如今憑證違規(guī)事件不斷成為頭條新聞。例如,今年一名黑客竊取并發(fā)布了美國44家公司近10億條用戶記錄;Facebook公司也被披露泄露近50億個密碼;微軟公司確認其大量電子郵件泄露;一名黑客發(fā)布了美國數(shù)千名警官和FBI探員的信息;喬治亞理工學(xué)院泄露了100多萬條記錄;由于網(wǎng)絡(luò)釣魚攻擊,美國聯(lián)邦應(yīng)急管理局泄露了160萬條辦案記錄,而這樣的壞消息還在不斷涌現(xiàn)。
對于負責數(shù)據(jù)中心安全性的管理者來說,關(guān)鍵員工很可能成為違規(guī)行為的受害者,并且他們的憑據(jù)可能已經(jīng)受到損害。無論他們是否重復(fù)使用其中一個密碼或黑客利用泄露的憑據(jù)來訪問其他帳戶,僅僅基于密碼的身份驗證系統(tǒng)是不夠的。
生物識別認證可能是一種有效的解決方案。指紋、面部表情、虹膜掃描、錄音、行走步態(tài),甚至是某人移動鼠標、鍵盤打字或手持手機的方式都可以用來幫助確認某人的身份。但這也存在一些安全問題。
如果企業(yè)的數(shù)據(jù)庫遭到入侵,或者某些其他數(shù)據(jù)庫遭到侵入,員工無法更改虹膜掃描這樣的認證許可。
“企業(yè)可以繼續(xù)生成新密碼,但生物識別技術(shù)的手段是有限的。”PARC公司網(wǎng)絡(luò)物理系統(tǒng)安全研究區(qū)域負責人Shantanu Rane表示。該公司是施樂(Xerox)公司的子公司,為用戶提供激光打印機、圖形用戶界面、鼠標、以太網(wǎng)、面向?qū)ο蟮木幊?,以及其他關(guān)鍵的基礎(chǔ)技術(shù)。
他說,PARC公司一直在跟蹤生物識別技術(shù)的發(fā)展,包括來自學(xué)術(shù)界的理論研究,而且發(fā)現(xiàn)已經(jīng)有生物特征認證的漏洞。
例如,三年前,美國人事管理辦公室的一個600萬個指紋數(shù)據(jù)庫泄漏。2018年,印度唯一身份識別機構(gòu)被竊取了10億條以上記錄,其中包括指紋和視網(wǎng)膜掃描等生物識別數(shù)據(jù)。
散列和加密
Rane說,保護生物識別憑證免受黑客入侵的一種可能方法是對它們進行散列或加密,并且只能使用加密版本。
例如,服務(wù)器機房門攝像頭可以掃描進入者的面部,加密掃描,并將加密的圖像發(fā)送到中央數(shù)據(jù)庫,如果是新員工和陌生人時,將根據(jù)保存的面部圖片進行檢查并加密。
而工作人員面部的未加密版本永遠不會被傳輸或存儲,因此黑客無法進行攻擊。但Rane說,“問題是,人員面部的兩張照片看起來不一樣。”
事實上,如果攝像頭看到的圖像與官方發(fā)布的照片相同,那可能是某人打印出該照片并將其放在面孔之前。而真正的面孔每次看起來總是有點不同。
他說:“當這些特性稍有不同時,那么可以采用散列技術(shù)擴大差異進行識別。”
研究人員正在研究這個問題,嘗試創(chuàng)建一種加密或散列圖像的方法,以便加密版本,即使它們不相同也可以進行比較。
Rane說,“但我們還沒有達到高精度水平。”
基于本地硬件的身份驗證
避免完全保留指紋掃描數(shù)據(jù)庫風險的一種方法是切換到本地身份驗證。這是其工作原理。當人員進門時,門鎖會通過其指紋、面部掃描或者其他一些生物識別方法來檢驗進入者的身份,這些方法可以與密碼、員工身份證或密碼結(jié)合使用。
生物識別數(shù)據(jù)只存儲在門鎖中,并不存儲其他數(shù)據(jù),當進入者再次通過該門時,就會檢查其之前存儲的掃描。如果要保護多個機房、機架或計算機,采用這種技術(shù)成本昂貴又難以使用。
但是,幾乎每個人都攜帶的設(shè)備都有內(nèi)置的生物識別身份驗證系統(tǒng)。當今的智能手機配備了一個安全的模塊,可以存儲生物識別信息。這些信息永遠不會離開那個模塊,所以即使手機被黑客入侵,其數(shù)據(jù)也是安全的。它永遠不會在線共享或與任何集中式數(shù)據(jù)庫共享。手機只用發(fā)送一個確認短信,就會表明他們的身份。
這些安全的模塊不僅用于解鎖帶有面部特征或指紋的手機,并且使用方便,但這不是數(shù)據(jù)中心安全技術(shù)最重要的方面。這個系統(tǒng)是非接觸式支付的通用標準,第三方應(yīng)用程序可以訪問此身份驗證系統(tǒng)。
世界各地的超市可以讓消費者將手機放在支付終端前購物,這意味著要想做到這一點,蘋果和谷歌的零售商和金融公司都面臨著很大的壓力。
事實上手機可以使用第三方應(yīng)用程序(如PayPal或Dropbox),這意味著它也可以被允許使用訪問數(shù)據(jù)中心設(shè)施或計算機系統(tǒng)的安全應(yīng)用程序。
谷歌公司日前宣布,企業(yè)在Android手機上使用內(nèi)置身份驗證比以往任何時候都更容易。
Rane說,“Uber公司并不知道其客戶的指紋是什么樣子的。他們只是系統(tǒng)的客戶。這是一種很好的生物識別方法,可以防止或顯著降低風險。”
他警告說,如果一家公司這么做,還有一些事情需要注意。
首先,企業(yè)必須確保員工擁有支持數(shù)據(jù)中心所需安全級別的最新現(xiàn)代手機。其次,員工不應(yīng)與他人分享手機。
Rane說,“可能發(fā)生的一個問題是,用戶的配偶或親人也可以使用自己的指紋訪問用戶的手機。安全系統(tǒng)要求手機對其進行生物識別身份驗證,他們可能采用生物識別技術(shù),但手機的安全系統(tǒng)可能會通過。”
他補充說,還有智能手機指紋或面部掃描被欺騙的情況。但這些風險水平相對較低,如果數(shù)據(jù)中心將某些第二因素與生物識別機制結(jié)合使用(如PIN碼、密碼或行為分析),則可以降低這些風險。
Rane說,他不知道為什么更多的數(shù)據(jù)中心不使用智能手機來加強安全控制。他說,“目前還沒有達到應(yīng)有的水平。許多智能手機上的生物識別認證主要用于消費者應(yīng)用程序。”
使用智能手機等以消費者為中心的技術(shù)進行認證的一個潛在問題是,有時人們可能會選擇提高便利性而非安全性。
例如,位于波士頓的安全供應(yīng)商Veridium公司的生物識別科學(xué)團隊負責人AsemOthman說,蘋果公司新推出的FaceID不如原有的TouchID技術(shù)安全。
他說,“大多數(shù)面部識別系統(tǒng)的準確性可能會因年齡、面部表情、面部毛發(fā),甚至化妝品的變化而大幅降低。”他補充說,有些系統(tǒng)也存在性別或種族偏見的缺陷。
在消費者環(huán)境中,便利性可能比安全性更重要。例如,如果使用手機進行支付非常容易,用戶可能會花更多的費用,即使它不完美,面部識別系統(tǒng)仍然比傳統(tǒng)的基于簽名的方法要好。但對于高度敏感的企業(yè)環(huán)境來說,其風險可能過高。
Othman說,“我們需要考慮安全性后果以及可用性和便利性,尤其是在企業(yè)和個人受到黑客攻擊的頻率和嚴重程度都在不斷增加的世界中。”
京公網(wǎng)安備 11010502049343號