指紋識別、虹膜掃描就比傳統密碼更安全嗎？

5月15日消息,據外電報道,對于擔心身份信息被盜的用戶(hù)來(lái)說(shuō),這里有一則好消息,也有一則壞消息。好消息就是,傳統的密碼加密系統準備要退出歷史舞臺了。因為它很容易被黑客破解,導致了數據入侵事件頻發(fā)。

但是,壞消息是即將取代傳統密碼的生物識別安全系統也存在很大的安全隱患。

生物識別安全系統的設計思路就是讓用戶(hù)使用明顯的身體特征——例如指紋、虹膜或心跳率——來(lái)證明自己的身份。這種功能在當前的很多設備中都很常見(jiàn)。例如,蘋(píng)果iPhone允許用戶(hù)通過(guò)指紋來(lái)授權某項支付活動(dòng)。

生物識別安全功能的好處就是這些身體特征很難復制,而且用戶(hù)也不用費神記住它們。這與傳統的密碼加密方法形成了鮮明的對比。黑客之所以能夠輕易地破解密碼,是因為很多用戶(hù)仍在使用非常簡(jiǎn)單的密碼,例如“12345”,而且還因為黑客借用了強大的電腦來(lái)猜測和測試密碼。

可惜的是,生物數據也是可以被黑客竊取的?，F在,已有很多竊取用戶(hù)生物數據的安全入侵事件發(fā)生。例如,在2015年,美國聯(lián)邦政府人事管理辦公室保存的560萬(wàn)個(gè)員工的指紋數據就被黑客盜走了。

更糟糕的是,在生物數據失竊后,它會(huì )造成永久性的危害。在數據失竊后,你可以更改你的密碼,但是你卻無(wú)法更改你的指紋。

現在,越來(lái)越多的組織(包括公司和政府機構)都在建立員工的生物特征數據庫,以方便識別他們的身份。但是,這樣的數據庫會(huì )將員工置于非常危險的境地,因為這些數據庫有被黑客竊取的風(fēng)險。

普華永道國際會(huì )計事務(wù)所(PricewaterhouseCoopers)發(fā)布的一份最新報告指出,不同國家擁有非常不同的針對生物數據收集和傳播的隱私法。任何擁有這些數據的公司——不管是直接擁有的,還是通過(guò)第三方云計算服務(wù)提供商間接擁有的——相當于走進(jìn)了一個(gè)“雷區”:如果被發(fā)現不正當使用這些數據,或者這些數據被黑客竊走,那么這些公司就會(huì )遭到法律起訴,給自己惹上無(wú)窮無(wú)盡的麻煩。

但是,生物識別安全系統的這些風(fēng)險也不是不可以防范的?，F在,人們越來(lái)越意識到公司保護員工生物數據的方法就是在一開(kāi)始就不持有這些敏感的信息。PwC公司的報告建議,公司應該將這些生物數據只保存在用戶(hù)本人的設備上,而不是集中保存到公司的服務(wù)器上。

在實(shí)踐中,用戶(hù)可以將一個(gè)或多個(gè)生物特征(例如大拇指指紋和語(yǔ)音信息)保存到個(gè)人的手機或電腦上。然后,當用戶(hù)在第三方服務(wù)如PayPal支付服務(wù)或其他網(wǎng)站上處理業(yè)務(wù)的時(shí)候,這些服務(wù)或網(wǎng)站就會(huì )與他或她的個(gè)人設備交換確認信息,從而確認身份。

例如,iPhone上的蘋(píng)果支付服務(wù)Apple Pay就是這樣工作的。蘋(píng)果實(shí)際上不會(huì )將用戶(hù)的大拇指指紋復印件發(fā)給送商戶(hù),相反,它只提供一次性的確認信息來(lái)授權此次支付活動(dòng)。類(lèi)似的支付認證授權方法已通過(guò)FIDO協(xié)議標準化了。FIDO協(xié)議是科技和金融行業(yè)中的設備制造商和公司共同簽署的安全協(xié)議。

隨著(zhù)政府和公司開(kāi)始采用生物識別安全系統,它們起碼應該抵擋住將員工生物數據集中保存在統一數據庫中的誘惑,從而避免讓員工暴露在比傳統密碼更大的危險之中。