的。比如说，刷指纹的同时还要求输入PIN代码或插入智能卡。生物特征可以作为一个标志，就像输入登录名称或电子邮件地址一样，提供了一个方便，但不能作为唯一的身份验证秘密。

【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv）获取授权】

戳这里，看作者更好的文章