lehet-e “ellopni” a biometrikus adatokat? Ez egy gyakran feltett kérdés, amelyre gyakran pontatlan válasz érkezik.
a tipikus helytelen válasz valahogy így néz ki:
bár megváltoztathatja jelszavát vagy PIN-kódját, ha az veszélybe kerül, a biometrikus adatait nem változtathatja meg. Miután ellopták, nem lehet visszavonni, és ismételt csalásra használható.
ebben a bejegyzésben 4 okot adunk meg, miért hibás ez a gondolkodás.
4 ok, amiért a biometrikus adatok biztonságosak a hackerektől:
- a jelszóval ellentétben a biometrikus adataink nem titok
- a biometrikus adatokat az Élőség biztosítja
- a biometrikus sablonok haszontalanok a csalók számára
- a biometrikus adatok általában nem az egyetlen hitelesítési tényező
#1 A jelszóval ellentétben a biometrikus adataink nem titok
a legalapvetőbb szinten a biometrikus adataink természetüknél fogva nyilvánosak, tehát mit jelent ellopni? Ujjlenyomatunk mindenen ott marad, amihez hozzáérünk, hangunk könnyen rögzíthetők, és a modern mobil kamerák képesek nagy felbontású képek és videók rögzítésére. Leginkább az, hogy többségünk szándékosan fotókat, sőt videókat tesz közzé magunkról a nyilvánosan elérhető közösségi médiában és weboldalakon.
mint ilyen, a csalók számára meglehetősen egyszerű megszerezni a szintetikus tárgyak, például nyomtatott fényképek vagy maszkok létrehozásához szükséges információkat a biometrikus azonosító rendszer hackeléséhez vagy “hamisításához”. Ehhez a kezdeményezéshez nincs szükség a vállalati adatbázis feltörésére a biometrikus adatok megszerzéséhez-egy egyszerű Google-keresés elegendő ahhoz, hogy olyan adatokat szerezzen, amelyek felhasználhatók az arc, a hang, sőt az írisz biometrikus adatainak megtámadására.
a jelszóval vagy a PIN-kóddal ellentétben azonban a biometrikus adatokon alapuló hitelesítés nem függ a titkos információtól. Vagyis nincs szükség arra, hogy a biometrikus adatok titkosak legyenek. Miért? Mivel a modern biometrikus hitelesítési rendszerek vagy (1) egy személy felügyeli a biometrikus ellenőrzést, például amikor egy repülőtéren átmegy egy kapun, vagy (2) használja a liveness technológiát annak biztosítására, hogy a biometrikus adatok valódi személytől származnak, és nem hamis támadás. Ezért az a fenyegetés, hogy ellopnak valamit, ami már nyilvános, nem sok veszélyt jelent.
#2 A biometrikus adatokat a Liveness biztosítja
az 1.pontban említettek szerint a biometrikus egyezés a mai személyazonosság-ellenőrzési és hitelesítési rendszereknek csak egy eleme. Míg a biometrikus válasz a kérdésre, ” ez a megfelelő ember?”, az élőség észlelése szükséges a kérdés megválaszolásához: “ez valódi ember?”A valódi személy jelenlétének megerősítése a biometrikus adatok bemutatásakor kritikus fontosságú a távoli vagy felügyelet nélküli használati esetekben, például új bankszámlára való feliratkozás egy mobilalkalmazásban, nem pedig személyesen egy fiókban. Más szavakkal, az élőség észlelése megakadályozza a biometrikus adatok feltörését.
az arcbiometria esetében például az arcélesség technológia különbséget tesz az élő személy jelenléte között az ellenőrzés helyén (a kamera előtt való jelenlét) és a hamisító támadások között, például azok között, amelyek nyomtatott fényképeket, videó visszajátszásokat és maszkokat használnak. Ugyanezek az élettel kapcsolatos elképzelések vonatkoznak az ujjlenyomatokra és a hangra is, amikor valaki szilikont használ az ujjlenyomat meghamisításához, vagy egy felvételt a hang biometrikus meghamisításához.
a liveness a helyén, akkor is védett, ha a biometrikus adatok feltörték. A Facial liveness a leggyakrabban alkalmazott anti-spoofing technológia ma, ami logikus, mivel az arc biometrikus adatok egyre inkább használatosak a távoli be-és hitelesítéshez. A mai vezető arcélesség-érzékelő termékek bizonyított pontosságot és rendkívül alacsony előfordulást kínálnak a biometrikus rendszert becsapó csalók számára.
ahogy egyre több felhasználási eset jelenik meg a hangalapú IoT eszközök esetében, arra számítunk, hogy a voice liveness hasonló elfogadása lehetővé teszi a biztonságos hangos hitelesítést az alkalmazáson belüli fizetésekhez, a személyes adatokhoz való hozzáféréshez stb.
bár az ujjlenyomatok nem annyira hozzáférhetők, a technológiát az élesség is védi. Például a precíz Biometria támogatja az arc élőségét ID R& D IDLive 6 Face, valamint az ujjlenyomat élőségét BioLive megoldásukkal. A BioLive pontosan azonosítja a hamis ujjlenyomatot azáltal, hogy elemez néhány alapvető képkülönbséget az élő ujjlenyomat-kép és a hamisítás között.
a 2.pont összefoglalása érdekében az élőség-észlelés jelentősen korlátozza a biometrikus adatok rossz kezekbe kerülésének aggodalmát.
#3 A biometrikus sablonok haszontalanok a csalók számára
mi a helyzet azzal a fenyegetéssel, hogy valaki feltöri a vállalat biometrikus információs adatbázisát?
a biometrikus rendszerek a biometrikus mintát, például képet vagy hangfelvételt sablonná alakítják. Ezek a sablonok nem visszafordíthatók vissza az eredeti mintába. A modern biometrikus rendszer csak a sablonokat tárolja, az eredeti biometrikus információkat nem. A sablonok nem tartalmaznak semmilyen személyes információt az emberről — például az életkorról, nem, vagy egyedi fizikai jellemzők. Még akkor is, ha valaki ellop egy sablont, semmit sem tehet vele. Ezen felül, a nyugalmi adatok titkosításának bevált gyakorlatainak alkalmazása biztosítja, hogy minden hackernek, aki ellopja a sablonokat, két réteg haszontalan bájtja lesz.
#4 a biometria jellemzően nem az egyetlen hitelesítési tényező
a szabályozott iparágak és a magas biztonságú alkalmazások több biztonsági ellenőrzést vezetnek be a személyes adatok és tranzakciók védelme érdekében. Az erős ügyfél-hitelesítés három tényező közül kettőt igényel: valamit, amit tudsz (például egy PIN-kódot), valamit, ami van (például a telefonod), vagy valamit, ami vagy (biometrikus). Például egy bank engedélyezheti az arc Biometria használatát élénkséggel a mobilalkalmazásba való bejelentkezéshez. Ugyanakkor tokenként a mobileszközére is támaszkodnak, sőt kérhetnek egy második biometrikus modalitást vagy egyszeri jelszót bizonyos magas kockázatú tranzakciókhoz. Ez a kifinomult mesterséges intelligencia tetején van, amely a szokatlan viselkedés azonosítására alkalmas.
egyetlen hitelesítési technológia sem üzembiztos. A biometrikus rendszer elleni sikeres támadás ritka előfordulása esetén a károkat további biztonsági tényezők, csalási eszközök és általánosan használt alkalmazásbiztonsági gyakorlatok enyhítik a középső ember és más támadások elleni védelem érdekében.
a kérdés újragondolása: ellophatók-e a biometrikus adatok?
a fenti információk alapján a biometrikus adatok ellopásának kérdése nem túl jó. A jobb kérdés az, “mi a kockázata annak, hogy valaki veszélyezteti a személyazonosságomat a biometrikus adataim felhasználásával?”A személyazonosság-ellenőrzés és a hitelesítés szempontjából rendkívül alacsony annak a kockázata, hogy egy csaló műtárgyat hoz létre, és sikeresen meghamisítja személyazonosságát, ha a liveness detection működik. A csalót megállítjuk, és nem követhet el ismételt csalást, még akkor sem, ha rendelkezik az Ön biometrikus adataival.
bár kevesen tennének fel egy fotót a jelszavukról a Facebook-ra, nem gondolkodunk kétszer egy szelfi közzétételén. Nem figyelünk aktívan arra, hogy az emberek fényképeket készítsenek, videó vagy hangfelvétel rólunk. És természetesen nem törölünk le mindent, amihez hozzáérünk, hogy megakadályozzuk az ujjlenyomataink levételét. Ez rendben van, mert a modern biometrikus rendszerekben alkalmazott jó gyakorlatokkal kombinálva megvédjük biometrikus adatainkat attól, hogy feltörjék és felhasználják őket, amikor nem vagyunk jelen.
Tudjon meg többet az ID R& D biometrikus hitelesítési és liveness termékeiről, vagy töltse ki az űrlapot, hogy kapcsolatba léphessen szakértőinkkel.