Können biometrische Daten „gestohlen“ werden? Dies ist eine häufig gestellte Frage, die oft mit einer ungenauen Antwort getroffen wird.
Die typische falsche Antwort sieht ungefähr so aus:
Während Sie Ihr Passwort oder Ihre PIN ändern können, wenn es kompromittiert ist, können Sie Ihre biometrischen Informationen nicht ändern. Einmal gestohlen, kann es nicht widerrufen werden und kann für wiederholten Betrug verwendet werden.
In diesem Beitrag geben wir 4 Gründe an, warum dieses Denken fehlerhaft ist.
4 Gründe, warum biometrische Daten vor Hackern sicher sind:
- Im Gegensatz zu einem Passwort sind unsere biometrischen Daten kein Geheimnis
- Biometrische Daten werden durch Lebendigkeit gesichert
- Biometrische Vorlagen sind für Betrüger unbrauchbar
- Biometrie ist normalerweise nicht der einzige Authentifizierungsfaktor
#1 Im Gegensatz zu einem Passwort sind unsere biometrischen Daten kein Geheimnis
Auf der grundlegendsten Ebene sind unsere biometrischen Daten von Natur aus öffentlich.Was bedeutet es also, gestohlen zu werden? Unsere Fingerabdrücke bleiben auf allem, was wir berühren, unsere Stimmen können problemlos aufgezeichnet werden, und moderne mobile Kameras können hochauflösende Bilder und Videos aufnehmen. Vor allem veröffentlichen die meisten von uns absichtlich Fotos und sogar Videos von uns in öffentlich zugänglichen sozialen Medien und Websites.
Daher ist es für Betrüger recht einfach, die Informationen zu erhalten, die zum Erstellen synthetischer Artefakte wie gedruckter Fotos oder Masken erforderlich sind, um ein biometrisches Identifikationssystem zu hacken oder zu „fälschen“. Diese Initiative erfordert kein Hacken in eine Unternehmensdatenbank, um biometrische Daten zu erhalten — eine einfache Google-Suche genügt, um Daten zu erhalten, mit denen Gesichts-, Sprach- und sogar Iris-Biometrie angegriffen werden können.
Im Gegensatz zu einem Passwort oder einer PIN hängt die Authentifizierung auf der Grundlage biometrischer Daten jedoch nicht von geheimen Informationen ab. Das heißt, es ist nicht erforderlich, dass die Biometrie geheim ist. Warum? Weil moderne biometrische Authentifizierungssysteme entweder (1) eine Person haben, die die biometrische Überprüfung überwacht, z. B. beim Passieren eines Flugsteigs an einem Flughafen, oder (2) die Lebendigkeitstechnologie verwenden, um sicherzustellen, dass die Biometrie von einer realen Person stammt und kein Spoof-Angriff ist. Daher ist die Bedrohung, etwas zu stehlen, das bereits öffentlich ist, keine große Bedrohung.
# 2 Biometrie wird durch Lebendigkeit gesichert
Wie in Punkt 1 erwähnt, ist der biometrische Abgleich nur ein Bestandteil der heutigen Identitätsprüfungs- und Authentifizierungssysteme. Während die Biometrie die Frage beantwortet, „Ist das die richtige Person?“, liveness Detection ist notwendig, um die Frage zu beantworten: „Ist das eine reale Person?“ Die Bestätigung der Anwesenheit der realen Person bei der Vorlage einer Biometrie ist in Anwendungsfällen, die remote oder unbeaufsichtigt sind, von entscheidender Bedeutung, z. B. die Anmeldung für ein neues Bankkonto in einer mobilen App anstelle von persönlich in einer Filiale. Mit anderen Worten, die Live-Erkennung verhindert, dass biometrische Daten gehackt werden.
Bei der Gesichtsbiometrie unterscheidet die Facial Liveness-Technologie beispielsweise zwischen der Anwesenheit einer lebenden Person zum Zeitpunkt der Überprüfung (Anwesenheit vor der Kamera) und Spoofing-Angriffen, z. B. solchen, die gedruckte Fotos, Videowiederholungen und Masken verwenden. Die gleichen Ideen über Lebendigkeit gelten für Fingerabdrücke und Stimme, wo jemand Silikon verwendet, um einen Fingerabdruck oder eine Aufzeichnung zu fälschen, um eine Stimme biometrisch zu fälschen.
Mit liveness sind Sie geschützt, auch wenn Ihre biometrischen Daten gehackt werden. Die Lebendigkeit des Gesichts ist heute die am häufigsten eingesetzte Anti-Spoofing-Technologie, was angesichts der zunehmenden Verwendung von Gesichtsbiometrie für Remote-Onboarding und Authentifizierung logisch ist. Die heute führenden Produkte zur Erkennung der Lebendigkeit von Gesichtern bieten nachgewiesene Genauigkeit und ein extrem geringes Auftreten eines Betrügers, der das biometrische System täuscht.
Da immer mehr Anwendungsfälle für sprachfähige IoT-Geräte auftauchen, erwarten wir eine ähnliche Einführung von Voice Liveness, um eine sichere Sprachauthentifizierung für In-App-Zahlungen, den Zugriff auf persönliche Informationen und mehr zu ermöglichen.
Während Fingerabdrücke möglicherweise nicht so zugänglich sind, ist die Technologie auch durch Lebendigkeit geschützt. Zum Beispiel unterstützt Precise Biometrics die Lebendigkeit von Gesichtern mit ID R& D IDLive ™ Face sowie die Lebendigkeit von Fingerabdrücken mit ihrer BioLive-Lösung. BioLive identifiziert einen gefälschten Fingerabdruck genau, indem es mehrere grundlegende Bildunterschiede zwischen einem Live-Fingerabdruckbild und einem von einer Fälschung analysiert.
Um Punkt 2 zusammenzufassen, schränkt die Erkennung von Lebendigkeit die Sorge, dass biometrische Daten in die falschen Hände geraten, erheblich ein.
# 3 Biometrische Vorlagen sind für Betrüger nutzlos
Was ist mit der Gefahr, dass jemand die Datenbank eines Unternehmens mit biometrischen Informationen hackt?
Biometrische Systeme wandeln das biometrische Muster, wie ein Bild oder eine Sprachaufnahme, in eine Vorlage um. Diese Vorlagen sind nicht reversibel zurück in die ursprüngliche Probe. Ein modernes biometrisches System speichert nur die Vorlagen, nicht die ursprünglichen biometrischen Informationen. Die Vorlagen enthalten keine persönlichen Informationen über den Menschen – wie Alter, Geschlecht oder einzigartige körperliche Merkmale. Selbst wenn jemand eine Vorlage stiehlt, kann er nichts damit anfangen. Darüber hinaus stellt die Anwendung bewährter Verfahren zur Verschlüsselung von Daten im Ruhezustand sicher, dass jeder Hacker, der die Vorlagen stiehlt, zwei Schichten nutzloser Bytes hat.
# 4 Biometrie ist in der Regel nicht der einzige Authentifizierungsfaktor
Regulierte Branchen und Anwendungen mit hoher Sicherheit führen mehrere Sicherheitsprüfungen durch, um persönliche Informationen und Transaktionen zu schützen. Eine starke Kundenauthentifizierung erfordert die Verwendung von zwei von drei Faktoren: etwas, das Sie kennen (wie eine PIN), etwas, das Sie haben (wie Ihr Telefon) oder etwas, das Sie sind (ein biometrisches). Beispielsweise kann eine Bank die Verwendung von Gesichtsbiometrie mit Liveness aktivieren, um sich in ihrer mobilen App anzumelden. Sie verlassen sich jedoch auch auf Ihr Mobilgerät als Token und fragen möglicherweise sogar nach einer zweiten biometrischen Modalität oder einem Einmalpasswort für bestimmte Transaktionen mit hohem Risiko. Dies ist auf der Oberseite der hoch entwickelten künstlichen Intelligenz, die an Ort und Stelle sein kann, ungewöhnliches Verhalten zu identifizieren.
Keine Authentifizierungstechnologie ist narrensicher. Im seltenen Fall eines erfolgreichen Angriffs auf ein biometrisches System werden Schäden durch zusätzliche Sicherheitsfaktoren, Betrugstools und häufig verwendete Anwendungssicherheitspraktiken zum Schutz vor Man-in-the-Middle- und anderen Angriffen gemindert.
Die Frage überdenken: Können biometrische Daten gestohlen werden?
Basierend auf den obigen Informationen ist die Frage, ob biometrische Daten gestohlen werden können oder nicht, nicht sehr gut. Die bessere Frage lautet: „Wie hoch ist das Risiko, dass jemand meine Identität mit meinen biometrischen Daten gefährdet?“ In Bezug auf Identitätsüberprüfung und Authentifizierung ist das Risiko, dass ein Betrüger ein Artefakt erstellt und Ihre Identität erfolgreich fälscht, bei vorhandener Liveness-Erkennung äußerst gering. Der Betrüger wird gestoppt und kann keinen wiederholten Betrug begehen, selbst wenn er über Ihre biometrischen Daten verfügt.
Während nur wenige Leute ein Foto ihres Passworts auf Facebook posten würden, denken wir nicht zweimal darüber nach, ein Selfie zu posten. Wir achten nicht aktiv auf Personen, die Fotos, Videos oder Audioaufnahmen von uns machen. Und wir wischen sicherlich nicht alles ab, was wir berühren, um zu verhindern, dass unsere Fingerabdrücke aufgehoben werden. Das ist in Ordnung, da die Erkennung von Lebendigkeit in Kombination mit bewährten Verfahren in modernen biometrischen Systemen unsere biometrischen Daten davor schützt, gehackt und verwendet zu werden, wenn wir nicht anwesend sind.
Erfahren Sie mehr über die biometrischen Authentifizierungs- und Lebendigkeitsprodukte von ID R&D oder füllen Sie das Formular aus, um unsere Experten zu kontaktieren.