生体データは”盗まれる”ことができますか? これは頻繁に不正確な応答と満たされるよく寄せられる質問である。
一般的な不正解は次のようになります。
パスワードやPINが侵害された場合は変更できますが、生体情報を変更することはできません。 一度盗まれると、失効することはできず、繰り返し詐欺に使用することができます。
この記事では、この考え方に欠陥がある4つの理由を提供します。
バイオメトリックデータがハッカーから安全である4つの理由:
- パスワードとは異なり、私たちの生体認証データは秘密ではありません
- 生体認証データはLivenessによって保護されています
- 生体認証テンプレートは詐欺師には役に立たない
- 生体認証は、通常、唯一の認証要因ではありません
#1 パスワードとは異なり、私たちの生体データは秘密ではありません
最も基本的なレベルでは、私たちの生体データは本質的に公開されているので、盗まれる 私たちの指紋は私たちが触れるすべてのものに残され、私たちの声上の生体データは簡単に記録され、現代のモバイルカメラは高解 最も顕著なのは、私たちの大部分が意図的に公開されているソーシャルメディアやwebサイトに自分自身の写真やビデオを投稿することです。
このように、詐欺師は、生体認証システムのハッキングや”なりすまし”に使用するために、印刷された写真やマスクなどの合成アーティファクトを作成す このイニシアチブは、生体認証データを取得するために会社のデータベースにハッキングする必要はありません—簡単なGoogle検索は、それが顔、音声、さらにはアイリスバイオメトリクスを攻撃するために使用することができるデータを取得するために必要なすべてです。
ただし、パスワードや暗証番号とは異なり、生体データに基づく認証は秘密の情報に依存しません。 つまり、生体認証を秘密にする必要はありません。 どうして? 現代の生体認証システムは、(1)空港のゲートを通過するときなど、生体チェックを監督する人を持っているか、(2)生体認証が実在の人物からのものであり、なりすまし攻撃ではないことを保証するために生き生きとした技術を使用しているためです。 したがって、すでに公開されているものを盗むという脅威は、それほど脅威ではありません。
#2バイオメトリクスは生きている
ポイント#1で述べたように、バイオメトリクスのマッチングは、今日の身元確認および認証システムの一要素にすぎません。 生物測定学が質問に答える間、”これは右の人であるか。”、”これは実在の人物ですか?”という質問に答えるためには、生き生きとした検出が必要です。”生体認証を提示するときに実在の人物の存在を確認することは、支店で直接ではなく、モバイルアプリで新しい銀行口座にサインアップするなど、遠隔地や監督されていないユースケースでは非常に重要です。 言い換えれば、生体認証がハッキングされるのを防ぐことができます。
例えば、顔バイオメトリクスの場合、顔のliveness技術は、検証の時点での生きている人の存在(カメラの前に存在する)と、印刷された写真、ビデオリプレイ、マスクを使用するようななりすまし攻撃を区別する。 生きていることについての同じアイデアは、誰かが指紋を偽装するためにシリコーンを使用したり、生体認証の音声を偽装するために録音したりする指紋や音声に適用されます。
生きていれば、生体データがハッキングされても保護されます。 顔のlivenessは、今日最も一般的に展開されている偽装防止技術であり、遠隔オンボーディングと認証のための顔の生体認証の使用が増えていることを考えると論理的です。 今日の一流の顔のlivenessの検出プロダクトは生物測定システムをだます詐欺師の証明された正確さそして極端に低い発生を提供する。
音声対応のIoTデバイスのユースケースが増えるにつれて、アプリ内決済や個人情報へのアクセスなどの安全な音声認証を可能にするために、同様の声の生き生きとした採用が期待されています。
指紋はそれほどアクセスできないかもしれませんが、技術は生きていることによっても保護されています。 例えば、精密な生物測定学はId R&D IDLive™の表面との表面liveness、またBioLiveの解決との指紋のlivenessを支える。 BioLiveは、ライブ指紋画像となりすましからのものとの間のいくつかの基本的な画像の違いを分析することによって、偽の指紋を正確に識別します。
ポイント#2を要約すると、生きている検出は、生体認証データが間違った手に落ちる懸念を大幅に制限します。
#3バイオメトリックテンプレートは詐欺師には役に立たない
誰かが企業のバイオメトリックデータベースをハッキングする脅威はどうですか?
生体認証システムは、画像や音声録音などの生体認証サンプルをテンプレートに変換します。 これらのテンプレートは元のサンプルに戻すことはできません。 現代の生体認証システムは、元の生体情報ではなく、テンプレートのみを格納します。 テンプレートには、年齢、性別、固有の身体的特徴など、人間に関する個人情報は含まれていません。 誰かがテンプレートを盗んだとしても、それを使ってできることは何もありません。 これに加えて、保存中のデータを暗号化するベストプラクティスを適用することで、テンプレートを盗むハッカーは無駄なバイトの二つの層を持つことが保証されます。
#4バイオメトリクスは、通常、唯一の認証要因ではありません
規制された業界と高保証アプリケーションは、個人情報と取引を保護するために複数のセキ 強力な顧客認証は、3つの要因の2つを使用する必要があります:あなたが知っているもの(PINのような)、あなたが持っているもの(あなたの電話のような)、またはあなたがしているもの(生体認証)。 例えば、銀行は、自分のモバイルアプリにログインするためにlivenessと顔バイオメトリクスの使用を可能にすることができます。 しかし、彼らはまた、トークンとしてあなたのモバイルデバイスに依存し、さらには特定の高リスク取引のための第二の生体認証モダリティまたはワンタイムパスワードを求めることができます。 これは、異常な行動を識別するための場所にあるかもしれない洗練された人工知能の上にあります。
認証技術は絶対確実ではありません。 まれに生体認証システムへの攻撃が成功した場合、追加のセキュリティ要因、詐欺ツール、および一般的に使用されるアプリケーションセキュリティプ
質問を再考する:生体データは盗まれることができますか?
上記の情報に基づいて、生体データを盗むことができるかどうかという問題はあまり良いものではありません。 より良い質問は、”誰かが私の生体認証データを使用して私の身元を損なうリスクは何ですか?”本人確認と認証の面では、詐欺師がアーティファクトを作成し、あなたの身元を偽装するリスクは非常に低く、生き生きとした検出が行われています。 詐欺師は停止され、彼らはあなたの生体認証データを持っている場合でも、繰り返し詐欺をコミットすることはできません。
パスワードの写真をFacebookに投稿する人はほとんどいませんが、selfieを投稿することについてはよく考えていません。 私たちは積極的に私たちの写真、ビデオやオーディオ録音を取る人々に気をつけていません。 そして私達は確かに私達が私達の指紋が持ち上がることを防ぐために私達が触れるすべてを拭かない。 現代の生体認証システムの優れた慣行と組み合わせて生きている検出は、私たちが存在しないときにハッキングされ、使用されてから私たちの生
ID R&Dの生体認証およびliveness製品の詳細については、フォームに必要事項を記入して当社の専門家にお問い合わせください。