攻击者可以窃取密码的各种方式,帐户漏洞已变得司空见惯。这导致许多组织寻求两因素身份验证和生物识别技术,以恢复用户的安全性。然而,儿子首席运营官鲍勃·斯图尔特(Bob Stewart)说,组织经常实施这些身份验证程序只是为了打开新的安全漏洞。
今年年初Sonavation宣布了Idkey,使用超声技术的指纹扫描仪。它能够捕获传统的指纹印象,但也可以看到指纹下方以绘制微脉管系统,骨骼结构和组织密度,同时提供多因素生物识别验证。
斯图尔特说idkey是同类技术的第一个技术,可以提供这种详细的成像,并能够以大规模的规模以及政府级的安全性和加密来进行经济生产。他说,每个主要的智能手机制造商都将IDKEY视为多因素身份验证解决方案,因为当前的解决方案具有一些非常重要的漏洞。
苹果的安全显示了密码依赖的两因素身份验证的缺陷
斯图尔特说,触摸ID的推出是“真的是关于营销的”。他继续说:“当他们开始推出这些解决方案时,安全并不是最重要的。因此,这确实是一种生物识别解决方案,在基于密码的解决方案集的顶部螺栓固定。”
基于去年提交的专利,看来苹果实际上是在试图添加使用二维传感器的多模式指纹扫描作为减少其对密码的依赖的一种方式。其他制造商还正在调查三星及其“诺克斯”项目等多因素生物识别验证的方式。
尽管Touch ID使人们更容易使用生物识别技术,并鼓励更多的人保护手机,但它包括使用户容易受到伤害的安全缺陷有针对性的攻击,,,,数据库漏洞,也许最值得注意的是,通过剥夺安全性的密码恢复过程。
密码呈现出巨大的漏洞
由于我们依赖密码,忘记密码也变得很普遍。当我们经历该过程以恢复丢失的密码时,通常会存在缺陷。至少在iPhone恢复方面,绕过了两因素身份验证。 “您所要做的就是重新启动口袋里的iPhone,它要求您要做的第一件事就是添加密码以解锁生物识别芯片商店。输入密码后,您可以返回使用指纹。但是,它可以使用密码来预测。”
获取该密码可能很容易,因为Apple显示在输入密码时显示每个字符。例如,如果您的狗的名字叫Rover,您可以在迅速掩盖之前看到角色“流浪者”。无论输入多快,用户肩膀上的高速摄像头都应轻松显示密码。
这不仅仅是iPhone。各种设备和服务的恢复过程仍然是一个巨大的脆弱性,尤其是在恢复问题(例如您的第一只儿童狗的品种)或三年级英语老师的名字时。这些问题的答案可以被盗和解密,从而为攻击者提供了一种潜在的独特信息来模仿您。
帐户收购也可以通过植入故意的技术缺陷来实现,该缺陷引入了“后门”,使犯罪分子可以访问这些设备。斯图尔特说,他已经听说过许多情况,有组织犯罪有几个方案可以访问电话和安装软件,然后才能到达消费者,包括渗入生产供应链和货运期间拦截电话。
密码之后的生活是可能的,更安全
密码和引脚也很容易通过被折衷的数据库,恶意软件感染的系统以及欺诈性网站而被偷走,这些网站看起来像是窃取登录信息的预期网站。
这导致了FIDO联盟采用通用身份验证框架(UAF)协议,该协议允许用户用本地连接的设备替换密码,以获取指纹,面部或语音生物识别读数。斯图尔特说:“ UAF的想法是从字面上消除用户名和密码。”
Idkey进一步采取了这一点,不仅提供了一种生物识别读数,还提供了多因素的印象。他说:“仅仅触摸我们的传感器本身就是多因素。” “不是一个,不是两个,而是三个因素身份验证,具有小,便宜的单触摸设备。”
指纹正在成为公共钥匙,其他生物识别数据是私钥
指纹非常独特,但不一定是私人的。指纹通常是由执法和边境安全收集的,并且指纹可以从一个人触摸的表面中取出。这意味着指纹可用于识别个人 - 几乎就像名称或二手ID一样。另一个更安全的密钥应用于解锁
“今天的指纹就像公钥一样 - 但是我的内部印刷品可以用作解密的私钥。”
从本质上讲,可以将指纹视为系统中的用户名,而附加的生物特征数据是一个非常复杂的密码,其中可能包括组织,骨骼和微血管数据。
这无需记住复杂的登录信息,以及在用户忘记密码时恢复帐户的需求。
以指纹为公钥,它可用于跨不同系统的联邦。
将独特性构建到传感器本身中,作为一种反动力措施
指纹或面部识别可能是不安全的,因为有人可以“灰尘”用于指纹或用相机捕获脸部,并使用此信息来欺骗生物识别系统。指纹或一个人的面部特征本质上是在公开的,这意味着使用这些生物识别指标替换密码存在明显的问题。
关于IDKEY的独特之处之一是,传感器传感器(将模拟声音数据转化为数字信息)是通过机械过程制造的,该工艺将陶瓷材料与钻石叶片的适当厚度磨碎。
他说:“该模拟传感器实际上从其制造业中具有独特性……这意味着每个传感器本身都有其独特的指纹,这就是所谓的PUF或物理上不可吻合的功能。您不能继续前进,使另一个传感器完全像旁边的那个传感器一样。”
“它们都和人们的DNA一样独特。”
这也意味着IDKEY捕获的信息不是公共记录的一部分,实际上在不同的IDKEY单位之间有所不同,并且在注册过程中在个人和单位之间创建一个唯一的密钥。这些单位本身已签署安全证书,以确保单位是真实的。
IDKEY多因素身份验证可能会在未来几年内进入移动设备
斯图尔特说,到目前为止,生物识别技术在很大程度上已经将其分层放在现有系统上,通常与密码结合在一起,以提高所呈现的凭据的真实性。但是,这些系统具有漏洞 - 尤其是在允许密码覆盖其他多因素身份验证时。
IDKEY多因素生物识别解决方案似乎是许多设备制造商正在寻找的东西,但是这种解决方案需要比目前在消费者设备中实施的生物识别技术更复杂的。
斯图尔特说:“我们的挑战是供应链,因为这并不是我们只能通过硅晶圆厂抽出这些东西。”但是,在实施方面,他指出:“您绝对会听到整个2016年及以后的公告。”
由于帐户漏洞的义务和较常见,因此在移动设备上的多因素身份验证的推出迫切需要。
斯图尔特说:“我们真的专注于如何创建一个提供信任的系统,然后让人们恢复自己的数字脑海。” “这是驱动我们的任务,实际上我们拥有可以使人们安全的技术。”
