仅依赖生物特征识别的身份验证既不准确又容易被黑,还远不是万无一失的。
忽然之间,好像全世界都爱上了生物特征识别——不仅仅是高端智能手机和笔记本的用户,甚至负责引领全球身份验证解决方案未来的资深安全专家都沉迷此道。最近召开的一个专注未来身份验证安全标准确立的业界讨论会上,众多与会者都认定生物特征识别是终极安全身份验证解决方案。但实际情况可能并非如此。
生物识别的缺陷
生物特征识别在验证人们身份上远不是人们所想的那么精确可靠,理由如下:
1. 生物特征识别不准确
大多数人认为生物特征识别非常准确,因为宣传广告就是这么说的:“你的指纹、虹膜、视网膜、掌纹独一无二,其他人都没有。”虽然这种说法可能接近真实,但生物特征属性的存储方式却远没有真正的生物特征因子那么细致和独特。
指纹确实有可能近乎全球唯一,但保存下来供后续验证比对的指纹副本可未必唯一。指纹(或者虹膜、视网膜、人脸等等)从测量到存储都不是完全还原的高清图片,只是该生物信息身份的几个确定性特征(“点”)的测量值。
举个例子,指纹就被调整为一系列反应主要谷线、脊线和转折的点。这些大的个体差异以点位来标记,整个保存下来的指纹看上去更像是星座图而不是真正的指纹。
记录原始生物特征属性的设备和软件也就只能做到这种精细程度了。某些时候,读取器/扫描器不做模糊处理就看不清细节,但大多数情况下它们是能看到很多没用的细节的。每个人的指纹都有些非常微小的改变,有时候也可能是指纹的一部分发生了变化,但更多的是些临时的划伤、擦伤和磨损。
如果指纹读取器忠实记录下指纹的每一点细节,那很有可能今天录入的指纹明天就识别不了了。人脸、虹膜、视网膜等其他生物特征属性也一样。所以生物特征读取器和验证器都会反向调谐自身,让自己别那么精确。事实上,这种反向调谐往往实现得过于深入,真正生物特征因子所谓的唯一性最终却会与其他多个毫不相关的存储值相匹配。
一家700人规模的公司都会出现指纹匹配重复现象,录指纹时被弹出“您的指纹已有记录”的员工不得不换一个指头录入自己的生物特征信息以确保指纹的“唯一性”。
如果指纹读取器精细到能看清所有真正的差异,就会出现太多的误报。有意反向调谐的情况下都已经存在太多的假性拒绝现象了。相信大家都体验过公司上班指纹打卡按无数次才验证通过的情况。指纹机也不过是尽忠职守,已经尽可能快地扫描呈现在自己面前的生物特征信息以确定是放行还是拒绝了。如果人们知道自己每次提交的生物特征身份要被对比和否定多少次,他们可能就会真正理解生物特征系统到底有多不准确了。
2. 生物特征识别不是每个人都适用
如果你运营过大型生物特征识别系统,那种数万到数十万用户级别的,你就会了解到总会有人永远用不了特定生物特征识别属性进行身份验证的各种原因。这还不是说装有义眼或天生没有指纹的极个别现象,而是有些人不知道为什么录入指纹后总是匹配不上。
或许是他们的身体有些特殊,生物特征属性变化太快,让他们总是无法成功通过特定生物特征识别验证。这些人只能作为例外被排除在生物特征识别身份验证系统之外,用其他的方法验证身份。
3. 生物特征不是秘密
生物特征与口令或私钥类似,都不算秘密。你的生物特征随处可见,指纹到处按,人脸到处刷,你周围的任何人都能捕获到。再没有其他任何一种身份验证是这么明目张胆、触手可及了。这会引发另外一些问题。
4. 生物特征识别数据很容易被复制
非秘密身份验证因子的最大问题在于它们很容易被复制来做坏事。指纹和人脸都是很容易被捕捉、复制和重用的。一旦被别人捕获,依赖这些生物特征属性的系统还怎么信任你声称的身份?
比如说,2015年6月,560万美国公民的指纹记录被某APT组织窃取。曾经申请美国安全许可的人都被偷了指纹。在FBI、CIA和NSA工作的人员也被偷取了指纹,美国的间谍如今都能被自己的指纹出卖了。
但是生活中又有很多情况必须要用到指纹,比如上班打卡、签购房合同、申请政府工程项目等等。我们的指纹早已在自己知情或不知情的情况下进入了多个数据库,比如征信系统和司法机构的指纹数据库。只要这些机构的数据库有一个被黑,指纹被盗就是板上钉钉的事。
复制人脸更是容易。自己都能数数自己在社交媒体上发过多少张自拍了。还有全球各地遍布的安全摄像头和各类情报机构保存的人脸识别数据库。FBI就有权调取多个数据库中存储的4亿多张人脸照片。
虹膜和视网膜虽然不及指纹和人脸使用广泛,但需要此类生物特征解锁的设备上也存有其信息,同样能被复制和盗取。
更糟的是,某些组织还在开发“全包式”生物特征识别数据库,内含各类生物特征样本,旨在令其机构能够像合法用户那样呈现和使用可被生物特征识别系统接受的那种特征信息。
形象一点表述就是:英俊潇洒的007詹姆斯·邦德先生面对生物特征识别登录界面,轻轻一按手上小巧玲珑的生物特征信息呈现器,秒变合法用户登录系统或进入密室。一个生物特征属性播放器通吃所有生物特征识别系统。
5. 生物特征识别很容易被骗过
生物特征识别系统供应商总在吹嘘自己的系统配有3D或温度传感器,其他人不可能重用被盗/复制的生物特征属性。但往往广告刚开播几天,YouTube上就有小孩放出用廉价材料制作假生物特征骗过读取器的视频了。几乎没有哪种生物特征识别产品会像广告的那么防骗。用橡皮泥或纸版画的老方法至今有效。用热风吹一下指纹读取器都能重新激活前一个用户留下的指纹油印,堂而皇之地以他/她的身份成功登录。
还有供应商打的就是超难骗过的生物特征识别扫描器,但这些产品通常也超不好用,甚至合法用户都觉得难用——因为很慢且合法被拒的现象超多。生物特征识别产品宣称的总体精度也就是忽悠忽悠那些不了解其运行机制的天真管理员,或者知道内情但能接受这种不准确的用户。
生物识别的两大应用场景
不甚精确的生物特征识别身份目前似乎也是可以接受的。成千上万的人每天都在用它顺利验证身份,但这仅仅是因为这种生物特征身份在两大主要应用场景中运行得还行。
-
第一类应用场景是手机、笔记本电脑等个人设备,这种设备的安全需求其实不算很高。用户当然想要保护自己手机上的个人信息,但这毕竟不像是公司最宝贵的知识产权都存在了你的手机上一样。如果攻击者入手了这种设备,他们更感兴趣的是将你的手机恢复成出厂设置再卖出去,而不是费劲弄出里面存储的信息。
-
第二类应用场景是工作场所的生物特征识别门禁系统。这种场景中生物特征识别之所以有效,是因为攻击者不太可能亲身出现在你每天上班的地方冒充你。真身出场意味着他们有可能被抓。因此,这种生物特征识别身份验证看起来取得了安全性和可用性上的良好平衡。
如果生物特征识别的使用场景扩张,几乎可以肯定,黑客将会开始偷窃、存储和售卖生物特征身份。我们今天的很多身份验证都是为了远程登录。毕竟没人会连登录个Web服务器都要亲自跑到托管主机存放的机房。如果可以用生物特征远程登录某资源,黑客肯定会对此趋之若鹜,他们会像现在盗取或猜解你的登录名/口令一样使用你的生物特征来登录众多网站,不用冒被抓的风险。
一旦黑客拿到了你的真实生物特征身份,该如何阻止他们永久使用呢?口令可以更改,多因子身份验证令牌可以换新,但指纹被盗了该怎么办?你就只有接受余生都无法使用该指纹的事实,并通告所有依赖该指纹进行验证的系统了。
多因素认证是方向
与至少一种非生物特征属性的秘密型身份验证因子结合使用的生物特征识别方法是可以接受的。比如说,刷指纹的同时还要求输入PIN码或插入智能卡。生物特征可以作为一种标识,就像输入登录名或电子邮件地址一样,提供一种便利性,但不能作为验明正身的唯一一种身份验证秘密。