在接下来的几年中,忘记密码将成为过去的问题,越来越多的组织使用生物识别技术进行身份验证。到2022年,大公司中有60%根据Gartner的说法,将减少他们对密码的依赖。同时,Microsoft员工是已经使用生物识别技术进行了认证,英国银行正在试用指纹以授权购买。
在涵盖的41,686起安全事件中2019 Verizon数据泄露事件报告32%的人涉及网络钓鱼,而29%的人涉及被盗的证书,这表明有必要替换生物识别技术。企业,员工和消费者需要一种不太复杂,更安全的方法来验证,并且使用生物识别验证提供了两者。敏感的生物特征数据的存储已提高了安全性问题,但是,如果正确实施并在正确的存储下实施,生物识别技术在我们的无密码未来中都有明显的位置。
使用生物识别技术进行安全,而不是便利
通常,生物识别物重新报道现有密码 - 一种流行的方法,用于解锁智能手机和访问移动应用程序。但是,密码未从身份验证过程中删除,生物识别技术被用作身份验证的快捷方式。仅在身份验证过程中完全消除密码时,使用生物识别技术进行身份验证。这是朝着无密码身份验证的基本步骤,好像密码仍然在后台徘徊,数据泄露的风险仍然存在。
为了获得无密码身份验证的全部好处,生物识别技术需要用于安全性,而不是仅仅是便利的,这意味着实施政策,这些策略可以完全从身份验证过程中删除密码。这意味着永远不要要求创建密码,输入密码或重置密码。通过实际的无密码身份验证,一个人身份验证的唯一方法是使用生物识别技术组合。
您的生物特征不像密码
尽管有关研究人员如何欺骗生物识别传感器,但实际上进行欺骗攻击还是很具有挑战性。渗透密码很简单 - 攻击者可以轻松地将其键入凭证将其输入键盘,但是生物识别图像不能直接输入传感器,首先必须将其转换为对象。因此,为了成功使用偷来的指纹图像,黑客必须使一个人的手指的模具足以欺骗生物识别传感器。
即使在伪造的生物识别技术欺骗智能手机的指纹传感器的情况下,生物识别验证系统也包括其他安全措施,以防止此类攻击。这包括LIVISE检测,它需要眨眼或移动手指以证明人类正在实时进行身份验证,而行为生物识别技术则使用人工智能将人们与智能手机互动的方式融合到身份验证过程中。
当然,如果攻击者首先无法获得生物识别图像,那么这种欺骗攻击就不是问题。这使得质疑正确存储敏感生物特征图像的问题必须从加密开始。接下来,不应将图像存储在唯一位置,例如服务器和智能手机,这意味着,如果攻击者渗透一个数据库,则它们只会获得生物特征识别图像的一部分,从而使数据无法使用。
重新考虑生物识别技术在身份验证中的作用
鉴于成功率,攻击者不太可能停止使用密码作为渗透向量。保护公司免受被盗密码的攻击,需要一种新的身份验证方法,即用生物识别技术代替基于知识的方法。这意味着将生物识别技术视为安全工具,而不是将生物识别方法视为加快身份验证的机制。当生物识别技术使我们永远与密码说再见时,我们将更近一步,距离更安全的企业。
关于作者
杰森·图利(Jason Tooley)是首席收入官Versid,无摩擦数字身份验证的开发商,通过采用生物特征验证解决方案来支持企业变得更加安全。
免责声明:Biometricupdate.com博客已提交内容。此博客中表达的观点是作者的观点,不一定反映了Biometricupdate.com的观点。
