如今,几乎所有的密码都有可能被黑客破解,而组织采用的密钥成本很高,并且很容易丢失。新推出的生物识别认证技术填补了这一空白,其中许多技术价格低廉、易于使用,甚至可以内置在大多数人口袋里的移动设备中。
如今凭证违规事件不断成为头条新闻。例如,今年一名黑客窃取并发布了美国44家公司近10亿条用户记录;Facebook公司也被披露泄露近50亿个密码;微软公司确认其大量电子邮件泄露;一名黑客发布了美国数千名警官和FBI探员的信息;乔治亚理工学院泄露了100多万条记录;由于网络钓鱼攻击,美国联邦应急管理局泄露了160万条办案记录,而这样的坏消息还在不断涌现。
对于负责数据中心安全性的管理者来说,关键员工很可能成为违规行为的受害者,并且他们的凭据可能已经受到损害。无论他们是否重复使用其中一个密码或黑客利用泄露的凭据来访问其他帐户,仅仅基于密码的身份验证系统是不够的。
生物识别认证可能是一种有效的解决方案。指纹、面部表情、虹膜扫描、录音、行走步态,甚至是某人移动鼠标、键盘打字或手持手机的方式都可以用来帮助确认某人的身份。但这也存在一些安全问题。
如果企业的数据库遭到入侵,或者某些其他数据库遭到侵入,员工无法更改虹膜扫描这样的认证许可。
“企业可以继续生成新密码,但生物识别技术的手段是有限的。”PARC公司网络物理系统安全研究区域负责人Shantanu Rane表示。该公司是施乐(Xerox)公司的子公司,为用户提供激光打印机、图形用户界面、鼠标、以太网、面向对象的编程,以及其他关键的基础技术。
他说,PARC公司一直在跟踪生物识别技术的发展,包括来自学术界的理论研究,而且发现已经有生物特征认证的漏洞。
例如,三年前,美国人事管理办公室的一个600万个指纹数据库泄漏。2018年,印度唯一身份识别机构被窃取了10亿条以上记录,其中包括指纹和视网膜扫描等生物识别数据。
散列和加密
Rane说,保护生物识别凭证免受黑客入侵的一种可能方法是对它们进行散列或加密,并且只能使用加密版本。
例如,服务器机房门摄像头可以扫描进入者的面部,加密扫描,并将加密的图像发送到中央数据库,如果是新员工和陌生人时,将根据保存的面部图片进行检查并加密。
而工作人员面部的未加密版本永远不会被传输或存储,因此黑客无法进行攻击。但Rane说,“问题是,人员面部的两张照片看起来不一样。”
事实上,如果摄像头看到的图像与官方发布的照片相同,那可能是某人打印出该照片并将其放在面孔之前。而真正的面孔每次看起来总是有点不同。
他说:“当这些特性稍有不同时,那么可以采用散列技术扩大差异进行识别。”
研究人员正在研究这个问题,尝试创建一种加密或散列图像的方法,以便加密版本,即使它们不相同也可以进行比较。
Rane说,“但我们还没有达到高精度水平。”
基于本地硬件的身份验证
避免完全保留指纹扫描数据库风险的一种方法是切换到本地身份验证。这是其工作原理。当人员进门时,门锁会通过其指纹、面部扫描或者其他一些生物识别方法来检验进入者的身份,这些方法可以与密码、员工身份证或密码结合使用。
生物识别数据只存储在门锁中,并不存储其他数据,当进入者再次通过该门时,就会检查其之前存储的扫描。如果要保护多个机房、机架或计算机,采用这种技术成本昂贵又难以使用。
但是,几乎每个人都携带的设备都有内置的生物识别身份验证系统。当今的智能手机配备了一个安全的模块,可以存储生物识别信息。这些信息永远不会离开那个模块,所以即使手机被黑客入侵,其数据也是安全的。它永远不会在线共享或与任何集中式数据库共享。手机只用发送一个确认短信,就会表明他们的身份。
这些安全的模块不仅用于解锁带有面部特征或指纹的手机,并且使用方便,但这不是数据中心安全技术最重要的方面。这个系统是非接触式支付的通用标准,第三方应用程序可以访问此身份验证系统。
世界各地的超市可以让消费者将手机放在支付终端前购物,这意味着要想做到这一点,苹果和谷歌的零售商和金融公司都面临着很大的压力。
事实上手机可以使用第三方应用程序(如PayPal或Dropbox),这意味着它也可以被允许使用访问数据中心设施或计算机系统的安全应用程序。
谷歌公司日前宣布,企业在Android手机上使用内置身份验证比以往任何时候都更容易。
Rane说,“Uber公司并不知道其客户的指纹是什么样子的。他们只是系统的客户。这是一种很好的生物识别方法,可以防止或显著降低风险。”
他警告说,如果一家公司这么做,还有一些事情需要注意。
首先,企业必须确保员工拥有支持数据中心所需安全级别的最新现代手机。其次,员工不应与他人分享手机。
Rane说,“可能发生的一个问题是,用户的配偶或亲人也可以使用自己的指纹访问用户的手机。安全系统要求手机对其进行生物识别身份验证,他们可能采用生物识别技术,但手机的安全系统可能会通过。”
他补充说,还有智能手机指纹或面部扫描被欺骗的情况。但这些风险水平相对较低,如果数据中心将某些第二因素与生物识别机制结合使用(如PIN码、密码或行为分析),则可以降低这些风险。
Rane说,他不知道为什么更多的数据中心不使用智能手机来加强安全控制。他说,“目前还没有达到应有的水平。许多智能手机上的生物识别认证主要用于消费者应用程序。”
使用智能手机等以消费者为中心的技术进行认证的一个潜在问题是,有时人们可能会选择提高便利性而非安全性。
例如,位于波士顿的安全供应商Veridium公司的生物识别科学团队负责人AsemOthman说,苹果公司新推出的FaceID不如原有的TouchID技术安全。
他说,“大多数面部识别系统的准确性可能会因年龄、面部表情、面部毛发,甚至化妆品的变化而大幅降低。”他补充说,有些系统也存在性别或种族偏见的缺陷。
在消费者环境中,便利性可能比安全性更重要。例如,如果使用手机进行支付非常容易,用户可能会花更多的费用,即使它不完美,面部识别系统仍然比传统的基于签名的方法要好。但对于高度敏感的企业环境来说,其风险可能过高。
Othman说,“我们需要考虑安全性后果以及可用性和便利性,尤其是在企业和个人受到黑客攻击的频率和严重程度都在不断增加的世界中。”