這是Applied Denciention的聯合首席執行官Don Waugh的來賓帖子。
2015年6月,美國人事管理辦公室(OPM)遭受數據洩露,竊取了2150萬人的記錄。被盜的數據包括詳細的背景安全性與清除相關信息。更令人震驚的是,它還包括110萬種指紋,導致秘密特工的妥協,因為即使其名稱已更改,也可以通過指紋識別。令人驚訝的是,OPM正在使用簡單的密碼來保護未經加密的指紋信息。
為了應對違規,國土安全部宣布,將很快使用聯邦人員使用三因素身份驗證方法,其中包括智能卡,密碼及其指紋登錄計算機。 SmartCard將包含一個數字化的指紋,遠離生物識別數據的中央存儲。
三因素身份驗證包括:
- 您知道的東西(例如密碼)
- 您擁有的東西(例如智能卡)
- 您是的東西(例如指紋或面部生物識別技術)
這三個因素通常在個人的控制之下,沒有其他因素。最強的身份驗證方法是生物識別,因為它不能被盜。智能卡是下一個;雖然可以被盜該卡,它可以快速取消,類似於用丟失或被盜的信用卡採取的措施。密碼是最弱的,因為它們可能會被盜,並且與智能卡不同,密碼盜竊通常不會被忽略,直到檢測到使用。 OPM數據洩露就是這樣的示例。
我們都知道密碼管理有多艱辛和痛苦。為了安全起見,每個應用程序都需要復雜,冗長且不同 - 使其無法通過內存保留。結果,經常使用易於記住的密碼。以下是Splashdata的消費者使用的十大密碼列表:
- 123456
- 密碼
- 12345
- 12345678
- Qwerty
- 123456789
- 1234
- 棒球
- 龍
- 足球
像LastPass這樣的密碼保險庫應用程序通過將所有密碼匯總到一個密碼中,可以幫助消費者保留其持續的難以記住的密碼列表。此類密碼管理器可能是提高在線安全性的明智方法 - 也就是說,直到被黑客入侵。 2015年6月,LastPass被黑客入侵導致盜竊電子郵件地址,密碼提醒,每個用戶鹽的服務器(添加到密碼的數據以使其更難破解)和為700萬用戶的身份驗證哈希。密碼保險櫃公司被黑客攻擊的目標並不奇怪。他們使集中式服務器裝滿密碼。什麼黑客會錯過這個機會?
像OPM一樣,LastPass學會了(困難的方式),因為它為黑客創造了誘人的目標,因此不應進行數據集中化。權力下放消除了目標,使黑客更加困難。邏輯?坦白說,是的。
全世界的許多隱私當局已經通過或正在通過立法,以防止私人生物識別數據收集和集中。為什麼?保護消費者。
2011年,由安大略省隱私專員與加拿大隱私專員辦公室合作,發布了有關在公共部門和私營部門使用諸如面部識別之類的生物識別技術的指南。該文件,標題為“觸手可及 - 生物識別技術和隱私面臨的挑戰”,提出的幾項旨在減輕與生物識別系統有關的隱私挑戰的原則,包括:
“在本地存儲生物特徵識別信息,而不是在中心位置的數據庫中,以最大程度地降低數據丟失或跨系統數據的不適當交聯的風險。”
2012年10月15日,在愛爾蘭數據保護局(DPA)進行調查後,Facebook削弱了歐盟用戶的“標籤面部識別”功能。漢堡DPA還宣布,Facebook違反了歐盟對使用面部識別的數據保護法,並採取了措施迫使Facebook修改其實踐,並破壞其迄今為止在德國收集的面部圖像的數據庫。
結果,當Google於2015年6月推出“ Google Photos”時,它將對加拿大和歐盟國家進行識別。 2015年7月,Facebook推出了“ Facebook時刻”,加拿大和歐盟國家的面部識別被禁用,因為它們的法律使集中收集和使用生物識別數據是非法的。
美國圍繞生物識別的法律稀疏,但在州一級增長。伊利諾伊州已提出生物特徵識別隱私法(“ BIPA”)。德克薩斯州有法定規定(Bus。&Com。CodeAnn。§503.001)。每次違法行為的BIPA損害賠償額較大(違反過失的1,000美元,有意或魯ck違反的$ 5,000)或實際損害賠償,也可以提供禁令和律師的費用和費用。德克薩斯州法律對違反者遭到民事處罰(得克薩斯州總檢察長可以執行),每次違法行為最高25,000美元。
阿拉斯加和華盛頓也有類似的立法。根據擬議的阿拉斯加法規,未經明確的生物識別標識符收集,可證明同意書將導致私人行動權,以實施任何有意違反該法規的行為。 HB第144號,第28立法機關,第一屆。 (阿拉斯加,2013年)。華盛頓法案已在眾議院通過並正在參議院移動,該法案旨在防止捕獲和/或出售生物識別標識符以供商業用途,除非受試者首先通知並同意。
愛荷華州,內布拉斯加州,北卡羅來納州和威斯康星州的“個人信息”定義中包括各種類型的生物識別數據,以實現數據安全漏洞通知法,如果數據洩露涉及生物識別信息,則需要向數據所有者通知數據所有者。
目前,結果是集體訴訟。在2015年5月至2015年7月之間,原告起訴Facebook和Shutterfly,據稱是違反伊利諾伊州生物識別信息隱私法,第740 ILCS 14(WEST)的生物識別數據,並且是第一個測試伊利諾伊州BIPA法律的人。
值得慶幸的是,這些法律正在立法保護消費者。如果不是這些和未來的立法,消費者就是一隻鴨子。
我們有一個很大的問題 - 安全性。其中一個非常大的方面與密碼身份驗證有關。事實證明,生物識別技術是解決此問題的非常有效的解決方案。正如黑客脆弱性和隱私立法中所證明的那樣,生物識別數據的收集充滿了重大問題,其中一些問題是非法的。正如國土安全部計劃使用智能卡來存儲數字化指紋的計劃(雖然在資本和持續運營成本方面昂貴)所證明,其結果是終止了生物識別數據的集中式存儲。
最重要的是這樣。任何希望使用生物識別技術來提高安全性和隱私的人都應該遠離集中式收集和存儲生物識別數據。有許多客戶端的解決方案可提供更安全的替代方案。
免責聲明:Biometricupdate.com博客已提交內容。此博客中表達的觀點是作者的觀點,不一定反映了Biometricupdate.com的觀點。
