指紋識(shí)別和傳統(tǒng)密碼誰(shuí)的安全性更高

時(shí)間：2020-05-10 18:39:01

關(guān)鍵字：指紋識(shí)別黑客指紋生物識(shí)別

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] （文章來(lái)源：kumsing）據(jù)外電報(bào)道，對(duì)于擔(dān)心身份信息被盜的用戶(hù)來(lái)說(shuō)，這里有一則好消息，也有一則壞消息。好消息就是，傳統(tǒng)的密碼加密系統(tǒng)準(zhǔn)備要退出歷史舞臺(tái)了。因?yàn)樗苋菀妆缓诳推平猓瑢?dǎo)

（文章來(lái)源：kumsing）

據(jù)外電報(bào)道，對(duì)于擔(dān)心身份信息被盜的用戶(hù)來(lái)說(shuō)，這里有一則好消息，也有一則壞消息。好消息就是，傳統(tǒng)的密碼加密系統(tǒng)準(zhǔn)備要退出歷史舞臺(tái)了。因?yàn)樗苋菀妆缓诳推平猓瑢?dǎo)致了數(shù)據(jù)入侵事件頻發(fā)。

但是，壞消息是即將取代傳統(tǒng)密碼的生物識(shí)別安全系統(tǒng)也存在很大的安全隱患。生物識(shí)別安全系統(tǒng)的設(shè)計(jì)思路就是讓用戶(hù)使用明顯的身體特征——例如指紋、虹膜或心跳率——來(lái)證明自己的身份。這種功能在當(dāng)前的很多設(shè)備中都很常見(jiàn)。例如，蘋(píng)果iPhone允許用戶(hù)通過(guò)指紋來(lái)授權(quán)某項(xiàng)支付活動(dòng)。

生物識(shí)別安全功能的好處就是這些身體特征很難復(fù)制，而且用戶(hù)也不用費(fèi)神記住它們。這與傳統(tǒng)的密碼加密方法形成了鮮明的對(duì)比。黑客之所以能夠輕易地破解密碼，是因?yàn)楹芏嘤脩?hù)仍在使用非常簡(jiǎn)單的密碼，例如“12345”，而且還因?yàn)楹诳徒栌昧藦?qiáng)大的電腦來(lái)猜測(cè)和測(cè)試密碼。

可惜的是，生物數(shù)據(jù)也是可以被黑客竊取的。現(xiàn)在，已有很多竊取用戶(hù)生物數(shù)據(jù)的安全入侵事件發(fā)生。例如，在2015年，美國(guó)聯(lián)邦政府人事管理辦公室保存的560萬(wàn)個(gè)員工的指紋數(shù)據(jù)就被黑客盜走了。

更糟糕的是，在生物數(shù)據(jù)失竊后，它會(huì)造成永久性的危害。在數(shù)據(jù)失竊后，你可以更改你的密碼，但是你卻無(wú)法更改你的指紋。現(xiàn)在，越來(lái)越多的組織（包括公司和政府機(jī)構(gòu)）都在建立員工的生物特征數(shù)據(jù)庫(kù)，以方便識(shí)別他們的身份。但是，這樣的數(shù)據(jù)庫(kù)會(huì)將員工置于非常危險(xiǎn)的境地，因?yàn)檫@些數(shù)據(jù)庫(kù)有被黑客竊取的風(fēng)險(xiǎn)。

普華永道國(guó)際會(huì)計(jì)事務(wù)所（PricewaterhouseCoopers）發(fā)布的一份最新報(bào)告指出，不同國(guó)家擁有非常不同的針對(duì)生物數(shù)據(jù)收集和傳播的隱私法。任何擁有這些數(shù)據(jù)的公司——不管是直接擁有的，還是通過(guò)第三方云計(jì)算服務(wù)提供商間接擁有的——相當(dāng)于走進(jìn)了一個(gè)“雷區(qū)”：如果被發(fā)現(xiàn)不正當(dāng)使用這些數(shù)據(jù)，或者這些數(shù)據(jù)被黑客竊走，那么這些公司就會(huì)遭到法律起訴，給自己惹上無(wú)窮無(wú)盡的麻煩。

但是，生物識(shí)別安全系統(tǒng)的這些風(fēng)險(xiǎn)也不是不可以防范的?，F(xiàn)在，人們?cè)絹?lái)越意識(shí)到公司保護(hù)員工生物數(shù)據(jù)的方法就是在一開(kāi)始就不持有這些敏感的信息。PwC公司的報(bào)告建議，公司應(yīng)該將這些生物數(shù)據(jù)只保存在用戶(hù)本人的設(shè)備上，而不是集中保存到公司的服務(wù)器上。

在實(shí)踐中，用戶(hù)可以將一個(gè)或多個(gè)生物特征（例如大拇指指紋和語(yǔ)音信息）保存到個(gè)人的手機(jī)或電腦上。然后，當(dāng)用戶(hù)在第三方服務(wù)如PayPal支付服務(wù)或其他網(wǎng)站上處理業(yè)務(wù)的時(shí)候，這些服務(wù)或網(wǎng)站就會(huì)與他或她的個(gè)人設(shè)備交換確認(rèn)信息，從而確認(rèn)身份。

例如，iPhone上的蘋(píng)果支付服務(wù)Apple Pay就是這樣工作的。蘋(píng)果實(shí)際上不會(huì)將用戶(hù)的大拇指指紋復(fù)印件發(fā)給送商戶(hù)，相反，它只提供一次性的確認(rèn)信息來(lái)授權(quán)此次支付活動(dòng)。類(lèi)似的支付認(rèn)證授權(quán)方法已通過(guò)FIDO協(xié)議標(biāo)準(zhǔn)化了。FIDO協(xié)議是科技和金融行業(yè)中的設(shè)備制造商和公司共同簽署的安全協(xié)議。

隨著政府和公司開(kāi)始采用生物識(shí)別安全系統(tǒng)，它們起碼應(yīng)該抵擋住將員工生物數(shù)據(jù)集中保存在統(tǒng)一數(shù)據(jù)庫(kù)中的誘惑，從而避免讓員工暴露在比傳統(tǒng)密碼更大的危險(xiǎn)之中。
? ? ? ?