生物識別安全——無密碼身份驗證的關鍵還是一種時尚?

已發表: 2022-03-11

多年來,無密碼身份驗證一直是安全的聖杯,但進展緩慢得令人痛苦。 這並不意味著沒有取得長足的進步,但不幸的是,這些發展中的大多數已被歸入研究實驗室或專業領域。 直到幾年前,大規模實施無密碼身份驗證的技術還不可用。

生物識別和生物識別安全

然而,行業巨頭正在緩慢但肯定地改變這一點。 有一些技術、法律甚至道德方面的考慮需要考慮,但儘管如此,生物識別安全和無密碼身份驗證仍然存在。

生物識別技術已經在改變遊戲規則,而且他們將繼續這樣做。

為什麼首先要無密碼?

由於這是一個工程博客,我覺得沒有必要向一群有安全意識的開發人員解釋快速登錄的好處。 我們不需要從消費者的角度來看待這個問題——我們所有人都被迫使用無數的在線服務和越來越多的設備。 這不會很快改變,如果有的話,我們必須登錄的服務和設備的數量將不斷增加。

當然,有很多方法可以免除密碼,包括生物特徵認證。 從用戶的角度來看,使用谷歌、微軟和 Facebook 帳戶登錄第三方服務是可行的,因為用戶可以避免密碼膨脹,並且不必為每個服務和設備創建帳戶。

OAuth 和 OpenID 多年來一直用於整合數字身份,並且這些標準已被科技行業的一些知名人士所採用。

從技術上講,這並不是真正的無密碼方法,但普通用戶可能看不出區別。

使用這種方法的優點和缺點是:

優點:

  • 方便
  • 易於實施
  • 安全性好
  • 品牌名稱安心

缺點:

  • 對集中式服務的依賴
  • 一個籃子裡的所有雞蛋 - 通過破壞一個帳戶,攻擊者可以訪問其他帳戶
  • 潛在的安全漏洞,超出您的控制,可以用來對付您
  • 由於隱私問題,人們可能不願使用此類服務

這在很大程度上適用於替代解決方案,儘管它不適用於通常歸於業務用戶而不是消費者的安全證書。 利大於弊,因此我們已經可以使用我們現有的帳戶登錄無數的第三方服務。

生物識別和生物識別安全如何提供幫助?

使用生物特徵認證系統解決了許多問題; 無需依賴集中式服務,無需擔心隱私問題,而且用戶體驗不會受到影響——前提是操作正確。 那麼,讓我們來看看利弊。

優點:

  • 指紋掃描快速、便宜且相對安全
  • 語音識別好用難操作
  • 虹膜掃描非常安全,可能比指紋掃描更方便
  • 心電圖技術提供“永遠在線”的身份驗證
  • 所有生物識別安全方法都解決了隱私問題,同時提供了良好的安全性

缺點:

  • 生物識別技術並不適用於所有應用
  • 部署生物識別安全的成本通常令人望而卻步
  • 支持僅限於某些平台,並且在大多數平台上不可用
  • 有些技術還不成熟
  • 生物識別技術不是靈丹妙藥——安全性仍可能受到威脅

生物識別技術不是新概念,也不是新技術。 幾十年來,生物識別安全已在許多行業中使用,並且更長時間以來它一直是好萊塢編劇的主要內容。 我相信很多讀者幾年前有機會在他們的筆記本上玩過面部識別和指紋掃描儀——我知道我做過,我也知道我沒有留下深刻的印象; 大多數這些早期的解決方案都是廉價的噱頭。

然而,從那時起,我們已經走了很長一段路。 可以使用更多的處理能力,以及非常出色的成像傳感器,並且一切都得到了越來越複雜的軟件的支持。 這就是為什麼這些技術中的一些正在捲土重來,他們正在復仇。

業界對指紋掃描儀豎起大拇指

Apple 的 Touch ID 可能是市場上最知名的指紋認證解決方案,但絕不是唯一的。 Apple 在 iOS 8 中向第三方開發者開放了 Touch ID,並著手將該技術集成到新的 iPhone 和 iPad 以及其 Apple Pay 服務中。

這就是為什麼 iOS 明顯領先於 Android 和其他平台的原因; 每部新 iPhone 和 iPad 都將配備 Touch ID,直到 Cupertino 拿出更好的東西。

指紋生物識別安全

這並不意味著 Android 應該被註銷,因為越來越多的 Android 手機配備了指紋掃描儀。 第一個生物特徵認證設備具有小型掃描儀,需要用戶在掃描儀上滑動手指,但類似於 Apple 的觸摸式掃描裝置正變得越來越普遍。 需要注意的是,此功能並非為昂貴的旗艦產品保留——即使是中國供應商銷售的 200 美元左右的手機也配備了這種掃描儀。

不過,還是有考慮的; 谷歌尚未在其任何 Nexus 設備上集成指紋掃描儀,儘管有傳言稱它最初打算將其包含在 Nexus 6 智能手機中。 事實上,Android 開源項目 (AOSP) 提供的證據表明指紋支持已從設備中移除。 這對 Android 開發人員來說不是好消息,因為谷歌通常會在 Nexus 設備上展示新技術並跟進文檔和 API,就像 Nexus S 上的 NFC 支持或 Galaxy Nexus 上的氣壓計傳感器一樣。

儘管如此,這並沒有阻止供應商使用他們自己的代碼,以及幾種類型的掃描儀。 但是,這對於手忙腳亂的開發人員來說是個壞消息,因為沒有標準可以消除碎片並確保互操作性。 三星試圖通過允許開發人員使用其 Pass API 來解決這個問題,但這仍然不是一個理想的解決方案。 摩托羅拉在四年前試圖用其舊的 Atrix 設備做同樣的事情。

許多硬件製造商和開發人員也發布了 SDK,使開發人員能夠集成對各種指紋掃描儀的支持,但缺乏可以減少或消除碎片的標準化環境仍然是一個大問題。

我們可能需要一段時間才能在大多數手機上看到指紋掃描儀,但正在取得很大進展。 在幾年的時間裡,我們從旗艦手機上沒有掃描儀變成了 200 美元手機上相對可靠的掃描儀。

指紋掃描儀

但是,它們有多大用處? 它們只是像舊筆記本上的第一代指紋掃描儀那樣的噱頭嗎?

該技術有效,這是毫無疑問的,但目前應用範圍有限。 軟件開發必須趕上硬件,我們需要更多可以使用這種解決方案的服務,我們需要更多來自行業領導者(即谷歌)的 API 和標準和指南。 在這一點上,許多安卓設備上的指紋掃描儀都是噱頭,僅此而已。

總體而言,指紋掃描儀很方便,但並不是理想的解決方案。 雖然每個指紋都是獨一無二的,但仍然存在一些安全問題。 許多掃描儀都可以被欺騙,儘管用簡單的圖像來解決這個問題變得越來越困難。 正如一位安全專家幾年前指出的那樣,還有其他選擇,包括 3D 打印,以及一些病態的方法。

不用說,您不能在戴手套、拇指受傷或其他極端情況下使用指紋讀取器。 但是,這些都是相對較小的缺點。

微軟想看你的眼睛

所以,讓我們總結一下。 Android 和 iOS 已經可以使用指紋掃描儀來確保生物識別安全,但目前尚未得到充分利用。 但是桌面環境呢? 我們可以使用生物識別技術解鎖手機並驗證支付,但我們仍然在台式機上工作,那麼如何讓它們真正無密碼呢?

Microsoft 最近發布了 Windows Hello,如果您錯過了它,請查看官方 Windows 博客以全面了解該計劃。

微軟是這樣解釋其對 Windows Hello 的願景的:

Windows 10 無需使用密碼等共享或可共享機密,而是幫助您代表您安全地對應用程序、網站和網絡進行身份驗證,而無需發送密碼。 因此,沒有共享密碼存儲在他們的服務器上,以供黑客進行潛在的破壞。

Windows 10 將要求您在設備代表您進行身份驗證之前驗證您是否擁有您的設備,在帶有生物識別傳感器的設備上使用 PIN 或 Windows Hello。 使用“護照”進行身份驗證後,您將能夠立即訪問一系列行業中越來越多的網站和服務——最喜歡的商業網站、電子郵件和社交網絡服務、金融機構、商業網絡等等。_

Windows Hello 是一種生物識別身份驗證系統,使用戶能夠使用指紋掃描、虹膜掃描或面部識別立即訪問他們的 Windows 10 設備。 微軟表示“大量”新的 Windows 10 設備將支持 Windows Hello,但就我個人而言,我發現一種​​技術特別有趣。

虹膜掃描是 Microsoft 支持的方法之一,與其他方法相比,它有一些好處。 它應該比指紋掃描更可靠,並且可能更方便。 如果您想知道,這不會由我們的網絡攝像頭或手機攝像頭處理 - 微軟希望使用“特殊硬件和軟件的組合”來確保系統不會被擊敗。

虹膜掃描和生物識別

虹膜掃描儀將依賴紅外技術(可能是近紅外)。 這意味著它將能夠在所有照明條件下運行,並通過眼鏡甚至有色眼鏡看到您的虹膜。 硬件設計人員不必在設備上留出大量空間來集成掃描儀; 它可以集成在我們手機上的自拍攝像頭旁邊,也可以作為當今許多辦公機器上使用的獨立網絡攝像頭的補充。 這意味著它可以很容易地改裝到現有的台式電腦上。

除了紅外掃描儀,微軟還將藉助英特爾實感攝像頭技術,使用面部識別等更傳統的生物識別安全措施。 這應該有助於使 Windows Hello 更加多產,尤其是當用戶升級到基於英特爾平台的新筆記本電腦和混合電腦時。

在移動端,虹膜掃描比指紋認證有幾個優勢; 它可以戴手套工作,虹膜受傷比拇指受傷要少得多,而且擊敗消費級虹膜掃描儀比指紋掃描儀要困難得多。

微軟的方法還有另一個角度——這家軟件巨頭不會存儲用戶的生物特徵數據。 生物特徵簽名將在設備上本地保護,並與用戶共享。 簽名將僅用於解鎖設備和 Passport,因此不會用於通過網絡對用戶進行身份驗證。

微軟的生物識別計劃尚無定論,我們將不得不等待 Windows 10 看到它的實際應用。

永遠在線的身份驗證怎麼樣?

雖然所有這些技術都可以很好地替代傳統密碼,但也有一些新興概念可以為工程師提供更多自由。 如果我們可以完全省去這個過程,沒有密碼,沒有指紋掃描——什麼都沒有呢?

“永遠在線的身份驗證”是下一個前沿領域,並且已經提出了許多到達那裡的方法。 但是,需要做出重要的區分。 永遠在線認證通常是指機器對機器的認證,例如“永遠在線”的 SSL 認證系統、SHH 連接、NFC 憑證和各種網絡技術。 這些通常用於監控和驗證金融交易,從而降低在線欺詐的風險。

始終在線用戶身份驗證的解決方案相對較少。 Bionym 的 Nymi 腕帶就是一個這樣的例子。 它是一種可穿戴設備,看起來很像普通的健身追踪器,但它比這更聰明。

一直在認證

Nymi 掃描用戶獨特的心電圖 (ECG)。 這意味著您只需將設備戴在手腕上即可提供始終在線的身份驗證。 只要您的心臟繼續跳動,您就會登錄。

如果您想在 Apple Watch 或 Android Wear 手錶上嘗試相同的技巧,請穩住,我們還沒有做到。 Nymi 不僅像智能手錶一樣跟踪用戶的心率,它實際上分析了用戶心電圖波的形狀,這需要一個更靈敏的傳感器。 智能手錶聽起來像是該應用程序的理想硬件平台,遲早它們將能夠做同樣的事情。

想像一下,只需在現場和脈搏就能解鎖您的手機、汽車、辦公室和電腦? 無縫登錄任何帳戶,然後支付午餐費用,在回家的路上購物,也許還可以從 ATM 取款,所有這些都無需處理您的雜貨和信用卡。 我們還沒有到達那裡,但我們正在慢慢到達那裡。

這對軟件開發人員和用戶意味著什麼?

目前,軟件開發人員可以使用現成的中間件和標記化來部署無密碼解決方案。 一個這樣的例子是 Passwordless,它是一個基於令牌的 Node.js 和 Express 開源框架。 如果您對它的部署方式感興趣,Mozilla 有一篇全面的博客文章對其進行了解釋。

這將需要一段時間,但生物識別構建塊正在慢慢到位。 當前的無密碼技術將得到擴充,並最終被生物特徵認證所取代。

許多生物識別安全懷疑論者,包括我的許多同事,都不相信這會很快發生,但我是一個不可救藥的樂觀主義者; 我認為無密碼安全將在本世紀末成為標準,這就是為什麼:如果我們只觀察一個特定領域,無論是軟件還是硬件,我們會發現生物識別技術存在無數問題,其中許多問題我已經概述過。 但是,如果我們退後幾步,放眼全局,看看新的行業趨勢以及對個人和企業安全的日益重視、高度宣傳的安全漏洞、隱私問題——我們一定會從不同的視角。

即便如此,房間裡的大像不是隱私或 B2B 安全,而是移動支付。

今年美國的移動交易量預計將增加一倍以上,達到 100 億美元。 到 2018 年,彭博社預計交易量將達到 1100 億美元。 按人均計算,今年美國消費者的平均交易額約為 30 美元,但到 2018 年,每個男人、女人和兒童的人均收入將達到 330 美元。 假設 2019 年和 2020 年的複合年增長率相同,到 2021 年我們可能會看到人均四位數。

有了這麼多錢,你怎麼看?