如今，幾乎所有的密碼都有可能被黑客破解，而組織采用的密鑰成本很高，并且很容易丟失。新推出的生物識別認(rèn)證技術(shù)填補(bǔ)了這一空白，其中許多技術(shù)價(jià)格低廉、易于使用，甚至可以內(nèi)置在大多數(shù)人口袋里的移動設(shè)備中。

　　如今憑證違規(guī)事件不斷成為頭條新聞。例如，今年一名黑客竊取并發(fā)布了美國44家公司近10億條用戶記錄;Facebook公司也被披露泄露近50億個密碼;微軟公司確認(rèn)其大量電子郵件泄露;一名黑客發(fā)布了美國數(shù)千名警官和FBI探員的信息;喬治亞理工學(xué)院泄露了100多萬條記錄;由于網(wǎng)絡(luò)釣魚攻擊，美國聯(lián)邦應(yīng)急管理局泄露了160萬條辦案記錄，而這樣的壞消息還在不斷涌現(xiàn)。

　　對于負(fù)責(zé)數(shù)據(jù)中心安全性的管理者來說，關(guān)鍵員工很可能成為違規(guī)行為的受害者，并且他們的憑據(jù)可能已經(jīng)受到損害。無論他們是否重復(fù)使用其中一個密碼或黑客利用泄露的憑據(jù)來訪問其他帳戶，僅僅基于密碼的身份驗(yàn)證系統(tǒng)是不夠的。

　　生物識別認(rèn)證可能是一種有效的解決方案。指紋、面部表情、虹膜掃描、錄音、行走步態(tài)，甚至是某人移動鼠標(biāo)、鍵盤打字或手持手機(jī)的方式都可以用來幫助確認(rèn)某人的身份。但這也存在一些安全問題。

　　如果企業(yè)的數(shù)據(jù)庫遭到入侵，或者某些其他數(shù)據(jù)庫遭到侵入，員工無法更改虹膜掃描這樣的認(rèn)證許可。

　　“企業(yè)可以繼續(xù)生成新密碼，但生物識別技術(shù)的手段是有限的。”PARC公司網(wǎng)絡(luò)物理系統(tǒng)安全研究區(qū)域負(fù)責(zé)人Shantanu Rane表示。該公司是施樂(Xerox)公司的子公司，為用戶提供激光打印機(jī)、圖形用戶界面、鼠標(biāo)、以太網(wǎng)、面向?qū)ο蟮木幊蹋约捌渌P(guān)鍵的基礎(chǔ)技術(shù)。

　　他說，PARC公司一直在跟蹤生物識別技術(shù)的發(fā)展，包括來自學(xué)術(shù)界的理論研究，而且發(fā)現(xiàn)已經(jīng)有生物特征認(rèn)證的漏洞。

　　例如，三年前，美國人事管理辦公室的一個600萬個指紋數(shù)據(jù)庫泄漏。2018年，印度唯一身份識別機(jī)構(gòu)被竊取了10億條以上記錄，其中包括指紋和視網(wǎng)膜掃描等生物識別數(shù)據(jù)。

　　散列和加密

　　Rane說，保護(hù)生物識別憑證免受黑客入侵的一種可能方法是對它們進(jìn)行散列或加密，并且只能使用加密版本。

　　例如，服務(wù)器機(jī)房門攝像頭可以掃描進(jìn)入者的面部，加密掃描，并將加密的圖像發(fā)送到中央數(shù)據(jù)庫，如果是新員工和陌生人時(shí)，將根據(jù)保存的面部圖片進(jìn)行檢查并加密。

　　而工作人員面部的未加密版本永遠(yuǎn)不會被傳輸或存儲，因此黑客無法進(jìn)行攻擊。但Rane說，“問題是，人員面部的兩張照片看起來不一樣。”

　　事實(shí)上，如果攝像頭看到的圖像與官方發(fā)布的照片相同，那可能是某人打印出該照片并將其放在面孔之前。而真正的面孔每次看起來總是有點(diǎn)不同。

　　他說：“當(dāng)這些特性稍有不同時(shí)，那么可以采用散列技術(shù)擴(kuò)大差異進(jìn)行識別。”

　　研究人員正在研究這個問題，嘗試創(chuàng)建一種加密或散列圖像的方法，以便加密版本，即使它們不相同也可以進(jìn)行比較。

　　Rane說，“但我們還沒有達(dá)到高精度水平。”

　　基于本地硬件的身份驗(yàn)證

　　避免完全保留指紋掃描數(shù)據(jù)庫風(fēng)險(xiǎn)的一種方法是切換到本地身份驗(yàn)證。這是其工作原理。當(dāng)人員進(jìn)門時(shí)，門鎖會通過其指紋、面部掃描或者其他一些生物識別方法來檢驗(yàn)進(jìn)入者的身份，這些方法可以與密碼、員工身份證或密碼結(jié)合使用。

　　生物識別數(shù)據(jù)只存儲在門鎖中，并不存儲其他數(shù)據(jù)，當(dāng)進(jìn)入者再次通過該門時(shí)，就會檢查其之前存儲的掃描。如果要保護(hù)多個機(jī)房、機(jī)架或計(jì)算機(jī)，采用這種技術(shù)成本昂貴又難以使用。

　　但是，幾乎每個人都攜帶的設(shè)備都有內(nèi)置的生物識別身份驗(yàn)證系統(tǒng)。當(dāng)今的智能手機(jī)配備了一個安全的模塊，可以存儲生物識別信息。這些信息永遠(yuǎn)不會離開那個模塊，所以即使手機(jī)被黑客入侵，其數(shù)據(jù)也是安全的。它永遠(yuǎn)不會在線共享或與任何集中式數(shù)據(jù)庫共享。手機(jī)只用發(fā)送一個確認(rèn)短信，就會表明他們的身份。

　　這些安全的模塊不僅用于解鎖帶有面部特征或指紋的手機(jī)，并且使用方便，但這不是數(shù)據(jù)中心安全技術(shù)最重要的方面。這個系統(tǒng)是非接觸式支付的通用標(biāo)準(zhǔn)，第三方應(yīng)用程序可以訪問此身份驗(yàn)證系統(tǒng)。

　　世界各地的超市可以讓消費(fèi)者將手機(jī)放在支付終端前購物，這意味著要想做到這一點(diǎn)，蘋果和谷歌的零售商和金融公司都面臨著很大的壓力。

　　事實(shí)上手機(jī)可以使用第三方應(yīng)用程序(如PayPal或Dropbox)，這意味著它也可以被允許使用訪問數(shù)據(jù)中心設(shè)施或計(jì)算機(jī)系統(tǒng)的安全應(yīng)用程序。

　　谷歌公司日前宣布，企業(yè)在Android手機(jī)上使用內(nèi)置身份驗(yàn)證比以往任何時(shí)候都更容易。

　　Rane說，“Uber公司并不知道其客戶的指紋是什么樣子的。他們只是系統(tǒng)的客戶。這是一種很好的生物識別方法，可以防止或顯著降低風(fēng)險(xiǎn)。”

　　他警告說，如果一家公司這么做，還有一些事情需要注意。

　　首先，企業(yè)必須確保員工擁有支持?jǐn)?shù)據(jù)中心所需安全級別的最新現(xiàn)代手機(jī)。其次，員工不應(yīng)與他人分享手機(jī)。

　　Rane說，“可能發(fā)生的一個問題是，用戶的配偶或親人也可以使用自己的指紋訪問用戶的手機(jī)。安全系統(tǒng)要求手機(jī)對其進(jìn)行生物識別身份驗(yàn)證，他們可能采用生物識別技術(shù)，但手機(jī)的安全系統(tǒng)可能會通過。”

　　他補(bǔ)充說，還有智能手機(jī)指紋或面部掃描被欺騙的情況。但這些風(fēng)險(xiǎn)水平相對較低，如果數(shù)據(jù)中心將某些第二因素與生物識別機(jī)制結(jié)合使用(如PIN碼、密碼或行為分析)，則可以降低這些風(fēng)險(xiǎn)。

　　Rane說，他不知道為什么更多的數(shù)據(jù)中心不使用智能手機(jī)來加強(qiáng)安全控制。他說，“目前還沒有達(dá)到應(yīng)有的水平。許多智能手機(jī)上的生物識別認(rèn)證主要用于消費(fèi)者應(yīng)用程序。”

　　使用智能手機(jī)等以消費(fèi)者為中心的技術(shù)進(jìn)行認(rèn)證的一個潛在問題是，有時(shí)人們可能會選擇提高便利性而非安全性。

　　例如，位于波士頓的安全供應(yīng)商Veridium公司的生物識別科學(xué)團(tuán)隊(duì)負(fù)責(zé)人AsemOthman說，蘋果公司新推出的FaceID不如原有的TouchID技術(shù)安全。

　　他說，“大多數(shù)面部識別系統(tǒng)的準(zhǔn)確性可能會因年齡、面部表情、面部毛發(fā)，甚至化妝品的變化而大幅降低。”他補(bǔ)充說，有些系統(tǒng)也存在性別或種族偏見的缺陷。

　　在消費(fèi)者環(huán)境中，便利性可能比安全性更重要。例如，如果使用手機(jī)進(jìn)行支付非常容易，用戶可能會花更多的費(fèi)用，即使它不完美，面部識別系統(tǒng)仍然比傳統(tǒng)的基于簽名的方法要好。但對于高度敏感的企業(yè)環(huán)境來說，其風(fēng)險(xiǎn)可能過高。

　　Othman說，“我們需要考慮安全性后果以及可用性和便利性，尤其是在企業(yè)和個人受到黑客攻擊的頻率和嚴(yán)重程度都在不斷增加的世界中。”