kan biometriska data ”stulen”? Detta är en vanlig fråga som ofta möts med ett felaktigt svar.
det typiska felaktiga svaret ser ut så här:
medan du kan ändra ditt lösenord eller PIN-kod om det äventyras kan du inte ändra din biometriska information. En gång stulen är det inte möjligt att återkallas och kan användas för upprepade bedrägerier.
i det här inlägget ger vi 4 skäl till varför detta tänkande är bristfälligt.
4 Anledningar till att biometriska data är säkra från hackare:
- till skillnad från ett lösenord är våra biometriska data inte en hemlighet
- biometriska data säkras av Liveness
- biometriska mallar är värdelösa för bedrägerier
- biometri är vanligtvis inte den enda autentiseringsfaktorn
#1 till skillnad från ett lösenord är våra biometriska data inte en hemlighet
på den mest grundläggande nivån är våra biometriska data i sig offentliga, så vad betyder det att bli stulen? Våra fingeravtryck finns kvar på allt vi berör, våra röster spelas enkelt in och moderna mobilkameror kan ta högupplösta bilder och video. Framför allt, de flesta av oss avsiktligt lägga upp bilder och även videor av oss själva på offentligt tillgängliga sociala medier och webbplatser.
som sådan är det ganska enkelt för bedrägerier att få den information som behövs för att skapa syntetiska artefakter, såsom tryckta foton eller masker, för användning vid hacking eller ”spoofing” ett biometriskt identifieringssystem. Detta initiativ kräver inte hacking i en företagsdatabas för att få biometriska data — en enkel Google-sökning är allt som krävs för att få data som kan användas för att attackera ansikte, röst och till och med irisbiometri.
men till skillnad från ett lösenord eller PIN-kod, autentisering baserad på biometriska data beror inte på information som är en hemlighet. Det är, det finns inget behov av att den biometriska är hemlig. Varför? Eftersom moderna biometriska autentiseringssystem antingen (1) har en person som övervakar den biometriska kontrollen, till exempel när man går genom en grind på en flygplats, eller (2) använder liveness-teknik för att säkerställa att den biometriska är från en riktig person och inte är en spoof-attack. Därför är hotet att stjäla något som redan är offentligt inte mycket av ett hot.
#2 biometri säkras av Liveness
som nämnts i punkt #1 är biometrisk matchning bara en komponent i dagens identitetsverifiering och autentiseringssystem. Medan biometri svarar på frågan, ” Är detta rätt person?”, liveness detection är nödvändig för att svara på frågan, ”Är det här en riktig person?”Att bekräfta närvaron av den verkliga personen när man presenterar en biometrisk är avgörande i användningsfall som är avlägsna eller oövervakade, till exempel att registrera sig för ett nytt bankkonto i en mobilapp istället för personligen i en filial. Med andra ord förhindrar livenhetsdetektering att biometri hackas.
till exempel, för ansiktsbiometri, skiljer ansiktslivsteknologi mellan närvaron av en levande person vid verifieringspunkten (närvaro framför kameran) och spoofingattacker, som de som använder tryckta foton, videouppspelningar och masker. Samma tankar om liveness gäller fingeravtryck och röst där någon använder silikon för att förfalska ett fingeravtryck eller en inspelning för att förfalska en röstbiometrisk.
med liveness på plats är du skyddad även om dina biometriska data hackas. Facial liveness är den vanligaste anti-spoofing-tekniken idag, vilket är logiskt med tanke på den växande användningen av ansiktsbiometri för fjärranslutning och autentisering. Dagens ledande ansikts liveness detection produkter erbjuder bevisad noggrannhet och extremt låg förekomst av en bedragare lurar det biometriska systemet.
när fler användningsfall dyker upp för röstaktiverade IoT-enheter, förväntar vi oss att se liknande antagande av röstlivlighet för att möjliggöra säker röstautentisering för betalningar i appen, tillgång till personlig information och mer.
även om fingeravtryck kanske inte är lika tillgängliga, skyddas tekniken också av liveness. Precise Biometrics stöder till exempel Face liveness med ID r&D IDLive Bisexual Face samt fingerprint liveness med sin biolive-lösning. BioLive identifierar exakt ett falskt fingeravtryck genom att analysera flera grundläggande bildskillnader mellan en levande fingeravtrycksbild och en från en spoof.
för att sammanfatta punkt # 2 begränsar liveness detection signifikant oro för biometriska data som faller i fel händer.
#3 biometriska mallar är värdelösa för bedrägerier
vad sägs om hotet om att någon hackar ett företags databas med biometrisk information?
biometriska system omvandlar det biometriska provet, till exempel en bild eller en röstinspelning, till en mall. Dessa mallar är inte reversibla tillbaka till det ursprungliga provet. Ett modernt biometriskt system lagrar bara mallarna, inte den ursprungliga biometriska informationen. Mallarna innehåller inte någon personlig information om människan — till exempel ålder, kön eller unika fysiska egenskaper. Även om någon stjäl en mall finns det inget de kan göra med det. Utöver detta säkerställer tillämpningen av bästa praxis för att kryptera data i vila att alla hackare som stjäl mallarna kommer att ha två lager av värdelösa byte.
#4 biometri är vanligtvis inte den enda autentiseringsfaktorn
reglerade branscher och applikationer med hög försäkran sätter flera säkerhetskontroller på plats för att skydda personlig information och transaktioner. Stark kundautentisering kräver användning av två av tre faktorer: något du vet (som en PIN-kod), något du har (som din telefon) eller något du är (en biometrisk). Till exempel kan en bank möjliggöra användning av ansiktsbiometri med liveness för att logga in i sin mobilapp. De kommer dock också att förlita sig på din mobila enhet som en token och kan till och med Be om en andra biometrisk modalitet eller ett engångslösenord för vissa högrisktransaktioner. Detta är ovanpå sofistikerad artificiell intelligens som kan vara på plats för att identifiera ovanligt beteende.
ingen autentiseringsteknik är idiotsäker. I den sällsynta förekomsten av en framgångsrik attack på ett biometriskt system kommer skador att mildras av ytterligare säkerhetsfaktorer, bedrägeriverktyg och vanliga applikationssäkerhetspraxis för att skydda mot mannen i mitten och andra attacker.
ompröva frågan: kan biometriska data stulas?
baserat på informationen ovan är frågan om huruvida biometriska data kan stulas inte särskilt bra. Den bättre frågan är, ” vad är risken för att någon äventyrar min identitet med mina biometriska data?”När det gäller identitetsverifiering och autentisering är risken för att en bedrägeri skapar en artefakt och framgångsrikt förfalskar din identitet extremt låg med liveness detection på plats. Bedragaren kommer att stoppas och kan inte begå upprepade bedrägerier även om de har dina biometriska data.
medan få människor skulle skicka ett foto av sitt lösenord till Facebook, tänker vi inte två gånger om att skicka en selfie. Vi tittar inte aktivt på personer som tar bilder, video eller ljudinspelning av oss. Och vi torkar verkligen inte ner allt vi berör för att förhindra att våra fingeravtryck lyfts. Det är okej eftersom liveness detection kombinerat med god praxis i moderna biometriska system skyddar våra biometriska data från att hackas och användas när vi inte är närvarande.
Läs mer om ID R& d: s biometriska autentiserings-och liveness-produkter eller fyll i formuläret för att kontakta våra experter.