為 IT 系統管理員提供有關在智能手機、平板電腦、筆記本電腦和臺式 PC 上使用生物識別身份驗證的建議。
生物特征是個人的生物特征,例如面部或指紋,可用于驗證其身份。
使用指紋或面部識別進行設備身份驗證現在在智能手機和平板電腦上司空見慣。它也越來越多地在筆記本電腦上可用。本指南將介紹使用生物識別技術的好處,同時還強調潛在的安全風險。
為什么要使用生物識別技術?
在智能手機、平板電腦、筆記本電腦和臺式機上,身份驗證是驗證用戶身份和防止未經授權訪問的主要方法。
在移動設備上使用生物識別技術正變得越來越普遍,因為最新的智能手機型號至少有一種內置的生物識別認證機制,最常見的是面部或指紋識別。這些可以提供安全和方便的密碼或 PIN 替代方案。
然而,生物識別系統中仍然存在漏洞,包括生物識別欺騙,或對系統和設備本身的攻擊。
該指南將幫助組織評估在設備上使用生物識別技術對抗潛在安全風險的好處。
準備生物識別
智能手機、平板電腦、PC 和筆記本電腦上最常見的生物識別身份驗證方法是面部和指紋識別。其他示例包括虹膜、靜脈或語音識別。
它們是如何工作的?
生物識別技術的工作方式與 PIN 或密碼等內容略有不同。對于 PIN 或密碼,訪問控制系統會將存儲的值與個人輸入的值進行比較。如果它們相同,則將授予訪問權限。
然而語音識別控制系統有什么用,在生物識別的情況下,沒有兩次生物識別數據的捕獲可以產生真正相同的結果。因此,用戶身份的驗證不是簡單的比較。相反,登錄時捕獲的生物特征數據與存儲在設備上的注冊生物特征數據進行比較。然后,系統會判斷這兩個生物特征是否足夠相似以成為同一個人。
存儲的樣本通常以這樣的方式保存,即它們不能被逆轉以重現最初登記的原始面部或指紋。
有什么好處?
設備上的生物識別身份驗證可以提供顯著的好處。
大多數用戶已經非常熟悉用于設備解鎖的生物識別身份驗證,因此系統的易用性可能會提高使用率。
生物識別技術還可以提供密碼的安全替代方案,并且在大多數情況下比密碼方便得多,尤其是在大多數現代智能手機上。
在智能手機上,仍然需要設備密碼作為后備。然而,由于密碼輸入的頻率要低得多,組織可以強制執行更復雜的密碼,而不會導致可用性大幅下降。
在某些設備和操作系統上,生物識別技術可以完全取代密碼。例如, Hello 企業版允許使用生物識別技術來保護對受硬件保護的加密密鑰的訪問。該系統在 、 或 Azure 上提供無密碼多因素企業身份驗證。
有哪些風險?
與任何身份驗證機制一樣,生物識別技術可能存在漏洞,并且確實存在常見的攻擊方法。您應該考慮的一些風險如下:
演示攻擊
演示攻擊涉及冒名頂替者使用某種人工制品來冒充有效用戶的嘗試。現代設備通常包括額外的保護措施,例如“活性”檢查,以防止此類攻擊起作用。此外,在必須輸入 PIN 或密碼之前,只允許進行少量的生物識別身份驗證嘗試,以防止暴力攻擊。
在某些情況下,智能手機上的生物識別技術已被證明存在弱點。示例包括不測試警覺性的面部識別,從而可以在用戶睡著或閉上眼睛時解鎖設備。在選擇使用生物識別技術或選擇在您的組織中使用哪些設備時,您應該研究這些弱點。
重放攻擊
如果可以從設備捕獲或竊取生物特征數據樣本語音識別控制系統有什么用,則可以重放它以對設備進行身份驗證。大多數現代設備都能很好地抵御這種類型的攻擊。
回退機制
在用戶可以在移動設備上注冊生物識別之前,必須設置 PIN 或密碼。這將用于生物特征認證失敗的情況。這種機制的安全性以及與之相關的安全策略應該足夠強大,以保護設備本身。否則,攻擊者可以強制設備回退到這種更容易猜測或強制的替代方案。
表現
在當今大多數移動設備上,預期的錯誤接受率通常不到千分之一。
例如,Apple 報告說,隨機一個人使用面容 ID 解鎖您的 或 iPad 的概率小于 1,000,000 分之一。但是,在評估制造商發布的性能指標時,應注意它們通常基于最佳測試條件,因此在現實世界條件下實際上可能無法實現。
隱私
生物識別數據被歸類為個人識別信息,因此受 GDPR 等法規的約束。在設備上,必須獲得使用生物識別的明確同意,因為用戶必須選擇注冊生物識別。
對于內置的生物識別身份驗證功能,數據的處理和捕獲通常也完全在設備上執行。例如,它不會備份到內置云服務。如果您使用的是實施單獨生物識別身份驗證步驟的第三方應用程序,您應該調查如何保護這些生物識別模板。
如何使用生物識別技術
除非您有特定用戶的物理攻擊風險特別高,否則我們建議為希望使用生物識別的用戶啟用生物識別。更具體地說,在設備上使用生物識別技術時,您應該:
>>>等級保護工控安全數據安全供應鏈安全其他
