个性化阅读
专注于IT技术分析

生物识别安全性–无密码认证是关键还是一时的流行?

点击下载

本文概述

多年来, 无密码身份验证一直是安全性的圣杯, 但进展缓慢。这并不意味着尚未取得长足的进步, 但是不幸的是, 这些开发中的大多数都已降级到研究实验室或专业领域。直到几年前, 大规模实现无密码身份验证的技术还没有出现。

生物识别和生物识别安全

但是, 行业巨头正在慢慢但必定会改变这一状况。需要考虑一些技术, 法律甚至道德方面的考虑因素, 但尽管如此, 生物识别安全性和无密码身份验证仍然存在。

生物识别技术已经在改变游戏规则, 并且他们将继续这样做。

为什么一开始就无密码?

由于这是一个工程博客, 所以我不需要向一群具有安全意识的开发人员解释快速登录的好处。我们无需从消费者的角度看问题-我们所有人都不得不使用无数的在线服务和数量不断增加的设备。这种情况不会很快改变, 如果有的话, 我们必须登录的服务和设备的数量将会不断增加。

当然, 可以使用很多方法来分配密码, 包括生物特征认证。从用户的角度来看, 使用Google, Microsoft和Facebook帐户登录第三方服务是可行的, 因为用户可以避免密码膨胀, 而不必为每个服务和设备创建帐户。

OAuth和OpenID多年来一直用于合并数字身份, 并且该标准已被技术行业中的一些知名人士采用。

从技术上讲, 这并不是真正的无密码方法, 但是普通用户可能看不到这种区别。

使用这种方法的利弊是:

优点:

  • 方便
  • 易于实施
  • 安全性好
  • 品牌名称省心

缺点:

  • 对集中式服务的依赖
  • 一个篮子里的所有鸡蛋–通过破坏一个帐户, 攻击者可以访问其他帐户
  • 超出你控制范围的潜在安全漏洞可能对你不利
  • 由于隐私问题, 人们可能不愿意使用此类服务

尽管它不适用于通常只授予业务用户而非消费者的安全证书, 但对于替代解决方案, 多数情况都是如此。利弊多于利弊, 因此我们已经可以使用我们现有的帐户登录无数第三方服务。

生物识别和生物识别安全性如何提供帮助?

使用生物识别系统解决了许多问题。只要做得正确, 就不会依赖集中式服务, 也不必担心隐私, 也不会损害用户体验。因此, 让我们看一下优缺点。

优点:

  • 指纹扫描快速, 便宜且相对安全
  • 语音识别易于使用且难以操作
  • 虹膜扫描非常安全, 可能比指纹扫描更方便
  • 心电图技术提供”始终在线”认证
  • 所有生物识别安全方法都可以解决隐私问题, 同时提供良好的安全性

缺点:

  • 生物识别技术并不适合所有应用
  • 部署生物识别安全性的成本通常令人望而却步
  • 支持仅限于某些平台, 大多数平台均不提供
  • 有些技术还不成熟
  • 生物识别技术不是灵丹妙药–安全性仍可能受到损害

生物识别技术不是一个新概念或新技术。生物特征识别安全已在许多行业中使用了数十年, 它甚至已经成为好莱坞脚本作者的主要角色。我敢肯定, 很多读者在几年前就有机会在他们的笔记本上玩着面部识别和指纹扫描仪-我知道我做到了, 而且我也没有留下深刻的印象。这些早期解决方案大多数都是廉价的头。

但是, 从那以后我们已经走了很长一段路。拥有更强大的处理能力以及出色的成像传感器, 并且一切都由日益完善的软件提供支持。这就是为什么其中一些技术卷土重来的原因。

行业对指纹扫描仪表示赞许

苹果的Touch ID可能是市场上最知名的指纹认证解决方案, 但绝不是唯一的一种。苹果公司在iOS 8中向第三方开发人员开放了Touch ID, 并着手将该技术集成到新的iPhone和iPad以及其Apple Pay服务中。

这就是为什么iOS在Android和其他平台上拥有明显优势的原因。在Cupertino提出更好的产品之前, 所有新的iPhone和iPad都将附带Touch ID。

指纹生物识别安全

这并不意味着应该注销Android, 因为越来越多的Android手机都配备了指纹扫描仪。最早的生物特征认证设备具有小型扫描仪, 需要用户在扫描仪上滑动手指, 但是类似于Apple的触摸扫描装置正变得越来越普遍。重要的是要注意, 此功能不是为昂贵的旗舰产品保留的, 即使是由中国供应商出售的售价200美元的手机都配备了这种扫描仪。

但是, 仍然需要考虑。 Google尚未在其任何Nexus设备上集成指纹扫描仪, 尽管有传言称Google最初打算将其包含在Nexus 6智能手机中。实际上, Android开放源代码项目(AOSP)提供了从设备中删除指纹支持的证据。对于Android开发人员而言, 这不是一个好消息, 因为Google通常会在Nexus设备上展示新技术, 并跟进文档和API, 例如Nexus S上的NFC支持或Galaxy Nexus上的气压计传感器。

尽管如此, 这并不能阻止供应商使用自己的代码以及几种类型的扫描仪。但是, 这对于束手无策的开发人员来说是个坏消息, 因为没有可以消除碎片并确保互操作性的标准。三星试图通过允许开发人员使用其Pass API来解决该问题, 但这仍然不是理想的解决方案。摩托罗拉四年前曾尝试使用其旧的Atrix设备进行相同的操作。

许多硬件制造商和开发人员还发布了SDK, 使开发人员可以集成对各种指纹扫描仪的支持, 但是缺少可以减少或消除碎片的标准化环境仍然是一个大问题。

我们可能需要一段时间才能在大多数手机上看到指纹扫描仪, 但是正在取得很大进展。在短短几年内, 我们从旗舰手机上没有扫描仪, 变成了200美元手机上相对可靠的扫描仪。

指纹扫描仪

但是, 它们有多有用?它们像旧笔记本上的第一代指纹扫描仪一样s头吗?

该技术有效, 这一点毫无疑问, 但是暂时应用受到限制。软件开发必须赶上硬件的发展, 我们需要更多可以使用这种解决方案的服务, 并且我们需要来自行业领导者(即Google)的更多API, 标准和指南。此时, 许多Android设备上的指纹扫描仪都是头, 仅此而已。

总体而言, 指纹扫描仪很方便, 但不是理想的解决方案。尽管每个指纹都是唯一的, 但仍然存在一些安全隐患。尽管用简单的图像来实现这一点变得越来越困难, 但许多扫描仪还是可以被欺骗的。但是, 还有其他选择, 包括3D打印以及一些病态的实现方法, 正如几年前一位安全专家指出的那样。

不用说, 你不能戴着手套, 拇指受伤或在其他极端情况下使用指纹读取器。但是, 这些是相对较小的缺点。

微软想看你一眼

因此, 让我们总结一下。 Android和iOS已经可以将指纹扫描仪用于生物识别安全, 并且目前未被充分利用。但是桌面环境呢?我们可以解锁手机并使用生物识别技术对付款进行身份验证, 但是我们仍然可以在台式机上工作, 那么如何使它们真正成为无密码的呢?

Microsoft最近发布了Windows Hello, 以防万一你错过了它, 请查看Windows官方博客以获取有关此计划的全面概述。

这是Microsoft解释其对Windows Hello的愿景的方式:

Windows 10无需使用共享或可共享的密码之类的密码, 而是可以代表你安全地对应用程序, 网站和网络进行身份验证, 而无需发送密码。因此, 在他们的服务器上没有存储共享密码, 以防止黑客入侵。

Windows 10将要求你在具有生物识别传感器的设备上使用PIN或Windows Hello在代表你进行身份验证之前验证你是否拥有该设备。通过”护照”认证后, 你将能够立即访问一系列行业中不断增长的网站和服务-喜爱的商业网站, 电子邮件和社交网络服务, 金融机构, 商业网络等。

Windows Hello是一种生物识别身份验证系统, 它将使用户能够使用指纹扫描, 虹膜扫描或面部识别立即访问其Windows 10设备。微软表示, “大量”的新Windows 10设备将支持Windows Hello, 但是就我个人而言, 我发现一种特别有趣的技术。

虹膜扫描是Microsoft支持的方法之一, 与替代方法相比, 它具有一些优势。它应该比指纹扫描更可靠, 并且可能更方便。如果你想知道, 我们的网络摄像头或电话摄像头无法解决这个问题, Microsoft希望使用”特殊硬件和软件的组合”来确保系统不被打败。

虹膜扫描和生物识别

虹膜扫描仪将依靠红外技术(可能是近红外)。这意味着它将能够在所有照明条件下工作, 并可以通过眼镜甚至有色眼镜看到虹膜。硬件设计人员不必在设备上预留很多空间来集成扫描仪;它可以集成在我们手机上的自拍摄像头旁边, 也可以作为当今许多办公机器上使用的独立网络摄像头的补充。这意味着可以轻松地将其改装为现有的台式机。

除了红外扫描仪之外, 微软还将依靠英特尔实感摄像头技术, 使用更多传统的生物识别安全措施, 例如面部识别。这应该有助于使Windows Hello的功能更加丰富, 尤其是当用户升级到基于Intel平台的新笔记本电脑和混合笔记本电脑时。

在移动设备方面, 虹膜扫描比指纹认证具有多个优势。它可以戴着手套工作, 虹膜损伤比拇指受伤要少得多, 并且击败消费者级别的虹膜扫描仪比指纹扫描仪要困难得多。

微软的方法还有另一个角度-该软件巨头不会存储用户的生物识别数据。生物特征签名将在设备上本地保护, 并与用户共享。签名仅用于解锁设备和Passport, 因此不会用于通过网络对用户进行身份验证。

微软的生物识别计划尚无定论, 我们将不得不等待Windows 10看到它的实际效果。

永远在线身份验证如何?

尽管所有这些技术在取代传统密码方面都可能做得很好, 但是有一些新兴的概念可以为工程师提供更大的自由度。如果我们可以完全省去整个过程, 而无需密码, 无需指纹扫描, 该怎么办?

下一个领域是”始终在线验证”, 并且已经提出了许多到达那里的方法。但是, 需要进行重要区分。永远在线身份验证通常是指机器对机器身份验证, 例如”始终在线” SSL身份验证, SHH连接, NFC凭证和各种联网技术的系统。这些通常是为了监视和认证金融交易而开发的, 从而降低了在线欺诈的风险。

始终在线用户身份验证的解决方案相对较少。 Bionym的Nymi腕带就是这样的例子。这是一种可穿戴设备, 看起来很像普通的健身追踪器, 但是比它更聪明。

始终处于身份验证

Nymi扫描用户的独特心电图(ECG)。这意味着你只需将设备戴在手腕上即可提供始终在线的身份验证。只要你的心脏持续跳动, 就可以登录。

如果你想尝试在Apple Watch或Android Wear手表上尝试相同的技巧, 请紧紧抓住, 我们还没有。 Nymi不仅可以像智能手表那样跟踪用户的心律, 它还可以分析用户的ECG波形, 该波形需要一个更灵敏的传感器。智能手表听起来像是此应用程序的理想硬件平台, 迟早它们将能够执行相同的操作。

想像一下, 只要在那里动动一下电话, 即可解锁手机, 汽车, 办公室和计算机?无缝登录任何帐户, 然后支付午餐, 回家途中购物, 甚至可以从自动柜员机提取现金, 而无须花费杂货和信用卡。我们还没到那儿, 但是我们正在慢慢到达那儿。

这对软件开发人员和用户意味着什么?

目前, 软件开发人员可以使用现成的中间件和令牌化来部署无密码解决方案。这样的例子之一就是Passwordless, 它是Node.js和Express的基于令牌的开源框架。如果你对它的部署方式感兴趣, Mozilla会提供一篇详尽的博客文章来对其进行说明。

这将需要一些时间, 但生物识别构建基块正在慢慢落到位。当前的无密码技术将得到扩充, 并最终由生物识别技术取代。

许多生物统计学安全怀疑论者, 包括我的许多同事, 都不相信这种情况会很快发生, 但是我是一个坚不可摧的乐观主义者。我认为, 无密码安全性将在20年代末成为标准, 这就是为什么:如果我们仅关注某个特定领域, 无论是软件还是硬件, 我们都会发现无数生物识别技术问题, 其中许多我已经概述过。但是, 如果我们退后一步, 放眼大局, 再看看新的行业趋势, 以及对个人和公司安全的日益重视, 广为宣传的安全漏洞, 隐私问题, 那么我们一定会看到不同的角度。

即便如此, 房间里的大象也不是隐私或B2B安全性, 而是移动支付。

预计今年美国的移动交易量将增加一倍以上, 达到100亿美元。彭博社预计, 到2018年, 交易量将达到1100亿美元。按人均计算, 今年美国普通消费者的交易额约为30美元, 但到2018年, 这个数字将上升到人均330美元, 男女老少均相同。假设2019年和2020年的年均复合增长率相同, 到2021年, 我们的人均位数可能达到四位数。

有了这些钱, 你会怎么想?

赞(0)
未经允许不得转载:srcmini » 生物识别安全性–无密码认证是关键还是一时的流行?

评论 抢沙发

评论前必须登录!