生物特征认证似乎是未来的认证技术。在指纹扫描仪上扫描手指,然后付款即可购买。无需输入卡的详细信息并输入OTP。扫描您的视网膜并标记出您的出席情况。无需刷卡和输入密码。只需对着手机讲话,它就会根据您的声音模式被解锁。不需要复杂的PIN和模式。但是它真的像事实证明的那样安全吗?
生物特征认证如何工作?
要了解故障点或违规点,重要的是要了解生物特征认证系统的工作方式。认证系统主要由相互通信的四个子模块组成。
传感器: 这是扫描生物学特征并将其转换为数字格式的设备。例如,指纹或视网膜扫描仪或用于面部识别的相机是最流行的传感器。
特征提取器: 从数字格式中,识别并提取出所述生物学特征的关键可区分特征。这部分识别指纹或视网膜图案等。
匹配器: 该模块将扫描的特征与数据库中存储的特征进行比较,以找到最匹配的特征。由于各种原因,通常不可能获得100%的比赛。匹配器根据找到的匹配百分比进行工作。对于关键系统,它可能低至70%到高达95%。在此做出关于匹配的肯定或否定决定,并将其作为身份验证决定发送到下游应用程序。
模板数据库: 该数据库保存要匹配的真实用户的功能扫描。数据量可能会因系统用户而异。例如,在基于指纹的出勤标记系统中,数据库将保存所有员工的指纹扫描,而在智能手机中,该数据库仅包含智能手机用户的一条记录。
这些模块中的每个模块以及它们之间的通信都容易遭到黑客攻击。
违规如何发生?
可以将每个模块与另一个模块一起破解,以诱使系统生成肯定的身份验证并获得对下游应用程序的访问权限。以下是一些最常见的破坏此类系统的机制。
1.传感器违规: 尽管可能,但是这应该是最难破解的部分。黑客伪造正在扫描的功能,并将其呈现给传感器以进行扫描。尽管很罕见,但切勿割破用户的手指并将其用于扫描。大多数技术开发都在这里进行。扫描越详细,验证决定就越好。
阅读更多: 数据泄露对初创企业的影响
2.模板数据库: 在此存储参考特征扫描或具有访问权限的用户的特征扫描数据。此处的违规有两种发生方式:
- 在第一个例子中,黑客的生物特征被插入数据库中。然后,黑客可以像普通用户一样访问扫描仪并访问受保护的系统。
- 在第二种黑客攻击中,黑客攻击数据库以获得现有用户的功能记录。然后将其用于创建伪造的生物特征并将其呈现给传感器,或者以一种更容易的方式将被黑的特征呈现给匹配器模块本身。当不需要物理访问受保护系统(例如门禁系统)时,首选第二种方法。
3.匹配器: 这也是黑客攻击的流行目标,可以通过两种方式完成:
- 在第一种更简单有效的方法中,匹配器的输出被黑客入侵,并用肯定的身份验证结果代替,然后传递到下游应用程序。
- 以第二种或相当棘手的方式,将匹配器的算法更改为以较低的匹配百分比产生肯定的身份验证。它可能低至5%甚至1%。在这种情况下,每次扫描都将经过正认证。这里的风险是,由于几乎所有扫描通过都是阳性的;黑客可能会很快被发现。
4.模块间通讯: 在这种黑客攻击中,任何两个模块之间的通信都会被捕获,并用黑客的数据代替,以便下一个模块能够产生理想结果,从而实现积极的竞争。
生物特征认证系统与任何其他IT系统一样。他们可能被黑客窃取或更改数据或更改其行为。它们需要像使用防火墙,网关和访问管理的任何其他IT系统一样受到保护。只有到那时,生物识别系统才能显示出其真正的功能。
作为您企业的IT安全合作伙伴, 序列 提供针对高级网络威胁的全面端点安全。要了解更多信息,请访问我们的 网站 or
没意见