OPM数据泄露:生物识别可以信任吗?

简介:

在OPM数据泄露事故中,560万指纹数据被盗。这对生物识别安全有什么影响?攻击者能否复制指纹,并使用复制指纹来欺骗生物识别系统以及访问受害者的设备或账户?除了生物识别安全攻击,攻击者能否以其他方式利用指纹记录?

Michael Cobb:美国人事管理办公室(OPM)和国防部发现在最近的OPM数据泄露事故中,2150万人的敏感信息被泄露,约560万人的指纹记录被盗,最初这个数字被估计为110万。这些被盗的个人数据包括社会安全号码、居住历史记录、就业和教育记录,以及健康、犯罪和财务历史记录。这些被盗的信息可能被用在身份盗窃欺诈中,而指纹数据的丢失带来不同的威胁,目前安全行业还没有完全了解这种威胁。

OPM在很大程度上低估了被盗指纹数据带来的风险,他们表示:“联邦专家认为,截至目前,滥用指纹数据的能力很有限。”然而,指纹数据已经被成功用于欺骗某些简单的生物识别系统,现在指纹数据滥用仅局限于这一事实:攻击者难以像他们滥用密码一样自动化滥用指纹数据。

目前利用指纹等生物识别技术的身份验证正逐渐成为登录到电脑和智能设备的常见方法。生物识别利用用户的某些生物特征的独特性来准确识别和授权用户,例如视网膜、指纹甚至打字特征。信用卡和密码泄露后可被撤销和重新发布,而生物特征数据永久地与用户相关联,不能被替换。这是生物识别的主要缺点之一,现在已经有560万人可能被模拟。

生物识别元素不能被重新发布的事实让指纹数据被盗的所有人都可能受到威胁,因为日后攻击者可能找到更有效的方式来利用这些数据。指纹识别无疑是最弱形式的生物识别身份验证,因为它们难以保守秘密;人们碰触东西后都会留下指纹,所以很容易复制指纹,并使用硅胶制造翻版。语音和面部识别也面临同样的问题,因为这两者都可以被获取来重新创建副本以欺骗生物识别系统。

而更难复制的生物识别元素(例如视网膜)泄露的风险最小,但对于所有生物识别元素,在身份识别过程中还有解释的因素。

对于基于密码的模式,计算机系统很容易检查提交的密码是否与数据库存储的密码相符。而对于生物识别,核实是否相符主要是看是否“像”而不是“完全相同”,原始生物特征数据需要从模拟信息转换成模板数字数据,让计算机可以读取、测量和分析。而OPM数据泄露事故中攻击者窃取的就是这种模板数据。匹配算法需要基于接受阈值来作出决定,这意味着身份识别可能出现漏报和误报,让未经授权用户可以成功通过身份验证。

随着被盗的560万用户的指纹数据流入黑市进行销售,误报可能成为更大的问题。

生物识别背后的驱动力是出于便利性,但与使用密码相比,我们需要做更多工作以确保生物识别提供更高的安全性。如果企业考虑部署生物识别系统,则需要确保在所有时间加密生物识别数据。ISO/IEC 24745标准为存储和传输过程中保护生物信息提供了指导意见,它还旨在解决被泄露生物识别信息带来的风险。可取消的生物识别是最有前途的选项,它在存储生物数据之前会扭曲生物图像或特征;这类似于在散列密码中加盐。这种失真的生物特征数据很容易被更改,如果生物存储被泄露,相同的生物数据可映射到新的模板。现在行业正在努力让着成为可行的标准部署,我们需要加快速度防止更多人的生物数据被泄露。



原文发布时间为:2016年3月10日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。e

相关文章
|
数据安全/隐私保护
Gitlab----管理员如何创建用户并邮件通知
Gitlab----管理员如何创建用户并邮件通知
1457 0
Gitlab----管理员如何创建用户并邮件通知
|
11月前
|
人工智能 Oracle 关系型数据库
全球CRM系统市场份额分析:领导者与挑战者
随着全球企业对CRM系统的依赖性增加,CRM市场正经历快速增长和激烈竞争。本文分析了全球CRM市场的份额,介绍了市场领导者如Salesforce、Oracle、SAP、纷享销客等,以及挑战者如HubSpot CRM、Zoho CRM等,并预测了未来市场趋势,包括云计算的普及、人工智能的融合和本土化需求的增加。
|
10月前
|
Web App开发 数据采集 JavaScript
CDP与Selenium相结合——玩转网页端自动化数据采集/爬取程序
本文介绍了Selenium、Chrome DevTools及Chrome DevTools Protocol (CDP) 的基本功能与应用。Selenium是一款开源自动化测试工具,适用于网页端应用程序测试和数据采集,具备跨平台特性。Chrome DevTools内置浏览器中,提供调试、分析Web应用程序的功能,包括元素、控制台、源代码和网络选项卡等。CDP是一套用于与Chromium内核浏览器通信的API,支持自动化测试和性能分析。文中还展示了Selenium与CDP结合使用的示例,如捕获网络请求数据和打印网页内容,并推荐了相关书籍和资源以供深入学习。
1321 39
CDP与Selenium相结合——玩转网页端自动化数据采集/爬取程序
|
运维 供应链 前端开发
开发一个 ERP
【9月更文第5天】开发一个 ERP (Enterprise Resource Planning) 系统是一项复杂的工程,涉及到多个业务流程的集成与优化。ERP 系统旨在帮助企业整合财务、人力资源、采购、销售、库存管理和生产计划等多个部门的数据,从而提高运营效率和决策质量。本文将带你一起体验从零开始开发一个简单的 ERP 系统,并通过示例代码来说明关键组件的设计与实现。
753 3
|
虚拟化
vmware安装OpenEuler系统
vmware安装OpenEuler系统
|
分布式计算 监控 大数据
大数据-129 - Flink CEP 详解 Complex Event Processing - 复杂事件处理
大数据-129 - Flink CEP 详解 Complex Event Processing - 复杂事件处理
247 0
|
JavaScript 前端开发
vue3教程,如何手动获取后端数据(入门到精通3,新人必学篇)
本文提供了一个Vue 3教程,讲解了如何使用axios库手动从后端获取数据,包括安装axios、配置后端访问地址、编写路由地址、发起HTTP请求以及在组件中读取和打印响应数据的步骤。
1889 0
vue3教程,如何手动获取后端数据(入门到精通3,新人必学篇)
|
前端开发 Java 数据库连接
Spring Boot常见企业开发场景应用、自动配置原理结构分析(一)
Spring Boot常见企业开发场景应用、自动配置原理结构分析
850 0
|
Ubuntu API 数据安全/隐私保护
告别信息搜寻烦恼:用fastgpt快速部署国内大模型知识库助手
告别信息搜寻烦恼:用fastgpt快速部署国内大模型知识库助手
1259 0