生物识别安全性仍令人担忧 需做好数据安全

　　【中国安防展览网 焦点新闻】如今，人们对信息安全越来越重视，而保障信息安全常用的方法就是密码。自从苹果开创性地使用了指纹识别，生物识别这种更加安全的密码系统便被带入了大家的视线。越来越多的生物识别技术被发现并想办法应用到实际中，但对于其安全性仍存在隐忧。

　　
　　多样生物识别，开解解锁新视界
　　
　　如今，指纹识别已经成为解锁手机、验证身份的一种流行方式。随着生物识别技术的不断进步，除了常见的指纹识别之外，人们身上越来越多的生物特征加入了“密码”的行列。
　　
　　根据英国《每日邮报》报道，近日，德国一个研究团队开发出了一套依靠头骨进行生物识别的技术。它利用一个类似头盔的设备，通过骨传导扬声器将超声波信号发射到佩戴者的头骨周围。佩带者佩戴的设备会记录下头骨对于超声波的震动反馈，凭借这一数据来验证身份。与指纹解锁相比，这个技术的复制难度显然要大得多。
　　
　　据报道，研究人员邀请了10人进行测试，识别准确度为97%。目前，这项技术还存在一些问题，比如杂乱的背景音、用户体重的增减等因素都可能干扰或影响头骨音的震动频率，不过，这已经为生物识别提供了新的可能性。
　　
　　耳朵也可以充当密码。此前，日本一家公司联合长冈技术科学大学共同研究出了一种通过匹配声音在耳道中的共振频谱来进行生物识别的技术。每个人的耳道形状都不同。耳道识别技术以微型入耳式耳塞为载体，向配戴者的耳道发出声波，再通过耳机端接受反射回来的声波进行身份验证。该公司表示：“这项技术不需要通过识别设备扫描身体，它通过自然的方式进行持续识别，甚至在运动和工作的时候，也只需佩戴具备内置麦克风的耳机即可。”不仅方便，而且识别时间仅需1秒，准确率达到99%。该公司有望在2018年将相关产品推向市场。
　　
　　如今，越来越多的个人数据被置于云端进行存储和管理。信息安全成为人们关注的问题。近年来，生物密码开始慢慢取代极易伪造和丢失的传统密码。指纹识别不必赘述，人脸识别、虹膜识别、声音识别、静脉识别等多种方法都有广泛的应用。随着科学技术的进一步发展和相关领域研究的深入，安全性更高、更加便捷的生物识别技术也在逐渐兴起。也许在不久的将来，我们就只需要将手机靠近头部或带上耳机就能够解锁手机。
　　
　　生物识别安全性仍令人担忧
　　
　　与传统密码相比，生物识别安全系统的设计思路就是让用户使用明显的身体特征——例如指纹、虹膜或心跳率——来证明自己的身份。这种功能在当前的很多设备中都很常见。例如，苹果iPhone允许用户通过指纹来授权某项支付活动。
　　
　　生物识别安全功能的好处就是这些身体特征很难复制，而且用户也不用费神记住它们。这与传统的密码加密方法形成了鲜明的对比。黑客之所以能够轻易地破解密码，是因为很多用户仍在使用非常简单的密码，例如“12345”，而且还因为黑客借用了强大的电脑来猜测和测试密码。
　　
　　可惜的是，生物数据也是可以被黑客窃取的。现在，已有很多窃取用户生物数据的安全入侵事件发生。例如，在2015年，美国联邦政府人事管理办公室保存的560万个员工的指纹数据就被黑客盗走了。
　　
　　更糟糕的是，在生物数据失窃后，它会造成性的危害。在数据失窃后，你可以更改你的密码，但是你却无法更改你的指纹。
　　
　　现在，越来越多的组织（包括公司和政府机构）都在建立员工的生物特征数据库，以方便识别他们的身份。但是，这样的数据库会将员工置于非常危险的境地，因为这些数据库有被黑客窃取的风险。
　　
　　普华永道会计事务所（Pricewaterhouse Coopers）发布的一份新报告指出，不同国家拥有非常不同的针对生物数据收集和传播的隐私法。任何拥有这些数据的公司——不管是直接拥有的，还是通过第三方云计算服务提供商间接拥有的——相当于走进了一个“雷区”：如果被发现不正当使用这些数据，或者这些数据被黑客窃走，那么这些公司就会遭到法律起诉，给自己惹上*的麻烦。
　　
　　但是，生物识别安全系统的这些风险也不是不可以防范的。现在，人们越来越意识到公司保护员工生物数据的方法就是在一开始就不持有这些敏感的信息。PwC公司的报告建议，公司应该将这些生物数据只保存在用户本人的设备上，而不是集中保存到公司的服务器上。
　　
　　在实践中，用户可以将一个或多个生物特征（例如大拇指指纹和语音信息）保存到个人的手机或电脑上。然后，当用户在第三方服务如PayPal支付服务或其他网站上处理业务的时候，这些服务或网站就会与他或她的个人设备交换确认信息，从而确认身份。
　　
　　例如，iPhone上的苹果支付服务ApplePay就是这样工作的。苹果实际上不会将用户的大拇指指纹复印件发给送商户，相反，它只提供一次性的确认信息来授权此次支付活动。类似的支付认证授权方法已通过FIDO协议标准化了。FIDO协议是科技和金融行业中的设备制造商和公司共同签署的安全协议。
　　
　　随着政府和公司开始采用生物识别安全系统，它们起码应该抵挡住将员工生物数据集中保存在统一数据库中的诱惑，从而避免让员工暴露在比传统密码更大的危险之中。