口令要消失了吗?指纹认证的普及还需要解决什么问题?

admin 2022年5月11日06:19:53安全闲碎评论2 views1332字阅读4分26秒阅读模式

近日,有一些安全领域的公众号发布文章:“密码将在十年内消失”。

细看之下,原来说的是用于用户身份认证的口令将在十年内消失(这密码和口令,从安全的角度,可不是一回事,简单的说,口令只是一道关卡,而密码则是加密技术中的密钥,安全上不可混为一谈)。文章认为,设备识别、地理位置分析、行为生物特征等将用于身份认证,并将在十年内取代口令认证。


单就其提到的生物认证,笔者认为,生物认证用于互联网身份认证的生态圈当前远未成熟。大面积取代口令认证为时尚早。


以生物认证中最常用的指纹为例(面容识别类似):

其一,你知道你的指纹存在哪里吗?存储的是图像还是特征值?

存储指纹图像在很多国家都是违法的,国内不久也很可能会禁止商业场合收集用户指纹的图像,这样就可能会与法律法规冲突;


其二,指纹比对相关的国际标准还没有,各个芯片供应商提供的SDK各自为政,而且还需要商业授权,如果用户更换了指纹芯片所在的载体(手机、智能设备、指纹鼠标、指纹键盘、指纹识别器),则基于原指纹芯片所采集的指纹数据会在使用新载体的时候失效。


其三,如果指纹数据被窃取怎么办,用户有多少个指头可以用于修改呢?


其四,通过基于指纹的第三方扫码来登录应用,我认为其指纹认证部分目前处于市场培育阶段,目前的改善主要还是在效率方面,安全性上有所创新或改进,但其认证的根信任尚未解决,有待继续改进及等待市场成熟(当然扫码登录的方式对于改善用户登录的体验还是很不错的,有条件的话可以尝试)。


什么时候互联网指纹认证(或其它生物认证)才可以算成熟呢?

笔者认为,起码要满足以下几个条件:

第一,需要建立指纹认证的国际标准,要解决的问题:

a) 用户隐私问题,需要在用户侧将指纹数据转换为指纹特征,并将指纹特征转换为不可逆的单向特征值(即不可将特征转换为图像),且具备防止重放算法(每次采集的特征值必须不同);

b) 不同指纹芯片厂商之间认证协议的互联互通问题,可参考OAuth2.0协议来制定并解决不同厂商之间的指纹互相认可的问题;

c) 指纹图像或指纹特征泄密的问题,需要有吊销机制;

d)活体识别及伪造指纹的识别问题。


第二,立法,要从法律法规层面禁止传输和存储用户的指纹图像,而只能传输和存储无法还原为图像的指纹特征值,打击非法收集用户指纹图像的行为;


第三,生物认证技术的进步,降低温度、湿度及其它干扰信息对生物识别的影响。这几年来,我在体验各种指纹认证(指纹鼠标、笔记本自带指纹器、手机指纹芯片等)的时候,发现还是存在识别率不高的问题,经常由于湿度的变化而识别不出来。


标准和立法的问题没有解决,则生物认证的适用范围将受到很大的限制,适用场景将被限制在单机使用场景(如手机解锁)和局域网使用场景(如门禁、考勤),而互联网身份认证则被排斥在外。


只有标准和立法的问题解决之后,指纹用于互联网身份认证的生态才能有序发展。不过,这有赖于指纹行业各厂商、集成商、终端厂商们的共同努力,不断尝试,来验证、改进方案/产品,并推动立法和标准化,从而推动生物认证的普及。



长按并在弹出菜单中选择"识别图中二维码"关注微信公众号: Security_SDL ,共同探讨网络安全体系建设~

口令要消失了吗?指纹认证的普及还需要解决什么问题?


原文始发于微信公众号(数据安全架构与治理):口令要消失了吗?指纹认证的普及还需要解决什么问题?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月11日06:19:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  口令要消失了吗?指纹认证的普及还需要解决什么问题? http://cn-sec.com/archives/884181.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: