近日,有一些安全领域的公众号发布文章:“密码将在十年内消失”。
细看之下,原来说的是用于用户身份认证的口令将在十年内消失(这密码和口令,从安全的角度,可不是一回事,简单的说,口令只是一道关卡,而密码则是加密技术中的密钥,安全上不可混为一谈)。文章认为,设备识别、地理位置分析、行为生物特征等将用于身份认证,并将在十年内取代口令认证。
单就其提到的生物认证,笔者认为,生物认证用于互联网身份认证的生态圈当前远未成熟。大面积取代口令认证为时尚早。
以生物认证中最常用的指纹为例(面容识别类似):
其一,你知道你的指纹存在哪里吗?存储的是图像还是特征值?
存储指纹图像在很多国家都是违法的,国内不久也很可能会禁止商业场合收集用户指纹的图像,这样就可能会与法律法规冲突;
其二,指纹比对相关的国际标准还没有,各个芯片供应商提供的SDK各自为政,而且还需要商业授权,如果用户更换了指纹芯片所在的载体(手机、智能设备、指纹鼠标、指纹键盘、指纹识别器),则基于原指纹芯片所采集的指纹数据会在使用新载体的时候失效。
其三,如果指纹数据被窃取怎么办,用户有多少个指头可以用于修改呢?
其四,通过基于指纹的第三方扫码来登录应用,我认为其指纹认证部分目前处于市场培育阶段,目前的改善主要还是在效率方面,安全性上有所创新或改进,但其认证的根信任尚未解决,有待继续改进及等待市场成熟(当然扫码登录的方式对于改善用户登录的体验还是很不错的,有条件的话可以尝试)。
什么时候互联网指纹认证(或其它生物认证)才可以算成熟呢?
笔者认为,起码要满足以下几个条件:
第一,需要建立指纹认证的国际标准,要解决的问题:
a) 用户隐私问题,需要在用户侧将指纹数据转换为指纹特征,并将指纹特征转换为不可逆的单向特征值(即不可将特征转换为图像),且具备防止重放算法(每次采集的特征值必须不同);
b) 不同指纹芯片厂商之间认证协议的互联互通问题,可参考OAuth2.0协议来制定并解决不同厂商之间的指纹互相认可的问题;
c) 指纹图像或指纹特征泄密的问题,需要有吊销机制;
d)活体识别及伪造指纹的识别问题。
第二,立法,要从法律法规层面禁止传输和存储用户的指纹图像,而只能传输和存储无法还原为图像的指纹特征值,打击非法收集用户指纹图像的行为;
第三,生物认证技术的进步,降低温度、湿度及其它干扰信息对生物识别的影响。这几年来,我在体验各种指纹认证(指纹鼠标、笔记本自带指纹器、手机指纹芯片等)的时候,发现还是存在识别率不高的问题,经常由于湿度的变化而识别不出来。
标准和立法的问题没有解决,则生物认证的适用范围将受到很大的限制,适用场景将被限制在单机使用场景(如手机解锁)和局域网使用场景(如门禁、考勤),而互联网身份认证则被排斥在外。
只有标准和立法的问题解决之后,指纹用于互联网身份认证的生态才能有序发展。不过,这有赖于指纹行业各厂商、集成商、终端厂商们的共同努力,不断尝试,来验证、改进方案/产品,并推动立法和标准化,从而推动生物认证的普及。
长按并在弹出菜单中选择"识别图中二维码"关注微信公众号: Security_SDL ,共同探讨网络安全体系建设~
原文始发于微信公众号(数据安全架构与治理):口令要消失了吗?指纹认证的普及还需要解决什么问题?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论