易坊好文馆

  1. 首页 > 玩科技 >

技术|生物识别安全隐患仍存:拿什么来保护我们的“身体密码”?

指纹 人脸 保护 用户 技术 什么 认证 密码 生物 识别 特征 国密局


技术|生物识别安全隐患仍存:拿什么来保护我们的“身体密码”?
文章图片

生物识别技术正快速“走红”海内外众多领域 。 根据中国信通院2020年发布的《生物识别隐私保护研究报告》 , 自2010年以来 , 全球生物识别产业迅速增长 , 2017-2018年市场增速最快 , 增长率达到22.28% , 2019年之后逐步稳定增长趋势 , 到2020年市场达到233亿美元 。
现今比较成熟的生物识别认证方式有指纹认证、人脸认证、声纹认证、虹膜认证、步态认证等 。 例如 , 系统进行活体检测时 , 用户“眨眨眼、点点头”即可快速实现线上身份确认;指纹、人脸还能用于免密登录认证、免密支付转账、线上合同签署操作;执法部门通过人脸识别对特定人员进行精准搜索和巡查……
不可否认 , 生物识别技术让用户的认证方式变得简单、易操作 , 但应用过程中也会出现一些风险 , 有两类安全问题尤为突出 。
安全问题1:针对生物识别技术的安全攻击持续不断
这些年 , 对于生物识别认证的攻击一直存在 , 攻击手法层出不穷 , 但大致归为两类:一种是通过网络对生物识别信息的截取 , 以便实现对认证系统的攻击 , 这种攻击方法主要针对远程人脸认证;另一种是通过深度伪造生物识别信息 , 做出极其逼真的3D人脸模具、指纹模具 , 实现以假乱真的效果 。
2017年央视315晚会现场 , 主持人凭借手机和一张正面照片 , 就使用“换脸”特效成功攻破人脸识别系统;2018年一篇《一块橘子皮就能秒开你的手机指纹锁还能转账付款》的文章被疯狂转载 , 攻击者使用特定的方法和工具 , 即可实现手机指纹解锁的破解;2019年1月 , 在德国黑客组织年度大会上 , 研究员使用照片制成的手摸绕过了静脉认证;同年3月 , 攻击者利用AI技术成功模仿并冒充英国某公司CEO的声音 , 诈骗22万欧元;近年来 , 使用3D打印面具 , 可呈现极度逼真的人脸模型 , 骗过某些手机终端人脸识别认证系统 。
实际上 , 我们需要通过优化生物识别认证算法 , 或结合其他安全认证原理 , 结合特定的应用场景 , 才能实现可靠性、安全性的防护 , 防止误认、漏认等风险的发生 。 比如 , 央行发布的《网上银行系统信息安全通用规范2020》明确指出 , 应把生物特征技术作为安全增强手段 , 并与其他身份认证技术相结合 , 增强交易安全 。
安全问题2:个人生物特征隐私保护亟待解决
生物识别信息是每个人与生俱来的特征 , 一旦遭到泄露 , 将出现不可挽回的影响 。 目前 , 生物特征信息的采集、传输、存储等方面还缺少较为细化的安全措施规范 。 另外 , 现有的市场中存在生物信息采集过度 , 使用过度等乱象 , 一些企业未征得用户同意的情况下 , 任意使用生物特征(尤其是人脸信息) , 对用户隐私造成严重威胁 。
保护个人生物信息隐私 , 实际上需要从法律立法、加强监管、企业自律等多维度开展 。 近年来 , 我国相继发布了多个针对生物识别认证相关的标准规范 , 例如 , 《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》(GB∕T 36651-2018)、《信息安全技术 远程人脸识别系统技术要求》(GBT38671-2020)等 。 此外 , 为切实保护公民个人隐私安全 , 按照《关于开展摄像头偷窥等黑产集中治理的公告》要求 , 工信部网络安全管理局近期还组织开展了摄像头网络安全集中整治 。
基于多年来对生物识别领域的深度研究及探索实践 , 中国金融认证中心(CFCA)能为行业提供成熟的安全合规认证解决方案 。 该方案对接权威数据源 , 提供用户在线多要素和活体检测功能 , 认证用户的真实身份;提供基于FIDO标准的生物识别快速认证功能 , 实现生物特征识别+PKI高强度密码认证的复合身份验证方式 , 实现用户快速安全授权 , 优势显著:
1.结合了生物识别技术和电子签名技术 , 实现密码和生物特征的绑定 , 加强了生物识别认证的安全强度;
【技术|生物识别安全隐患仍存:拿什么来保护我们的“身体密码”?】2.采用终端本地生物特征作为认证因子 , 无需建立指纹、人脸等生物特征存储库 , 可完全防止生物特征信息泄露风险 , 并已完成央行、公安部、国密局等监管机构相关资质认证 , 已获生物识别数字证书的专利申请 。

    推荐阅读


    上一篇:散热|夏日清凉水冷电竞!攀升设计师与游戏专用电脑主机

    下一篇:借款|微信里可以开借条了:提供规范模版、还款提醒等功能