作者:FIDO Alliance executive director and CMO Andrew Shikiar
智能家居集成越来越受欢迎,尤其是在现代,越来越多的人被Covid-19限制在家里。据Statista统计,目前澳大利亚有110万户家庭安装了智能安全系统,预计到2023年这一数字将翻一番,在新西兰还有20万户。智能安全系统包括网络摄像头、视频门铃和其他安全和访问控制设备,旨在防止家庭入侵和盗窃。
智能设备不断发展,并提供更多功能、连接性和与其他设备和软件平台的集成。未来的智能家居承诺提供无缝、个性化的体验。例如,智能锁提供了更高的家庭安全性,也是保护更多社会脆弱成员安全的一种手段。
智能锁可以确保老年亲属在户主不在家时安全,并确保孩子们放学后可以安全进入。生物识别数字门锁可以对抗入侵者的威胁,并通过确保只有预先识别的人才能进入,从而消除了丢失钥匙最终落入坏人手中的恐惧。
除了智能家居创新,生物识别技术的商业应用也正在其他行业逐步推广,包括数字银行、建筑和设施安全等。根据IDC的数据,亚太地区近三分之一的组织认为用于身份验证的生物特征非常重要或极其重要。
尽管亚太地区在生物识别技术的应用上走在了前面,但人们对安全和身份欺诈造成的损失的担忧依然存在。在诸如Biostar2数据泄露等事件之后,全球的强烈抗议只会火上浇油。
最常见的误解是生物特征对潜在攻击的免疫力。关键是要将数据泄露事件与生物特征之间的联系分离开来,因为大多数攻击的真正原因不是生物特征本身,而是生物特征数据存储在一个集中的数据库中。
误解1:生物识别技术不安全
与人们对隐私的普遍关注相反,生物特征认证是当今最安全和最有用的身份验证形式之一。如果正确实施,生物识别技术实际上可以成为为数不多的无需权衡的技术之一,为用户提供便利和安全。
然而,鲜为人知的是,“正确的”实施——或最佳实施——意味着将生物特征数据排除在中央服务器之外,并遵守隐私最佳实践。
根据Verizon的一份数据泄露调查报告,被盗密码仍然是当今最广泛使用的身份验证形式,80%以上的黑客攻击都是由盗用密码造成的。
生物特征识别是未来取代密码的最佳选择之一,甚至可能重新采用双因素身份验证(2FA),但我们不能犯与密码相同的错误。
看看这个模型:密码之所以失效,是因为普通用户拥有超过90个在线账户,而且在很多情况下,在其中几个账户中使用相同的密码。事实上,密密麻麻的密码最终成为某个服务器上的靶子,被盗后很容易被用来进行密码喷洒、凭证填充和其他攻击,让网络罪犯进入私人和敏感账户。
IBM和PonemonInstitute的研究显示,每一次数据泄露的财务影响都是惊人的,在澳大利亚平均损失213万美元。
生物识别是安全的,是的。但如果我们把它们存储在服务器上,生物识别数据就和密码一样容易被窃取。
因此,生物识别数据可以而且应该只存储在用户的设备(例如笔记本电脑或移动电话)上,而不是依赖于服务器。科技巨头微软、苹果和谷歌已经开始采取这种方式。消费者有理由担心他们的生物特征数据受到保护,提供商必须透明地使用正确的生物特征数据存储方法。
误解2:生物识别技术很容易被欺骗
很早以前,生物特征欺骗也敲响了警钟。关于黑客用3D打印机制作复杂指纹模具并成功进入设备的在线报道更是无处不在。虽然生物识别系统容易受到演示(或欺骗)攻击,但实际上它们极难实现,而且最关键的是,它们难以大规模实施。
厂商们正在解决这一问题,他们在传感器的灵敏度方面都有新的创新,并增加了新的活性检测功能,以测试正确的用户。
纽约肯尼迪机场最近推出了一种生物识别自助登机系统。只需简单地看一眼装有下一代活力检测的高精度摄像头,乘客就可以自动登机。
欺骗威胁并不意味着我们必须放弃生物识别。我们只需要对网络军备竞赛持现实主义态度,并确保遵循生物特征认证最佳实践即可。
除了只在设备上存储生物特征数据外,服务提供商还需要采取第二步,即利用现有技术,在每次显示生物特征时验证授权用户个人设备的实际拥有情况。
采取这两个步骤——将生物特征数据存储在用户的设备上(永远不要让它离开)并要求无可辩驳的设备拥有证据——生物特征数据大规模泄露的威胁就消失了。
犯罪分子甚至需要生物特征数据和实际设备才能进行攻击。如果我们对黑客有所了解,一个攻击计划必须是大规模的,否则他们就不会费心了。
通通过采取这些步骤,我们可以毫不费力地享受生物认证提供的便利。(编译/Cassie)
方案推荐
* 千家网原创文章,转载请注明作者及出处。
参与评论 (0)