kan biometriske data “stjæles”? Dette er et ofte stillet spørgsmål, der ofte mødes med et unøjagtigt svar.
det typiske forkerte svar ser sådan ud:
mens du kan ændre din adgangskode eller pinkode, hvis den er kompromitteret, kan du ikke ændre dine biometriske oplysninger. Når det er stjålet, er det ikke muligt at blive tilbagekaldt og kan bruges til gentagen svig.
i dette indlæg giver vi 4 grunde til, at denne tænkning er mangelfuld.
4 grunde til, at biometriske data er sikre mod hackere:
- i modsætning til en adgangskode er vores biometriske data ikke en hemmelighed
- biometriske data er sikret ved Liveness
- biometriske skabeloner er ubrugelige for svindlere
- biometri er typisk ikke den eneste godkendelsesfaktor
#1 i modsætning til en adgangskode er vores biometriske data ikke en hemmelighed
på det mest basale niveau er vores biometriske data iboende offentlige, så hvad betyder det at blive stjålet? Vores fingeraftryk er tilbage på alt, hvad vi rører ved, vores stemmer optages let, og moderne mobilkameraer er i stand til at optage billeder og video i høj opløsning. Mest bemærkelsesværdigt, de fleste af os bevidst sende billeder og endda videoer af os selv på offentligt tilgængelige sociale medier og hjemmesider.
som sådan er det ret simpelt for svindlere at få de oplysninger, der er nødvendige for at skabe syntetiske artefakter, såsom trykte fotos eller masker, til brug i hacking eller “spoofing” et biometrisk identifikationssystem. Dette initiativ kræver ikke hacking i en virksomhedsdatabase for at få biometriske data — en simpel Google-søgning er alt, hvad der kræves for at få data, der kan bruges til at angribe ansigt, stemme og endda iris-biometri.
i modsætning til en adgangskode eller PIN-kode afhænger autentificering baseret på biometriske data imidlertid ikke af oplysninger, der er en hemmelighed. Det vil sige, at der ikke er behov for, at biometrien er hemmelig. Hvorfor? Fordi moderne biometriske autentificeringssystemer enten (1) har en person, der fører tilsyn med den biometriske kontrol, f.eks. når man går gennem en port i en lufthavn, eller (2) bruger liveness-teknologi for at sikre, at den biometriske er fra en rigtig person og ikke er et spoofangreb. Derfor er truslen om at stjæle noget, der allerede er offentligt, ikke meget af en trussel.
#2 biometri er sikret ved Liveness
som nævnt i punkt #1 er biometrisk matching kun en komponent i dagens identitetsbekræftelses-og godkendelsessystemer. Mens biometri besvarer spørgsmålet, “Er dette den rigtige person?”, liveness detection er nødvendig for at besvare spørgsmålet, ” Er dette en rigtig person?”At bekræfte tilstedeværelsen af den rigtige person, når han præsenterer en biometrisk, er kritisk i brugssager, der er fjerntliggende eller uden tilsyn, såsom at tilmelde sig en ny bankkonto i en mobilapp i stedet for personligt i en filial. Med andre ord forhindrer detektion af livhed biometri fra at blive hacket.
for eksempel skelner ansigtsbiometrisk teknologi mellem tilstedeværelsen af en levende person på verifikationsstedet (tilstedeværelse foran kameraet) og spoofingangreb, såsom dem, der bruger trykte fotos, videoafspilninger og masker. De samme ideer om livlighed gælder for fingeraftryk og stemme, hvor nogen bruger silikone til at spoofe et fingeraftryk eller en optagelse til at spoofe en stemme biometrisk.
med liveness på plads er du beskyttet, selvom dine biometriske data er hacket. Facial liveness er den mest almindeligt anvendte anti-spoofing teknologi i dag, hvilket er logisk i betragtning af den voksende brug af ansigt biometri til fjern onboarding og godkendelse. Dagens førende ansigtsgenkendelsesdetekteringsprodukter tilbyder dokumenteret nøjagtighed og ekstremt lav forekomst af en svindler, der narrer det biometriske system.
efterhånden som der opstår flere brugssager til stemmeaktiverede IoT-enheder, forventer vi at se lignende vedtagelse af stemmelevenhed for at muliggøre sikker stemmegodkendelse til betalinger i appen, adgang til personlige oplysninger og mere.
mens fingeraftryk muligvis ikke er så tilgængelige, er teknologien også beskyttet af liveness. For eksempel understøtter præcise Biometrics face liveness med ID r&D IDLive Prish Face samt fingeraftrykslevenhed med deres BioLive-løsning. BioLive identificerer nøjagtigt et falsk fingeraftryk ved at analysere flere grundlæggende billedforskelle mellem et levende fingeraftryksbillede og et fra en spoof.
for at opsummere punkt #2 begrænser liveness detection signifikant bekymringen for biometriske data, der falder i de forkerte hænder.
#3 biometriske skabeloner er ubrugelige for svindlere
hvad med truslen om, at nogen hacker en virksomheds database med biometriske oplysninger?
biometriske systemer konverterer den biometriske prøve, f.eks. et billede eller en stemmeoptagelse, til en skabelon. Disse skabeloner er ikke reversible tilbage i den oprindelige prøve. Et moderne biometrisk system gemmer kun skabelonerne, ikke de originale biometriske oplysninger. Skabelonerne indeholder ikke personlige oplysninger om mennesket — såsom alder, køn, eller unikke fysiske egenskaber. Selv hvis nogen stjæler en skabelon, er der intet, de kan gøre med det. Derudover sikrer anvendelse af bedste praksis med kryptering af data i hvile, at enhver hacker, der stjæler skabelonerne, har to lag ubrugelige bytes.
#4 biometri er typisk ikke den eneste godkendelsesfaktor
regulerede industrier og applikationer med høj sikkerhed sætter flere sikkerhedskontroller på plads for at beskytte personlige oplysninger og transaktioner. Stærk kundeautentificering kræver brug af to af tre faktorer: noget du ved (som en PIN), noget du har (som din telefon) eller noget du er (en biometrisk). For eksempel kan en bank muligvis aktivere brugen af ansigtsbiometri med liveness til at logge ind på deres mobilapp. De vil dog også stole på din mobile enhed som et token og kan endda bede om en anden biometrisk modalitet eller engangsadgangskode til visse transaktioner med høj risiko. Dette er oven på sofistikeret kunstig intelligens, der kan være på plads for at identificere usædvanlig adfærd.
ingen autentificering teknologi er idiotsikker. I den sjældne forekomst af et vellykket angreb på et biometrisk system, skader mindskes af yderligere sikkerhedsfaktorer, svindelværktøjer, og almindeligt anvendt applikationssikkerhedspraksis for at beskytte mod mand i midten og andre angreb.
nytænkning af spørgsmålet: Kan biometriske data stjæles?
baseret på ovenstående oplysninger er spørgsmålet om, hvorvidt biometriske data kan stjæles, ikke særlig god. Det bedre spørgsmål er, ” hvad er risikoen for, at nogen kompromitterer min identitet ved hjælp af mine biometriske data?”Med hensyn til identitetsbekræftelse og godkendelse er risikoen for, at en svindler skaber en artefakt og med succes spoofing din identitet, ekstremt lav med liveness detektion på plads. Svindleren stoppes og kan ikke begå gentagne svig, selvom de har dine biometriske data.
mens få mennesker ville sende et foto af deres adgangskode til Facebook, tænker vi ikke to gange på at sende en selfie. Vi holder ikke aktivt øje med folk, der tager billeder, video eller lydoptagelse af os. Og vi tørrer bestemt ikke alt, hvad vi rører ved, for at forhindre, at vores fingeraftryk løftes. Det er okay, fordi detektion af livlighed kombineret med god praksis i moderne biometriske systemer beskytter vores biometriske data mod at blive hacket og brugt, når vi ikke er til stede.
få mere at vide om ID R & D ‘ s biometriske autentificerings-og liveness-produkter, eller udfyld formularen for at kontakte vores eksperter.