生物识别安全——无密码身份验证的关键还是一种时尚?

已发表: 2022-03-11

多年来,无密码身份验证一直是安全的圣杯,但进展缓慢得令人痛苦。 这并不意味着没有取得长足的进步,但不幸的是,这些发展中的大多数已被归入研究实验室或专业领域。 直到几年前,大规模实施无密码身份验证的技术还不可用。

生物识别和生物识别安全

然而,行业巨头正在缓慢但肯定地改变这一点。 有一些技术、法律甚至道德方面的考虑需要考虑,但尽管如此,生物识别安全和无密码身份验证仍然存在。

生物识别技术已经在改变游戏规则,而且他们将继续这样做。

为什么首先要无密码?

由于这是一个工程博客,我觉得没有必要向一群有安全意识的开发人员解释快速登录的好处。 我们不需要从消费者的角度来看待这个问题——我们所有人都被迫使用无数的在线服务和越来越多的设备。 这不会很快改变,如果有的话,我们必须登录的服务和设备的数量将不断增加。

当然,有很多方法可以免除密码,包括生物特征认证。 从用户的角度来看,使用谷歌、微软和 Facebook 帐户登录第三方服务是可行的,因为用户可以避免密码膨胀,并且不必为每个服务和设备创建帐户。

OAuth 和 OpenID 多年来一直用于整合数字身份,并且这些标准已被科技行业的一些知名人士所采用。

从技术上讲,这并不是真正的无密码方法,但普通用户可能看不出区别。

使用这种方法的优点和缺点是:

优点:

  • 方便
  • 易于实施
  • 安全性好
  • 品牌名称安心

缺点:

  • 对集中式服务的依赖
  • 一个篮子里的所有鸡蛋 - 通过破坏一个帐户,攻击者可以访问其他帐户
  • 潜在的安全漏洞,超出您的控制,可以用来对付您
  • 由于隐私问题,人们可能不愿使用此类服务

这在很大程度上适用于替代解决方案,尽管它不适用于通常归于业务用户而不是消费者的安全证书。 利大于弊,因此我们已经可以使用我们现有的帐户登录无数的第三方服务。

生物识别和生物识别安全如何提供帮助?

使用生物特征认证系统解决了许多问题; 无需依赖集中式服务,无需担心隐私问题,而且用户体验不会受到影响——前提是操作正确。 那么,让我们来看看利弊。

优点:

  • 指纹扫描快速、便宜且相对安全
  • 语音识别好用难操作
  • 虹膜扫描非常安全,可能比指纹扫描更方便
  • 心电图技术提供“永远在线”的身份验证
  • 所有生物识别安全方法都解决了隐私问题,同时提供了良好的安全性

缺点:

  • 生物识别技术并不适用于所有应用
  • 部署生物识别安全的成本通常令人望而却步
  • 支持仅限于某些平台,并且在大多数平台上不可用
  • 有些技术还不成熟
  • 生物识别技术不是灵丹妙药——安全性仍可能受到威胁

生物识别技术不是新概念,也不是新技术。 几十年来,生物识别安全已在许多行业中使用,并且更长时间以来它一直是好莱坞编剧的主要内容。 我相信很多读者几年前有机会在他们的笔记本上玩过面部识别和指纹扫描仪——我知道我做过,我也知道我没有留下深刻的印象; 大多数这些早期的解决方案都是廉价的噱头。

然而,从那时起,我们已经走了很长一段路。 可以使用更多的处理能力,以及非常出色的成像传感器,并且一切都得到了越来越复杂的软件的支持。 这就是为什么这些技术中的一些正在卷土重来,他们正在复仇。

业界对指纹扫描仪竖起大拇指

Apple 的 Touch ID 可能是市场上最知名的指纹认证解决方案,但绝不是唯一的。 Apple 在 iOS 8 中向第三方开发者开放了 Touch ID,并着手将该技术集成到新的 iPhone 和 iPad 以及其 Apple Pay 服务中。

这就是为什么 iOS 明显领先于 Android 和其他平台的原因; 每部新 iPhone 和 iPad 都将配备 Touch ID,直到 Cupertino 拿出更好的东西。

指纹生物识别安全

这并不意味着 Android 应该被注销,因为越来越多的 Android 手机配备了指纹扫描仪。 第一个生物特征认证设备具有小型扫描仪,需要用户在扫描仪上滑动手指,但类似于 Apple 的触摸式扫描装置正变得越来越普遍。 需要注意的是,此功能并非为昂贵的旗舰产品保留——即使是中国供应商销售的 200 美元左右的手机也配备了这种扫描仪。

不过,还是有考虑的; 谷歌尚未在其任何 Nexus 设备上集成指纹扫描仪,尽管有传言称它最初打算将其包含在 Nexus 6 智能手机中。 事实上,Android 开源项目 (AOSP) 提供的证据表明指纹支持已从设备中移除。 这对 Android 开发人员来说不是好消息,因为谷歌通常会在 Nexus 设备上展示新技术并跟进文档和 API,就像 Nexus S 上的 NFC 支持或 Galaxy Nexus 上的气压计传感器一样。

尽管如此,这并没有阻止供应商使用他们自己的代码,以及几种类型的扫描仪。 但是,这对于手忙脚乱的开发人员来说是个坏消息,因为没有标准可以消除碎片并确保互操作性。 三星试图通过允许开发人员使用其 Pass API 来解决这个问题,但这仍然不是一个理想的解决方案。 摩托罗拉在四年前试图用其旧的 Atrix 设备做同样的事情。

许多硬件制造商和开发人员还发布了 SDK,使开发人员能够集成对各种指纹扫描仪的支持,但缺乏可以减少或消除碎片的标准化环境仍然是一个大问题。

我们可能需要一段时间才能在大多数手机上看到指纹扫描仪,但正在取得很大进展。 在几年的时间里,我们从旗舰手机上没有扫描仪变成了 200 美元手机上相对可靠的扫描仪。

指纹扫描仪

但是,它们有多大用处? 它们只是像旧笔记本上的第一代指纹扫描仪那样的噱头吗?

该技术有效,这是毫无疑问的,但目前应用范围有限。 软件开发必须赶上硬件,我们需要更多可以使用这种解决方案的服务,我们需要更多来自行业领导者(即谷歌)的 API 和标准和指南。 在这一点上,许多安卓设备上的指纹扫描仪都是噱头,仅此而已。

总体而言,指纹扫描仪很方便,但并不是理想的解决方案。 虽然每个指纹都是独一无二的,但仍然存在一些安全问题。 许多扫描仪都可以被欺骗,尽管用简单的图像来解决这个问题变得越来越困难。 正如一位安全专家几年前指出的那样,还有其他选择,包括 3D 打印,以及一些病态的方法。

不用说,您不能在戴手套、拇指受伤或其他极端情况下使用指纹读取器。 但是,这些都是相对较小的缺点。

微软想看你的眼睛

所以,让我们总结一下。 Android 和 iOS 已经可以使用指纹扫描仪来确保生物识别安全,但目前尚未得到充分利用。 但是桌面环境呢? 我们可以使用生物识别技术解锁手机并验证支付,但我们仍然在台式机上工作,那么如何让它们真正无密码呢?

Microsoft 最近发布了 Windows Hello,如果您错过了它,请查看官方 Windows 博客以全面了解该计划。

微软是这样解释其对 Windows Hello 的愿景的:

Windows 10 无需使用密码等共享或可共享机密,而是帮助您代表您安全地对应用程序、网站和网络进行身份验证,而无需发送密码。 因此,没有共享密码存储在他们的服务器上,以供黑客进行潜在的破坏。

Windows 10 将要求您在设备代表您进行身份验证之前验证您是否拥有您的设备,在带有生物识别传感器的设备上使用 PIN 或 Windows Hello。 一旦通过“护照”进行身份验证,您将能够立即访问一系列行业中越来越多的网站和服务——最喜欢的商业网站、电子邮件和社交网络服务、金融机构、商业网络等等。_

Windows Hello 是一种生物识别身份验证系统,使用户能够使用指纹扫描、虹膜扫描或面部识别立即访问他们的 Windows 10 设备。 微软表示“大量”新的 Windows 10 设备将支持 Windows Hello,但就我个人而言,我发现一种技术特别有趣。

虹膜扫描是 Microsoft 支持的方法之一,与其他方法相比,它有一些好处。 它应该比指纹扫描更可靠,并且可能更方便。 如果您想知道,这不会由我们的网络摄像头或手机摄像头处理 - 微软希望使用“特殊硬件和软件的组合”来确保系统不会被击败。

虹膜扫描和生物识别

虹膜扫描仪将依赖红外技术(可能是近红外)。 这意味着它将能够在所有照明条件下运行,并通过眼镜甚至有色眼镜看到您的虹膜。 硬件设计人员不必在设备上留出大量空间来集成扫描仪; 它可以集成在我们手机上的自拍摄像头旁边,也可以作为当今许多办公机器上使用的独立网络摄像头的补充。 这意味着它可以很容易地改装到现有的台式电脑上。

除了红外扫描仪,微软还将借助英特尔实感摄像头技术,使用面部识别等更传统的生物识别安全措施。 这应该有助于使 Windows Hello 更加多产,尤其是当用户升级到基于英特尔平台的新笔记本电脑和混合电脑时。

在移动端,虹膜扫描比指纹认证有几个优势; 它可以戴手套工作,虹膜受伤比拇指受伤要少得多,而且击败消费级虹膜扫描仪比指纹扫描仪要困难得多。

微软的方法还有另一个角度——这家软件巨头不会存储用户的生物特征数据。 生物特征签名将在设备上本地保护,并与用户共享。 签名将仅用于解锁设备和 Passport,因此不会用于通过网络对用户进行身份验证。

微软的生物识别计划尚无定论,我们将不得不等待 Windows 10 看到它的实际应用。

永远在线的身份验证怎么样?

虽然所有这些技术都可以很好地替代传统密码,但也有一些新兴概念可以为工程师提供更多自由。 如果我们可以完全省去这个过程,没有密码,没有指纹扫描——什么都没有呢?

“永远在线的身份验证”是下一个前沿领域,并且已经提出了许多到达那里的方法。 但是,需要做出重要的区分。 永远在线认证通常是指机器对机器的认证,例如“永远在线”的 SSL 认证系统、SHH 连接、NFC 凭证和各种网络技术。 这些通常用于监控和验证金融交易,从而降低在线欺诈的风险。

始终在线用户身份验证的解决方案相对较少。 Bionym 的 Nymi 腕带就是一个​​这样的例子。 它是一种可穿戴设备,看起来很像普通的健身追踪器,但它比这更聪明。

一直在认证

Nymi 扫描用户独特的心电图 (ECG)。 这意味着您只需将设备戴在手腕上即可提供始终在线的身份验证。 只要您的心脏继续跳动,您就会登录。

如果您想在 Apple Watch 或 Android Wear 手表上尝试相同的技巧,请稳住,我们还没有做到。 Nymi 不仅像智能手表一样跟踪用户的心率,它实际上分析了用户心电图波的形状,这需要一个更灵敏的传感器。 智能手表听起来像是该应用程序的理想硬件平台,迟早它们将能够做同样的事情。

想象一下,只需在现场和脉搏就能解锁您的手机、汽车、办公室和电脑? 无缝登录任何帐户,然后支付午餐费用,在回家的路上购物,也许还可以从 ATM 取款,所有这些都无需处理您的杂货和信用卡。 我们还没有到达那里,但我们正在慢慢到达那里。

这对软件开发人员和用户意味着什么?

目前,软件开发人员可以使用现成的中间件和标记化来部署无密码解决方案。 一个这样的例子是 Passwordless,它是一个基于令牌的 Node.js 和 Express 开源框架。 如果您对它的部署方式感兴趣,Mozilla 有一篇全面的博客文章对其进行了解释。

这将需要一段时间,但生物识别构建块正在慢慢到位。 当前的无密码技术将得到扩充,并最终被生物特征认证所取代。

许多生物识别安全怀疑论者,包括我的许多同事,都不相信这会很快发生,但我是一个不可救药的乐观主义者; 我认为无密码安全将在本世纪末成为标准,这就是为什么:如果我们只观察一个特定领域,无论是软件还是硬件,我们会发现生物识别技术存在无数问题,其中许多问题我已经概述过。 但是,如果我们退后几步,放眼全局,看看新的行业趋势以及对个人和企业安全的日益重视、高度宣传的安全漏洞、隐私问题——我们一定会从不同的视角。

即便如此,房间里的大象不是隐私或 B2B 安全,而是移动支付。

今年美国的移动交易量预计将增加一倍以上,达到 100 亿美元。 到 2018 年,彭博社预计交易量将达到 1100 亿美元。 按人均计算,今年美国消费者的平均交易额约为 30 美元,但到 2018 年,每个男人、女人和儿童的人均收入将达到 330 美元。 假设 2019 年和 2020 年的复合年增长率相同,到 2021 年我们可能会看到人均四位数。

有了这么多钱,你怎么看?