czy dane biometryczne można „ukraść”? Jest to często zadawane pytanie, które często spotyka się z niedokładną odpowiedzią.
typowa nieprawidłowa odpowiedź wygląda mniej więcej tak:
chociaż możesz zmienić hasło lub PIN, jeśli jest on naruszony, nie możesz zmienić informacji biometrycznych. Po kradzieży nie można jej cofnąć i można ją wykorzystać do wielokrotnych oszustw.
w tym poście podajemy 4 powody, dla których to myślenie jest wadliwe.
4 powody, dla których dane biometryczne są bezpieczne przed hakerami:
- w przeciwieństwie do hasła, nasze dane biometryczne nie są tajemnicą
- dane biometryczne są zabezpieczone żywotnością
- szablony biometryczne są bezużyteczne dla oszustów
- Biometria zazwyczaj nie jest jedynym czynnikiem uwierzytelniającym
#1 W przeciwieństwie do hasła, nasze dane biometryczne nie są tajemnicą
na najbardziej podstawowym poziomie, nasze dane biometryczne są z natury publiczne, więc co to znaczy zostać skradzionym? Nasze odciski palców są pozostawione na wszystkim, czego dotykamy, nasze głosy są łatwo rejestrowane, a nowoczesne kamery mobilne są w stanie rejestrować obrazy i wideo o wysokiej rozdzielczości. Przede wszystkim większość z nas celowo publikuje zdjęcia, a nawet filmy o sobie w publicznie dostępnych mediach społecznościowych i witrynach internetowych.
w związku z tym oszuści mogą łatwo uzyskać informacje potrzebne do tworzenia syntetycznych artefaktów, takich jak wydrukowane zdjęcia lub maski, do wykorzystania w hakowaniu lub „fałszowaniu” systemu identyfikacji biometrycznej. Ta inicjatywa nie wymaga włamania do bazy danych firmy w celu uzyskania danych biometrycznych — wystarczy proste wyszukiwanie w Google, aby uzyskać dane, które mogą być wykorzystane do ataku na biometrię twarzy, głosu, a nawet tęczówki.
jednak w przeciwieństwie do hasła lub kodu PIN, uwierzytelnianie oparte na danych biometrycznych nie zależy od informacji, które są tajne. Oznacza to, że nie ma potrzeby, aby biometria była tajemnicą. Dlaczego? Ponieważ nowoczesne systemy uwierzytelniania biometrycznego albo (1) mają osobę nadzorującą kontrolę biometryczną, na przykład podczas przechodzenia przez bramę na lotnisku, albo (2) wykorzystują technologię liveness, aby upewnić się, że biometryczny pochodzi od prawdziwej osoby i nie jest atakiem fałszywym. Dlatego groźba kradzieży czegoś, co jest już publiczne, nie stanowi większego zagrożenia.
#2 Biometria jest zabezpieczona żywotnością
jak wspomniano w punkcie # 1, dopasowanie biometryczne jest tylko jednym z elementów dzisiejszych systemów weryfikacji tożsamości i uwierzytelniania. Podczas gdy biometria odpowiada na pytanie: „czy to właściwa osoba?”, wykrywanie życia jest konieczne, aby odpowiedzieć na pytanie: „czy to prawdziwa osoba?”Potwierdzenie obecności prawdziwej osoby podczas prezentacji biometrycznej ma kluczowe znaczenie w przypadkach użycia zdalnego lub nienadzorowanego, takich jak założenie nowego konta bankowego w aplikacji mobilnej zamiast osobistego w oddziale. Innymi słowy, wykrywanie aktywności uniemożliwia włamanie się do danych biometrycznych.
na przykład w przypadku biometrii Twarzy Technologia żywotności twarzy rozróżnia obecność żywej osoby w punkcie weryfikacji (obecność przed kamerą) i ataki fałszujące, takie jak te, które używają drukowanych zdjęć, powtórek wideo i masek. Te same pomysły dotyczące życia odnoszą się do odcisków palców i głosu, w których ktoś używa silikonu do sfałszowania odcisków palców lub nagrania do sfałszowania głosu.
dzięki funkcji liveness jesteś chroniony, nawet jeśli Twoje dane biometryczne zostaną zhakowane. Żywotność twarzy jest obecnie najczęściej stosowaną technologią zapobiegającą spoofingowi, co jest logiczne, biorąc pod uwagę rosnące wykorzystanie biometrii twarzy do zdalnego wdrażania i uwierzytelniania. Dzisiejsze wiodące produkty do wykrywania żywotności twarzy oferują sprawdzoną dokładność i wyjątkowo niskie występowanie oszusta oszukującego system biometryczny.
w miarę pojawiania się nowych przypadków użycia urządzeń IoT z obsługą głosu, spodziewamy się podobnego zastosowania funkcji żywotności głosu, aby umożliwić bezpieczne uwierzytelnianie głosowe w płatnościach w aplikacji, dostęp do danych osobowych i nie tylko.
chociaż odciski palców mogą nie być tak dostępne, technologia jest również chroniona przez żywotność. Na przykład precyzyjne dane biometryczne obsługują żywotność twarzy z ID R& D Idlive ™ Face, a także żywotność linii papilarnych dzięki rozwiązaniu BioLive. BioLive dokładnie identyfikuje fałszywy odcisk palca, analizując kilka podstawowych różnic między obrazem na żywo a obrazem fałszywego odcisku palca.
podsumowując punkt # 2, wykrywanie żywotności znacznie ogranicza obawy związane z danymi biometrycznymi wpadającymi w niepowołane ręce.
#3 Szablony biometryczne są bezużyteczne dla oszustów
co z groźbą włamania się do firmowej bazy danych informacji biometrycznych?
systemy biometryczne przekształcają próbkę biometryczną, taką jak obraz lub nagranie głosowe, w szablon. Szablony te nie są odwracalne z powrotem do oryginalnej próbki. Nowoczesny system biometryczny przechowuje tylko szablony, a nie oryginalne informacje biometryczne. Szablony nie zawierają żadnych danych osobowych o człowieku – takich jak wiek, płeć lub unikalne cechy fizyczne. Nawet jeśli ktoś kradnie szablon, nic nie może z nim zrobić. Ponadto zastosowanie najlepszych praktyk szyfrowania danych w spoczynku zapewnia, że każdy haker, który wykrada szablony, będzie miał dwie warstwy bezużytecznych bajtów.
#4 Biometria zazwyczaj nie jest jedynym czynnikiem uwierzytelniającym
regulowane branże i aplikacje o wysokiej pewności wprowadzają wiele kontroli bezpieczeństwa w celu ochrony danych osobowych i transakcji. Silne uwierzytelnianie klienta wymaga użycia dwóch z trzech czynników: czegoś, co znasz (na przykład kodu PIN), czegoś, co masz (na przykład telefonu) lub czegoś, czym jesteś (biometrycznego). Na przykład bank może umożliwić korzystanie z biometrii twarzy z liveness, aby zalogować się do swojej aplikacji mobilnej. Będą jednak również polegać na Twoim urządzeniu mobilnym jako tokenie, a nawet mogą poprosić o drugą modalność biometryczną lub jednorazowe hasło dla niektórych transakcji wysokiego ryzyka. Jest to na szczycie wyrafinowanej sztucznej inteligencji, która może być na miejscu do identyfikacji nietypowych zachowań.
żadna technologia uwierzytelniania nie jest niezawodna. W rzadkich przypadkach udanego ataku na system biometryczny, szkody zostaną złagodzone przez dodatkowe czynniki bezpieczeństwa, narzędzia oszustwa i powszechnie stosowane praktyki bezpieczeństwa aplikacji w celu ochrony przed man in the middle i innymi atakami.
pytanie: czy można ukraść dane biometryczne?
na podstawie powyższych informacji pytanie, czy dane biometryczne mogą zostać skradzione, nie jest zbyt dobre. Lepsze pytanie brzmi: „Jakie jest ryzyko, że ktoś naraża moją tożsamość przy użyciu moich danych biometrycznych?”Jeśli chodzi o weryfikację tożsamości i uwierzytelnianie, ryzyko, że oszust stworzy artefakt i skutecznie sfałszuje twoją tożsamość, jest bardzo niskie przy wykrywaniu życia. Oszust zostanie zatrzymany i nie może popełnić ponownego oszustwa, nawet jeśli ma Twoje dane biometryczne.
chociaż niewiele osób zamieściłoby zdjęcie swojego hasła na Facebooku, nie zastanawiamy się dwa razy nad zamieszczeniem selfie. Nie obserwujemy aktywnie osób robiących nam zdjęcia, nagrywających wideo lub audio. I z pewnością nie wycieramy wszystkiego, czego dotykamy, aby zapobiec usunięciu naszych odcisków palców. To nic, ponieważ wykrywanie aktywności w połączeniu z dobrymi praktykami w nowoczesnych systemach biometrycznych chroni nasze dane biometryczne przed włamaniem i wykorzystaniem, gdy nie jesteśmy obecni.
dowiedz się więcej o produktach ID R&d do uwierzytelniania biometrycznego i produktów liveness lub wypełnij formularz, aby skontaktować się z naszymi ekspertami.