生物识别技术应该是现代身份验证系统的基础之一。 但是许多生物识别实现(无论是指纹扫描还是人脸识别)可能非常不准确,关于它们的唯一普遍正面的说法是它们聊胜于无。
此外——这可能证明是至关重要的——生物识别技术被错误地视为非常准确的事实可能足以阻止一些欺诈企图。
生物识别技术在现实世界中效果不佳的实际原因有多种,安全意识培训供应商 KnowBe4 的网络安全专家最近发表的一篇文章为生物识别技术问题增加了一层新的复杂性。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
KnowBe4 的国防布道者 Roger Grimes 在 LinkedIn 上撰写了有关美国国家标准与技术研究院 (NIST) 评估评级的文章。 正如他解释的那样:“任何生物识别供应商或算法创建者都可以提交他们的算法以供审查。 NIST 收到了 733 份指纹审查提交和 450 多份面部识别审查提交。 NIST 准确度目标取决于审查和正在测试的场景,但 NIST 正在寻找 1:100,000 左右的准确度目标,这意味着每 100,000 次测试中有一个错误。
Grimes 在总结 NIST 的调查结果时写道:“到目前为止,提交的候选人中没有一个接近这一点。”“最好的解决方案的错误率为 1.9%,这意味着每 100 次测试几乎有两个错误。这与 1 :100,000,当然与大多数供应商吹捧的数字相去甚远。我参与了许多大规模的生物识别部署,我们发现错误率——误报或漏报——甚至比 NIST 在其最佳情况下看到的还要高 场景实验室条件测试。我经常看到 1:500 或更低的错误。”
让它沉没一会儿。
在独立测试中,许多生物识别技术根本无法准确兑现其承诺。 最重要的是,许多供应商,包括苹果 (iOS) 和谷歌 (Android),在他们的设置中做出营销选择,他们选择身份验证的严格程度或宽松程度。 他们不希望很多人被不当锁定在手机之外,因此他们选择放宽限制,实际上为更多未经授权的人访问设备开了绿灯。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
还记得那些显示手机在使用面部识别时让手机用户的孩子或兄弟姐妹进入的视频吗? 这是一个很大的原因。
另一个关键因素是理论准确性与现实世界准确性的对比。 考虑两种流行的手机身份验证方法:面部识别和指纹识别。 从理论上讲,面部识别更具辨别力,因为它可以考虑更多的数据点。 但实际上,这通常不会发生。
您是否见过任何孩子或兄弟姐妹通过指纹访问电话? 面部识别必须处理照明、化妆品、头发变化和许多其他因素。 使用指纹识别时,这些都不起作用。
还有一个距离问题。 借助面部识别,设备需要与面部保持精确距离才能准确读取——不能太近,也不能太远。 我个人使用带有面容 ID 的 iPhone,我通常会遇到 60% 的失败。 然后我稍微调整一下差异——如果幸运的话——我的手机就会解锁。 (同样,这不是指纹的问题。)
旁注:为什么许多银行应用程序以更复杂的方式处理支票扫描(是的,一些公司仍在使用支票)? 该应用程序通常会在拍摄支票图像之前告诉您“将手机移近”或“移回”。 为什么面部识别不能做同样的事情?
也不要忘记,从身份验证的角度来看,很多生物识别部署都是一个笑话。 为什么? 因为当生物识别身份验证失败时,访问默认为手机的 PIN。
换句话说,如果小偷想要绕过生物识别技术,他或她所要做的就是失败一两次,然后处理更容易破解的 PIN。 重点是什么? 很明显,主要的电话供应商更多地将生物识别技术用于身份验证或网络安全,而不是为了方便。 这是一种无需输入 PIN 即可访问设备的方法。
听起来很宽松,Grimes 认为情况可能更糟。 “NIST 测试是最好的情况。 它们都非常不准确。 在几乎所有情况下,安全性都被夸大了,”他在接受采访时说。
Grimes 还对生物识别技术不变的性质表示担忧。 如果密码或 PIN 被泄露,很容易生成新密码或 PIN。 甚至可以更换物理令牌。 那么,如果生物识别技术遭到破坏会怎样? 你不能轻易改变你的脸、视网膜、声音或指纹。
“一旦被盗,如何取回?” Grimes 说,并补充说对生物识别数据进行逆向工程是很有可能的。
这里的底线问题是感知和表征。 目前实施的这些生物识别工作只不过是为了方便。 (不要误会我的意思;作为一个天生懒惰的人,我疯狂地爱上了便利。)但它们是为网络安全量身定制的。 因此,用户和技术人员将依赖生物识别技术作为保护措施。
有很多方法可以安全地部署生物识别技术。 视网膜扫描通常是安全的,指纹对于拥有可正确扫描指纹的人来说效果很好。 但是目前被各种金融机构使用的语音生物识别技术仍然很容易被伪造。
这使我们回到设置决策。 如果设置足够严格,甚至面部识别也可以成为一种安全机制。 简而言之,生物识别技术非常方便。 作为一种安全防御,今天的大多数实现都没有削减它。
