首  页 > 新闻动态 > 行业新闻 > 生物识别技术的优缺点
产品分类
face recognition temperature(5)
新品到货(26)
热门产品(12)
指纹扫描仪(23)
手持机系列(14)
POS终端(5)
考勤系列(14)
门禁系列(6)
Personal Security Protection(4)
Sales Promotion(35)
门锁系列(11)
摄像机系列(11)
Explosion Models
联系我们
电话:+ 86-23-67305242:
手机:+ 86-13667681778
电子邮件:info@hfcctv.com
网址:http://www.hfteco.com/
Facebook:汇帆科技
Youtube:汇帆科技
联系我们

新闻动态

生物识别技术的优缺点

  • 作者:高频安全
  • 发布时间::2021-01-28
01。介绍

作为我们持续目标的一部分,HFSecurity已 将无密码的未来变为现实,HFSecurity已采用 生物特征识别作为一种方便的身份验证机制,供将来与此一起使用 协议。生物识别技术很棒!他们确实非常方便, 可以确保安全。但是,某些实现并非如此,事实并非如此。 始终清楚给定的实现是否安全。在本文中,我们希望 阐明生物识别技术可以防御的各种威胁。我们 将研究生物识别技术的哪些特征使其变得更好或 在抵抗一种威胁而不是另一种威胁方面表现不佳。然后,我们将研究不同 指纹, 面部识别 和静脉扫描技术, 以及这些技术的优缺点。

对此有一些疑问是很自然的 使用生物识别技术代替密码。毕竟,生物识别技术不是一种 秘密。让我重复一遍,但更大声。

生物识别技术不是秘密。

人类到处都留下指纹,并且 在大多数地方,在公共场所隐藏或遮盖脸是不常见的。 OPM 黑客,Biostar漏洞和许多其他漏洞暴露了巨大的生物特征 数据库。幸运的是,这不会降低生物识别技术的安全性, 因为我们一开始并不依赖他们的机密性。但它 确实需要考虑何时使用生物识别技术来防御威胁 并防止未经授权访问我们的数据。

首先,假设任何想要获取您的 指纹或脸部照片即可。当您使用生物识别技术 解锁手机或登录到笔记本电脑,您依靠的事实是,即使 攻击者拥有完美的2D指纹或指纹图像,这很难 让攻击者欺骗生物识别传感器。面对。

当我们使用登录到网站时 指纹或面部解锁功能,我们实际上并未发送生物识别信息 信息,例如使用密码,也不会由网站存储 服务提供商或网站。取而代之的是,使用生物识别技术来本地解锁 存储在设备(例如手机或笔记本电脑)上的密钥,然后使用该密钥进行记录 进入。除非我们仍然不将密钥发送到网站,因为数学 使我们无需共享即可证明拥有密钥。只有你 可以使用生物识别和设备解锁密钥。那你呢 你有什么。一步有两个因素。真方便什么 如果我们忘记密码而只留下生物特征信息?这样安全吗 足够?

Facial Recognition Device

02。威胁向量

很容易想到一种情况 生物特征识别比密码弱。如果有人可以强迫怎么办 您要解锁手机?从内部角度来看,使用 密码,因为没人能读懂思想(到目前为止!)。但是,如果我们 综合研究所有可能的威胁,我们会发现生物识别技术是 通常在使用弱密码的情况下很健壮。

强迫性的

优点:可以是密码

在某些情况下,用户可能会被迫 解锁设备或登录其帐户。在法律背景下,法官或 过境人员可能会试图强迫他们这样做。在许多司法管辖区,法官 不能强迫用户披露密码,但可以命令用户提供密码 生物特征信息。在给定的管辖区中,任何一个人是否合法都不是 非常重要,因为它仍然可能发生。可能会针对 用户的愿望。从理论上讲,密码使用户能够保持以下能力: 锁定他们的设备。但是,即使这样,如果主管当局想要严厉 足够的访问权限,可以绕开它。

从犯罪的角度来看,很少有人可以 抵制暴力威胁,以防止其设备被解锁, 尽管这仍然可行。使用密码(以及一些可预测性), 用户还可以选择将真实数据隐藏在隐藏卷中,而不是隐藏在 主分区。也可以使用特定的指纹(例如 用你的小手指)解锁胁迫功能,但这样做可能是 可疑,胁迫可能会迫使用户使用他们的标准生物 特征。

尽管密码在此方面具有优势 威胁环境,对于大多数人来说,他们不太可能进行抢劫或 针对这种情况的法律判决,因为这种情况很少发生。尽管如此, 无论选择哪种凭证,强制执行都可能仍然有效。

恶意软件

优势:领带

破坏帐户的一种非常常见的方法 是为了破坏设备登录。无论是PC还是手机, 运行不受信任的应用程序,访问错误的网站或执行 不可信的电子邮件附件可能会感染设备。新的威胁正在出现 一直被发现,用户通常无能为力以防止感染 直到开发并发布了补丁。

如果您使用的设备登录到 网站已被感染,无论您使用密码登录还是 生物特征信息。如果恶意软件具有监控功能, 登录过程中,它可以轻松窃取任何会话令牌或可能是 用于后续访问该帐户。既然可以保证使用者的安全,否 无论使用哪种方法,当威胁上下文是恶意软件时,我们认为 密码或生物识别技术没有优势。饲养设备 更新是必不可少的。

旁注:HFSecurity应用程序可以 执行运行状况检查,以帮助确定何时有新补丁可供您使用 设备,以防止恶意软件。

恶意软件可能是攻击者的一种方式 尽管还有许多其他方法,但也可以获取用户的密码。一次输入密码 被盗,可能使以后的会话和其他服务受到损害 从远程位置。

Facial Recognition Device

远程攻击者

优势:生物识别

当威胁上下文为远程时 攻击者,生物特征识别+密钥方法比使用 密码。首先,密码重用是一种常见的做法,并且会增加 用户密码泄露的影响。如果攻击者将恶意软件放在 用户的设备并捕获其生物识别信息(指纹,面部扫描等), 因为密钥存储在硬件安全模块(HSM)中,例如 Google,他们不能轻易使用恶意软件。软件访问 其他帐户。 。但是,如果攻击者捕获了用户的密码,则他们 可以尝试在其他感兴趣的网站(例如主要 银行网站,社交网络和电子邮件提供商)。


但是,假设用户正在做 勤奋并使用密码管理器生成唯一,冗长和随机的 密码(十分之一的人使用密码管理器)。如果他们需要复制和 将密码粘贴到表单字段中,可能会被欺骗。密码管理员 可以防止将凭据自动填充到错误的网站中,但是 这不是一个完美的方法,必须针对移动设备做出合理的猜测 没有可验证域名字段的应用程序。这是其中之一 多重身份验证(MFA)(例如一次性密码)的原因 非常重要:如果用户的 主要凭证被盗用。但是大多数MFA方法也可以 仿冒品,攻击者也已开始构建多因素自动 仿冒工具。

生物识别技术在 与WebAuthn和FIDO2结合使用,消除了密码方面的歧义, 并使用强大的加密技术向网站证明用户拥有 持有密钥并使用生物识别技术验证其密钥的设备 身份。 WebAuthn(与适当的HSM一起使用)不能被伪造。的 WebAuthn身份证书的构造方式是,如果用户使用的是 网络钓鱼站点,根本无法创建。这完全消除了网络钓鱼 以及远程披露用户的主要凭证。

为了以受害者身份登录, 攻击者现在必须将恶意软件放置在受害者的设备上或窃取设备 本身在肉类空间中,从而将威胁重新定义为高度针对性 本地攻击。由于生物识别技术是解锁HSM的原因,因此 问题被简化为仅解锁设备的问题。攻击 系统,必须欺骗生物传感器以错误地验证用户的 身份。即使这很容易,远程攻击者现在也必须针对每个用户 特别是攻击现实世界中的物理过程。这本身 通过采用更方便的身份验证提高了标准 方法,可以在一夜之间消除整个类别的远程攻击。

本地攻击者(非强制)

优势:取决于实力 生物识别技术

我们可以生动地想象一个威胁环境 设备丢失或被盗的地方,我们担心发现者/小偷可能 尝试解锁它。这与强迫情况不同,因为没有 暴力或武力威胁,但小偷也许能够观察到您对 设备,然后再窃取或稍后获取生物特征数据。小偷可以拿 照片以记录面部信息,视频可以记录键入的密码,或者 他们可以举起指纹以备后用。

在这种情况下,您的解锁机制是 秘密,不是攻击者是否可以复制物理过程不是这样 重要。如果攻击者可以记录您输入的密码,则很容易 在被盗设备上重新输入密码。取决于生物识别的类型 和所使用的传感器,被盗的生物特征可能同样易于输入,或者 难度可能会增加几个数量级。

HFSecurity Face Recognition Device

03。评估生物特征

在以下各节中,我们将评估 三种不同的生物识别技术的优缺点: 指纹扫描,面部识别和静脉扫描。在开始之前, 我们需要一个评估它们的框架。生物识别技术最终取决于两个关键 属性:唯一识别单个用户的能力以及难度 以特定身份欺骗和掩盖生物特征 用户。

为了使生物识别技术得以应用 为了能够很好地表明用户身份,我们必须衡量两者 用户之间唯一且可区分。不管对手如何篡改, 为了使生物识别技术有效,它们必须同时具有较低的误报率和 错误警报率低。在生物识别方面,我们使用术语错误接受 率(FAR)和错误拒绝率(FRR)分别描述 错误的用户将被错误接受或纠正的机会百分比 用户将被错误地拒绝。

FIDO联盟,领先的认证 标准组织有规定的认证要求,即 失败的生物特征识别(FRR)尝试次数不应超过3次 乘以100,以及成功进行无效生物识别的次数 (FAR)尝试次数不得超过10,000次。在1中,较低的FRR是 可用性是必需的,但从安全性的角度来看,较低的FAR更为重要 重要,因为我们真的不希望我们的设备和帐户被解锁 为错误的人。但是,设备通常会在锁定一定数量后锁定 失败尝试的数量,因此FAR实际上只需要足够小即可 防止重复随机尝试成为有效的攻击策略。

还有第三个指标,称为 FIDO术语中的冒名顶替者攻击表示匹配率(IAPMR),以及 Android中的冒名顶替者接受率(IAR)/欺骗接受率(SAR) 术语。这些指标试图定义一种通用的测试方法来确定 主动生物特征识别攻击的成功率。尽管这些概述了 程序可能在将来显示出希望,我们没有迹象表明它们是 正在使用。甚至同一传感器类别中的每种生物识别技术 (指纹,面部识别等)容易受到不同类型的 攻击。测量这些攻击的敏感性取决于理解 并针对每种生物特征识别方法和个人攻击开发测试套件 类型,主要涉及对现有已知攻击进行分类。

最后,制造商很少发布他们的 FAR和FRR汇率,并且不会发布生成这些汇率的数据。数据输入 整个行业非常稀缺,只有少数产品获得了 通过不透明的FIDO认证承担最低责任。因此,在 在以下各节中,我们将深入研究不同的生物特征识别 技术及其优缺点。我们必须依靠演绎 推理而不是硬数据来承担优点和缺点 每种技术。至关重要的是,我们观察到最好的生物识别传感器包括 某种形式的活动检查,这使得作弊生物特征识别变得更加困难。

RA08T Face Recognition Temperature (2)

04.指纹扫描仪

指纹已被用作生物识别 技术数十年。我们认为它们是独特的,因为政府使用 他们识别人。但是它们真的有多独特?作为参考,在 由专家进行手动指纹分析,FRR通常为7.5%, FAR为0.1%,通常基于小于1000的小样本 测试用例。但是,其他研究估计FAR率要高得多。 这最好比FIDO的0.01%FAR率差一个数量级。 不幸的是,对于电子指纹扫描仪,似乎没有 有关FAR和FRR利率的任何公开可用数据。但是让我们假设 FAR率足以防止意外的未经授权的设备解锁和 对抗地看一下指纹扫描仪。

目前主要有三个 指纹 扫描技术:光学,超声波和电容性。光学指纹 扫描仪使用扫描仪拍摄指纹的二维图像,然后 然后将其与注册的指纹进行比较。可以想象, 使欺骗像在键盘上打印有效指纹的图像一样简单 一张纸。光学指纹扫描仪已过时。

电容式指纹扫描仪已关闭 背后。电容式扫描仪使用的栅格非常小,其电 开关密度很高。当导电的人体皮肤接触到其中一种时 开关,它将关闭开关电路。网格足够密集, 足够敏感,以至于人类指纹的山脊(而不是山谷) 将以指纹形图案闭合所有开关上的电路 电容式传感器。通过这种方式,传感器可以获得用户的2D图像。 指纹并将其与注册的指纹进行比较。重要的是要 请注意,尽管最终会捕获2D图像,但机械 传感器的原理要求指纹必须是导电的。 尽管导电银墨水可用于3D打印甚至2D打印 导电AgIC纸上的指纹,这是一个主要障碍, 攻击者必须克服。

超声波指纹扫描有 最近在主要的设备制造商(例如三星和 一加超声波扫描仪和电容式扫描仪的区别是 他们可以在移动设备屏幕上的任何地方扫描指纹。 他们使用声波建立手指压在玻璃上的3D模型, 但它似乎无法像 电容式传感器。这种方法的主要优点似乎是可用性。

与电容式传感器相比, 超声波扫描仪在手指放置方面具有更大的灵活性, 报告说,由于灰尘,扫描指纹的一致性更高 电容传感器上的油可能会引起故障。但是,如果 指纹的电导率未经测试,超声波传感器看起来非常 很高兴接受用户指纹的3D打印副本。研究人员和 技术记者已在最近发布的内容中对此进行了广泛的记录 三星Galaxy S10和OnePlus 7 Pro这两家公司的旗舰手机。在一个 奇怪的错误,S10的传感器甚至可能被屏幕保护膜弄糊涂了。 尽管可以快速修复,但所有指纹都可以注册为有效 指纹。

3D打印方法可能不受限制 这些特定的手机或制造商,但是对整个 超声波指纹扫描仪的类别。但是,从生成3D副本 在2D模式下产生的指纹仍然需要特殊的设备,并且会产生 折衷标准。目前尚不清楚超声扫描仪或 电容式扫描仪最终“更安全”,但尽管两者都是不可渗透的, 他们很容易绕开。

虽然不是完美的“一生” 指标,电容式传感器的电导率要求 增加了欺骗指纹的难度。想象一下双重传感器 同时使用超声波传感器和内置在前面的电容式栅格 在移动设备的屏幕上观察指纹两次。这将 增加了将指纹欺骗到3D打印中的难度,这需要 电导率。但是,尚不清楚边际收益是否增加 安全值得增加成本,尤其是考虑其他生物特征识别时 选项。

Facial Recognition Device

05。人脸识别

这可能部分是由于缺乏 指纹扫描仪,当然,为了方便起见,近年来,面部 识别已成为移动设备更流行的生物识别技术 和笔记本电脑。最新的iPhone(X和11)和Google的Pixel 4已采用 面部识别作为主要的生物识别传感器,完全避免了 指纹扫描仪。面部识别使用一个或多个前置摄像头 拍摄用户面部的图像,如果图像与注册用户的图像相匹配 面对,设备可以解锁。我们了解人脸是独一无二的 因为作为人类,我们可以高度自信地认识个人, 但在许多方面,计算机驱动的面部识别的真正效果是 仍不清楚。我能找到的唯一指标是苹果声称 FaceID非双胞胎成年人的接受率仅为1,000,000分之一,即 比FIDO标准高100倍。但是,苹果没有提供 此数字的计算方法。

有两种主要方法 面部的 承认。首先是使用前置摄像头拍摄 用户的脸部,提取特征(例如相对位置,尺寸和形状) (眼睛,鼻子和嘴巴),并将这些功能与面部功能进行比较 注册用户的数量。如果它们足够匹配,则设备将解锁。 但是,基本上,这种方法会将一个或多个2D图像与另一个2D图像进行比较 数据库中的图像。就像光学指纹扫描仪一样(幸运的是, 方法已停止使用),该方法可被高分辨率欺骗 相片。这种“安全”机制主要在安全领域。 直到2020年1月,这是几乎所有Android设备上使用的面部识别 电话。


相关新闻:

面部识别无处不在。这是我们可以做的

人脸识别访客机使前台访客更智能

人脸识别的未来发展将突破安全应用的范围

网址:www.hfteco.com

网址:www.china-attendance.com

电子邮件:info@hfcctv.com

HFSecurity Face Recognition DeviceFacial Recognition DeviceFacial Recognition DeviceFacial Recognition Device

HFSecurity Face Recognition Device HFSecurity Face Recognition Device