身体|生物识别安全隐患仍存:拿什么来保护我们的“身体密码”?
文章插图
生物识别技术正快速“走红”海内外众多领域。根据中国信通院2020年发布的《生物识别隐私保护研究报告》,自2010年以来,全球生物识别产业迅速增长,2017-2018年市场增速最快,增长率达到22.28%,2019年之后逐步稳定增长趋势,到2020年市场达到233亿美元。
现今比较成熟的生物识别认证方式有指纹认证、人脸认证、声纹认证、虹膜认证、步态认证等。例如,系统进行活体检测时,用户“眨眨眼、点点头”即可快速实现线上身份确认;指纹、人脸还能用于免密登录认证、免密支付转账、线上合同签署操作;执法部门通过人脸识别对特定人员进行精准搜索和巡查……
不可否认,生物识别技术让用户的认证方式变得简单、易操作,但应用过程中也会出现一些风险,有两类安全问题尤为突出。
安全问题1:针对生物识别技术的安全攻击持续不断
这些年,对于生物识别认证的攻击一直存在,攻击手法层出不穷,但大致归为两类:一种是通过网络对生物识别信息的截取,以便实现对认证系统的攻击,这种攻击方法主要针对远程人脸认证;另一种是通过深度伪造生物识别信息,做出极其逼真的3D人脸模具、指纹模具,实现以假乱真的效果。
2017年央视315晚会现场,主持人凭借手机和一张正面照片,就使用“换脸”特效成功攻破人脸识别系统;2018年一篇《一块橘子皮就能秒开你的手机指纹锁还能转账付款》的文章被疯狂转载,攻击者使用特定的方法和工具,即可实现手机指纹解锁的破解;2019年1月,在德国黑客组织年度大会上,研究员使用照片制成的手摸绕过了静脉认证;同年3月,攻击者利用AI技术成功模仿并冒充英国某公司CEO的声音,诈骗22万欧元;近年来,使用3D打印面具,可呈现极度逼真的人脸模型,骗过某些手机终端人脸识别认证系统。
实际上,我们需要通过优化生物识别认证算法,或结合其他安全认证原理,结合特定的应用场景,才能实现可靠性、安全性的防护,防止误认、漏认等风险的发生。比如,央行发布的《网上银行系统信息安全通用规范2020》明确指出,应把生物特征技术作为安全增强手段,并与其他身份认证技术相结合,增强交易安全。
安全问题2:个人生物特征隐私保护亟待解决
生物识别信息是每个人与生俱来的特征,一旦遭到泄露,将出现不可挽回的影响。目前,生物特征信息的采集、传输、存储等方面还缺少较为细化的安全措施规范。另外,现有的市场中存在生物信息采集过度,使用过度等乱象,一些企业未征得用户同意的情况下,任意使用生物特征(尤其是人脸信息),对用户隐私造成严重威胁。
保护个人生物信息隐私,实际上需要从法律立法、加强监管、企业自律等多维度开展。近年来,我国相继发布了多个针对生物识别认证相关的标准规范,例如,《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》(GB∕T 36651-2018)、《信息安全技术 远程人脸识别系统技术要求》(GBT38671-2020)等。此外,为切实保护公民个人隐私安全,按照《关于开展摄像头偷窥等黑产集中治理的公告》要求,工信部网络安全管理局近期还组织开展了摄像头网络安全集中整治。
基于多年来对生物识别领域的深度研究及探索实践,中国金融认证中心(CFCA)能为行业提供成熟的安全合规认证解决方案。该方案对接权威数据源,提供用户在线多要素和活体检测功能,认证用户的真实身份;提供基于FIDO标准的生物识别快速认证功能,实现生物特征识别+PKI高强度密码认证的复合身份验证方式,实现用户快速安全授权,优势显著:
- 联想|4个细节证明:联想并不安全,反而更加危险!
- 区委领导构筑静安数字经济竞争新优势|促发展、保安全| 区委
- 白白胖胖头顶起雾走走停停安全无误在哈尔滨站候车厅内一边消毒一边在室内移动的智能消毒机器人...|火车站里的机器人服务,是什么体验?
- 国家安全|英方自曝在华为内部安插间谍:把华为查了个遍!
- 小米科技|小米MIUI“纯净模式”已上线:所有App需经小米安全审核才能安装
- 寒假来了!这节“交通安全”课,请认真看
- 安全|华为发布隐私安全“四大主张”“三大承诺”,让数字世界安全可信
- 宽带用户|沧州长城宽带用户断网20余天无人修 客服:当地有关部门施工导致 城管热线:对存安全隐患低垂线缆进行割接
- 小米MIUI “纯净模式”已上线:所有App需经小米安全审核才能安装
- 安全健康过“两节”|寒假如何保持健康,这里有良方