OPM数据泄露:生物识别可以信任吗?
在OPM数据泄露事故中,560万指纹数据被盗。这对生物识别安全有什么影响?攻击者能否复制指纹,并使用复制指纹来欺骗生物识别系统以及访问受害者的设备或账户?除了生物识别安全攻击,攻击者能否以其他方式利用指纹记录?
Michael Cobb:美国人事管理办公室(OPM)和国防部发现在最近的OPM数据泄露事故中,2150万人的敏感信息被泄露,约560万人的指纹记录被盗,最初这个数字被估计为110万。这些被盗的个人数据包括社会安全号码、居住历史记录、就业和教育记录,以及健康、犯罪和财务历史记录。这些被盗的信息可能被用在身份盗窃欺诈中,而指纹数据的丢失带来不同的威胁,目前安全行业还没有完全了解这种威胁。
OPM在很大程度上低估了被盗指纹数据带来的风险,他们表示:“联邦专家认为,截至目前,滥用指纹数据的能力很有限。”然而,指纹数据已经被成功用于欺骗某些简单的生物识别系统,现在指纹数据滥用仅局限于这一事实:攻击者难以像他们滥用密码一样自动化滥用指纹数据。
目前利用指纹等生物识别技术的身份验证正逐渐成为登录到电脑和智能设备的常见方法。生物识别利用用户的某些生物特征的独特性来准确识别和授权用户,例如视网膜、指纹甚至打字特征。信用卡和密码泄露后可被撤销和重新发布,而生物特征数据永久地与用户相关联,不能被替换。这是生物识别的主要缺点之一,现在已经有560万人可能被模拟。
生物识别元素不能被重新发布的事实让指纹数据被盗的所有人都可能受到威胁,因为日后攻击者可能找到更有效的方式来利用这些数据。指纹识别无疑是最弱形式的生物识别身份验证,因为它们难以保守秘密;人们碰触东西后都会留下指纹,所以很容易复制指纹,并使用硅胶制造翻版。语音和面部识别也面临同样的问题,因为这两者都可以被获取来重新创建副本以欺骗生物识别系统。
而更难复制的生物识别元素(例如视网膜)泄露的风险最小,但对于所有生物识别元素,在身份识别过程中还有解释的因素。
对于基于密码的模式,计算机系统很容易检查提交的密码是否与数据库存储的密码相符。而对于生物识别,核实是否相符主要是看是否“像”而不是“完全相同”,原始生物特征数据需要从模拟信息转换成模板数字数据,让计算机可以读取、测量和分析。而OPM数据泄露事故中攻击者窃取的就是这种模板数据。匹配算法需要基于接受阈值来作出决定,这意味着身份识别可能出现漏报和误报,让未经授权用户可以成功通过身份验证。
随着被盗的560万用户的指纹数据流入黑市进行销售,误报可能成为更大的问题。
生物识别背后的驱动力是出于便利性,但与使用密码相比,我们需要做更多工作以确保生物识别提供更高的安全性。如果企业考虑部署生物识别系统,则需要确保在所有时间加密生物识别数据。ISO/IEC 24745标准为存储和传输过程中保护生物信息提供了指导意见,它还旨在解决被泄露生物识别信息带来的风险。可取消的生物识别是最有前途的选项,它在存储生物数据之前会扭曲生物图像或特征;这类似于在散列密码中加盐。这种失真的生物特征数据很容易被更改,如果生物存储被泄露,相同的生物数据可映射到新的模板。现在行业正在努力让着成为可行的标准部署,我们需要加快速度防止更多人的生物数据被泄露。
原文发布时间为:2016-03-10
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
新型威胁:公司内部人员与黑客勾结,出售敏感信息 本文讲的是新型威胁:公司内部人员与黑客勾结,出售敏感信息,古语有云:日防夜防,家贼难防。外部攻击固然可怕,但总有办法可以防护;内部威胁如同一颗隐藏的地雷,没人知道它处在何处,所以就无从防护。
个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客 本文讲的是个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客,每隔一段时间,个人信息安全这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”。笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。
数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机 本文讲的是数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机,近期,360公司核心安全事业部发现全球范围内的利用软件数字签名的恶意攻击呈活跃趋势,黑客的攻击目标涉及软件开发商、个人用户和重要的政府、企事业单位;攻击形式多样,包括盗用、冒用软件开发商的合法数字签名和流行软件投毒的大规模定向攻击等。
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- 不解密数据竟也能识别TLS加密的恶意流量?
- 【计算机视觉】车牌识别开源框架EasyPR介绍
- 自然语言处理(NLP)-下游任务&数据集:语言模型、机器翻译、问答、文本分类、情感分析、文本生成、自动摘要、命名实体识别、阅读理解、自然语言推理、信息提取、词性标注、共指消解、实体链接【>200项】
- NLP-信息抽取-NER-2015-BiLSTM+CRF(三):命名实体识别【实战】
- IBM 语音识别新方向:仿生蝙蝠耳能用声纳精准“聆听”
- 基于C#结合dlib实现人脸识别及眼部识别【附源码】
- 被忽视的Web安全漏洞:如何识别和解决?
- 物联网标识体系标准面世 识别方式需得到重视
- OPM数据泄露:生物识别可以信任吗?
- Gartner预测:区块链、增强现实、物联网和语音识别将产生巨大商机
- Eclipsed的SVN插件不能识别之前工作空间的项目
- 第15节课:AI框架图片识别之数据解析、Network初始化、Sigmoid激活函数及Feedforward函数
- 命名实体识别NER探索(4) 通过scikit-learn、pytorch实现HMM 及CRF模型
- 【机器学习PAI实践十二】机器学习实现男女声音识别分类(含语音特征提取数据和代码)
- JSP不识别EL表达式的作用域数据
- 64位win7运行锐捷后弹出不能识别网卡的问题