攻擊者可以竊取密碼的各種方式,帳戶漏洞已變得司空見慣。這導致許多組織尋求兩因素身份驗證和生物識別技術,以恢復用戶的安全性。然而,兒子首席運營官鮑勃·斯圖爾特(Bob Stewart)說,組織經常實施這些身份驗證程序只是為了打開新的安全漏洞。
今年年初Sonavation宣布了Idkey,使用超聲技術的指紋掃描儀。它能夠捕獲傳統的指紋印象,但也可以看到指紋下方以繪製微脈管系統,骨骼結構和組織密度,同時提供多因素生物識別驗證。
斯圖爾特說idkey是同類技術的第一個技術,可以提供這種詳細的成像,並能夠以大規模的規模以及政府級的安全性和加密來進行經濟生產。他說,每個主要的智能手機製造商都將IDKEY視為多因素身份驗證解決方案,因為當前的解決方案具有一些非常重要的漏洞。
蘋果的安全顯示了密碼依賴的兩因素身份驗證的缺陷
斯圖爾特說,觸摸ID的推出是“真的是關於營銷的”。他繼續說:“當他們開始推出這些解決方案時,安全並不是最重要的。因此,這確實是一種生物識別解決方案,在基於密碼的解決方案集的頂部螺栓固定。”
基於去年提交的專利,看來蘋果實際上是在試圖添加使用二維傳感器的多模式指紋掃描作為減少其對密碼的依賴的一種方式。其他製造商還正在調查三星及其“諾克斯”項目等多因素生物識別驗證的方式。
儘管Touch ID使人們更容易使用生物識別技術,並鼓勵更多的人保護手機,但它包括使用戶容易受到傷害的安全缺陷有針對性的攻擊,,,,數據庫漏洞,也許最值得注意的是,通過剝奪安全性的密碼恢復過程。
密碼呈現出巨大的漏洞
由於我們依賴密碼,忘記密碼也變得很普遍。當我們經歷該過程以恢復丟失的密碼時,通常會存在缺陷。至少在iPhone恢復方面,繞過了兩因素身份驗證。 “您所要做的就是重新啟動口袋裡的iPhone,它要求您要做的第一件事就是添加密碼以解鎖生物識別芯片商店。輸入密碼後,您可以返回使用指紋。但是,它可以使用密碼來預測。”
獲取該密碼可能很容易,因為Apple顯示在輸入密碼時顯示每個字符。例如,如果您的狗的名字叫Rover,您可以在迅速掩蓋之前看到角色“流浪者”。無論輸入多快,用戶肩膀上的高速攝像頭都應輕鬆顯示密碼。
這不僅僅是iPhone。各種設備和服務的恢復過程仍然是一個巨大的脆弱性,尤其是在恢復問題(例如您的第一隻兒童狗的品種)或三年級英語老師的名字時。這些問題的答案可以被盜和解密,從而為攻擊者提供了一種潛在的獨特信息來模仿您。
帳戶收購也可以通過植入故意的技術缺陷來實現,該缺陷引入了“後門”,使犯罪分子可以訪問這些設備。斯圖爾特說,他已經聽說過許多情況,有組織犯罪有幾個方案可以訪問電話和安裝軟件,然後才能到達消費者,包括滲入生產供應鍊和貨運期間攔截電話。
密碼之後的生活是可能的,更安全
密碼和引腳也很容易通過被折衷的數據庫,惡意軟件感染的系統以及欺詐性網站而被偷走,這些網站看起來像是竊取登錄信息的預期網站。
這導致了FIDO聯盟採用通用身份驗證框架(UAF)協議,該協議允許用戶用本地連接的設備替換密碼,以獲取指紋,面部或語音生物識別讀數。斯圖爾特說:“ UAF的想法是從字面上消除用戶名和密碼。”
Idkey進一步採取了這一點,不僅提供了一種生物識別讀數,還提供了多因素的印象。他說:“僅僅觸摸我們的傳感器本身就是多因素。” “不是一個,不是兩個,而是三個因素身份驗證,具有小,便宜的單觸摸設備。”
指紋正在成為公共鑰匙,其他生物識別數據是私鑰
指紋非常獨特,但不一定是私人的。指紋通常是由執法和邊境安全收集的,並且指紋可以從一個人觸摸的表面中取出。這意味著指紋可用於識別個人 - 幾乎就像名稱或二手ID一樣。另一個更安全的密鑰應用於解鎖
“今天的指紋就像公鑰一樣 - 但是我的內部印刷品可以用作解密的私鑰。”
從本質上講,可以將指紋視為系統中的用戶名,而附加的生物特徵數據是一個非常複雜的密碼,其中可能包括組織,骨骼和微血管數據。
這無需記住複雜的登錄信息,以及在用戶忘記密碼時恢復帳戶的需求。
以指紋為公鑰,它可用於跨不同系統的聯邦。
將獨特性構建到傳感器本身中,作為一種反動力措施
指紋或面部識別可能是不安全的,因為有人可以“灰塵”用於指紋或用相機捕獲臉部,並使用此信息來欺騙生物識別系統。指紋或一個人的面部特徵本質上是在公開的,這意味著使用這些生物識別指標替換密碼存在明顯的問題。
關於IDKEY的獨特之處之一是,傳感器傳感器(將模擬聲音數據轉化為數字信息)是通過機械過程製造的,該工藝將陶瓷材料與鑽石葉片的適當厚度磨碎。
他說:“該模擬傳感器實際上從其製造業中具有獨特性……這意味著每個傳感器本身都有其獨特的指紋,這就是所謂的PUF或物理上不可吻合的功能。您不能繼續前進,使另一個傳感器完全像旁邊的那個傳感器一樣。”
“它們都和人們的DNA一樣獨特。”
這也意味著IDKEY捕獲的信息不是公共記錄的一部分,實際上在不同的IDKEY單位之間有所不同,並且在註冊過程中在個人和單位之間創建一個唯一的密鑰。這些單位本身已簽署安全證書,以確保單位是真實的。
IDKEY多因素身份驗證可能會在未來幾年內進入移動設備
斯圖爾特說,到目前為止,生物識別技術在很大程度上已經將其分層放在現有系統上,通常與密碼結合在一起,以提高所呈現的憑據的真實性。但是,這些系統具有漏洞 - 尤其是在允許密碼覆蓋其他多因素身份驗證時。
IDKEY多因素生物識別解決方案似乎是許多設備製造商正在尋找的東西,但是這種解決方案需要比目前在消費者設備中實施的生物識別技術更複雜的。
斯圖爾特說:“我們的挑戰是供應鏈,因為這並不是我們只能通過矽晶圓廠抽出這些東西。”但是,在實施方面,他指出:“您絕對會聽到整個2016年及以後的公告。”
由於帳戶漏洞的義務和較常見,因此在移動設備上的多因素身份驗證的推出迫切需要。
斯圖爾特說:“我們真的專注於如何創建一個提供信任的系統,然後讓人們恢復自己的數字腦海。” “這是驅動我們的任務,實際上我們擁有可以使人們安全的技術。”
