I dati biometrici possono essere “rubati”? Questa è una domanda frequente che viene spesso soddisfatta con una risposta imprecisa.
La tipica risposta errata è simile a questa:
Mentre è possibile modificare la password o il PIN se è compromessa, non è possibile modificare le informazioni biometriche. Una volta rubato, non è possibile essere revocato e può essere utilizzato per frodi ripetute.
In questo post forniamo 4 motivi per cui questo pensiero è imperfetto.
4 motivi per cui i dati biometrici è sicuro da hacker:
- a Differenza di una password, i nostri dati biometrici non è un segreto
- dati Biometrici è garantito da Uno
- Biometrici modelli sono inutili per i truffatori
- Biometria in genere non sono il solo fattore di autenticazione
#1 a Differenza di una password, i nostri dati biometrici non è un segreto
A livello di base, i nostri dati biometrici è intrinsecamente pubblico, in modo che cosa significa essere rubato? Le nostre impronte digitali sono lasciate su tutto ciò che tocchiamo,le nostre voci sono facilmente registrati e le moderne telecamere mobili sono in grado di catturare immagini e video ad alta risoluzione. In particolare, la maggior parte di noi pubblica intenzionalmente foto e persino video di noi stessi su social media e siti Web accessibili al pubblico.
In quanto tale, è abbastanza semplice per i truffatori ottenere le informazioni necessarie per creare artefatti sintetici, come foto stampate o maschere, da utilizzare nell’hacking o nello “spoofing” di un sistema di identificazione biometrica. Questa iniziativa non richiede l’hacking in un database aziendale per ottenere dati biometrici: una semplice ricerca su Google è tutto ciò che serve per ottenere dati che possono essere utilizzati per attaccare la biometria del viso, della voce e persino dell’iride.
Tuttavia, a differenza di una password o PIN, l’autenticazione basata su dati biometrici non dipende da informazioni segrete. Cioè, non c’è bisogno che il biometrico sia segreto. Perché? Perché i moderni sistemi di autenticazione biometrica (1) hanno una persona che supervisiona il controllo biometrico, ad esempio quando attraversa un cancello in un aeroporto, o (2) utilizzano la tecnologia liveness per garantire che il biometrico provenga da una persona reale e non sia un attacco di spoof. Pertanto, la minaccia di rubare qualcosa che è già pubblico non è molto di una minaccia.
#2 La biometria è protetta da Liveness
Come menzionato al punto #1, la corrispondenza biometrica è solo una componente dei sistemi di verifica e autenticazione dell’identità di oggi. Mentre la biometria risponde alla domanda: “È questa la persona giusta?”, rilevamento liveness è necessario per rispondere alla domanda, ” Si tratta di una persona reale?”Confermare la presenza della persona reale quando si presenta un biometrico è fondamentale nei casi d’uso remoti o non supervisionati, come la registrazione di un nuovo conto bancario su un’app mobile anziché di persona in una filiale. In altre parole, il rilevamento di liveness impedisce che la biometria venga violata.
Ad esempio, per la biometria facciale, la tecnologia facial liveness distingue tra la presenza di una persona viva nel punto di verifica (presenza davanti alla fotocamera) e gli attacchi di spoofing, come quelli che utilizzano foto stampate, replay video e maschere. Le stesse idee sulla liveness si applicano alle impronte digitali e alla voce in cui qualcuno usa il silicone per falsificare un’impronta digitale o una registrazione per falsificare una voce biometrica.
Con liveness in atto, si sono protetti anche se i dati biometrici è violato. La liveness facciale è la tecnologia anti-spoofing più comunemente implementata oggi, il che è logico dato il crescente uso della biometria facciale per l’onboarding e l’autenticazione remoti. I principali prodotti di rilevamento della liveness facciale di oggi offrono una precisione comprovata e una presenza estremamente bassa di un truffatore che inganna il sistema biometrico.
Man mano che emergono più casi d’uso per i dispositivi IoT abilitati alla voce, ci aspettiamo di vedere un’adozione simile della liveness vocale per consentire l’autenticazione vocale sicura per i pagamenti in-app, l’accesso alle informazioni personali e altro ancora.
Mentre le impronte digitali potrebbero non essere accessibili, la tecnologia è anche protetta da liveness. Ad esempio, la biometria precisa supporta la liveness del viso con ID R&D IDLive™ Face e la liveness delle impronte digitali con la loro soluzione BioLive. BioLive identifica con precisione un’impronta digitale falsa analizzando diverse differenze di immagine fondamentali tra un’immagine di impronte digitali dal vivo e una da una parodia.
Per riassumere il punto # 2, liveness detection limita significativamente la preoccupazione che i dati biometrici cadano nelle mani sbagliate.
# 3 I modelli biometrici sono inutili per i truffatori
Che dire della minaccia di qualcuno che hackera il database di informazioni biometriche di un’azienda?
I sistemi biometrici convertono il campione biometrico, come un’immagine o una registrazione vocale, in un modello. Questi modelli non sono reversibili nel campione originale. Un moderno sistema biometrico memorizza solo i modelli, non le informazioni biometriche originali. I modelli non includono alcuna informazione personale sull’essere umano, come l’età, il sesso o le caratteristiche fisiche uniche. Anche se qualcuno ruba un modello, non c’è nulla che possano fare con esso. In cima a questo, l’applicazione di best practice di crittografia dei dati a riposo assicura che qualsiasi hacker che ruba i modelli avrà due strati di byte inutili.
#4 La biometria non è in genere l’unico fattore di autenticazione
Le industrie regolamentate e le applicazioni ad alta garanzia mettono in atto più controlli di sicurezza per proteggere le informazioni personali e le transazioni. Forte autenticazione del cliente richiede l’uso di due dei tre fattori: qualcosa che conosci (come un PIN), qualcosa che hai (come il tuo telefono), o qualcosa che sei (un biometrico). Ad esempio, una banca può abilitare l’uso della biometria facciale con liveness per accedere alla propria app mobile. Tuttavia, si baseranno anche sul tuo dispositivo mobile come token e potrebbero persino chiedere una seconda modalità biometrica o una password unica per determinate transazioni ad alto rischio. Questo è in cima alla sofisticata intelligenza artificiale che potrebbe essere in atto per identificare comportamenti insoliti.
Nessuna tecnologia di autenticazione è infallibile. Nel raro caso di un attacco riuscito a un sistema biometrico, i danni saranno mitigati da ulteriori fattori di sicurezza, strumenti di frode e pratiche di sicurezza delle applicazioni comunemente utilizzate per proteggersi da man in the middle e altri attacchi.
Ripensare alla domanda: i dati biometrici possono essere rubati?
Sulla base delle informazioni di cui sopra, la questione se i dati biometrici possano essere rubati o meno non è molto buona. La domanda migliore è: “Qual è il rischio che qualcuno comprometta la mia identità usando i miei dati biometrici?”In termini di verifica dell’identità e autenticazione, il rischio che un truffatore crei un artefatto e riesca a falsificare la tua identità è estremamente basso con liveness detection in atto. Il truffatore verrà fermato e non può commettere frodi ripetute anche se ha i tuoi dati biometrici.
Mentre poche persone pubblicherebbero una foto della loro password su Facebook, non ci pensiamo due volte prima di pubblicare un selfie. Noi non attivamente guardare fuori per le persone che scattano foto, video o registrazione audio di noi. E certamente non cancelliamo tutto ciò che tocchiamo per evitare che le nostre impronte digitali vengano sollevate. Va bene perché il rilevamento della liveness combinato con le buone pratiche nei moderni sistemi biometrici protegge i nostri dati biometrici dall’essere hackerati e utilizzati quando non siamo presenti.
Scopri di più sui prodotti ID R & D”s biometric authentication and liveness oppure compila il form per contattare i nostri esperti.