評(píng)估OPM攻擊后指紋識(shí)別技術(shù)
OPM漏洞對(duì)于指紋識(shí)別技術(shù)的安全性產(chǎn)生的質(zhì)疑。從這之中,CIO可以學(xué)習(xí)到什么?
我人指紋就只是我們自己的——但如果不是了怎么辦?
最近有消息稱,因?yàn)槿耸鹿芾砭?OPM)在規(guī)模漏洞導(dǎo)致560萬(wàn)個(gè)指紋被盜,這意味著我們的唯一識(shí)別符,即我們的指紋,將終結(jié)于他人之手。更嚴(yán)重的是,我們的指紋有可能出現(xiàn)在他們的手上。這對(duì)于企業(yè)來說意味著什么?
正如安全專家指出的那樣,生物特征識(shí)別技術(shù)是其它最好的財(cái)產(chǎn),但也將是最大的威脅。指紋、視網(wǎng)膜和聲紋作為密碼是無可替代的,這也意味著,它們一旦被盜用將難以恢復(fù)。
不斷加劇的問題是,政府機(jī)構(gòu)并沒有在安全的前提下收集指紋識(shí)別。我們指紋越來越多地用于身份驗(yàn)證和安全技術(shù)中,如解鎖移動(dòng)手機(jī)、汽車或房屋;還用于移動(dòng)技術(shù)。當(dāng)指紋成為鎖匙,成為支付方式時(shí),那么就不難想象潛在的黑客影響。指認(rèn)罪犯出現(xiàn)了新方法。
OPM曾說問題幾乎都是毫無根據(jù)的,并作為獨(dú)立機(jī)構(gòu)聲明,因?yàn)?ldquo;濫用指紋數(shù)據(jù)的能力現(xiàn)在是有限的。”但顯然受害者還沒有走出困境。
“雖然現(xiàn)在網(wǎng)絡(luò)犯罪還不能利用偷來的生物識(shí)別技術(shù),但是隨著身份驗(yàn)證的普遍這將不斷變化,” Tripwire公司的IT安全與風(fēng)險(xiǎn)策略總監(jiān)Tim Erlin說。
其它安全專家怎么看待OPM的受攻擊事件,怎么看待未來指紋識(shí)別技術(shù)?位于邁阿密安全公司Immunity的CEO Dave Aitel說,危險(xiǎn)已經(jīng)存在于物理世界;現(xiàn)在,它已進(jìn)入到數(shù)字世界中。
“我從不必?fù)?dān)心身份識(shí)別實(shí)被盜,因?yàn)槲以谒芯瓢傻木破可隙剂粲兄讣y,” Aitel說。“那些有足夠能力的黑客,不需要訪問本地欄可以從設(shè)備或指紋數(shù)據(jù)庫(kù)中獲得指紋,這對(duì)于他們既新鮮又有趣。”
在服務(wù)器端,存儲(chǔ)著敏捷指紋的數(shù)據(jù)庫(kù)需要盡可能地確保它的安全。公司應(yīng)該“創(chuàng)建數(shù)據(jù)庫(kù),包含加密的指紋注冊(cè)樣本參數(shù),但卻不是真正的指紋,” Forrester研究機(jī)構(gòu)的分析師 Andras Cser在郵件中說。“這樣,指紋就難以被偷。”
CIO們需要特別注意。“這是對(duì)CIO的一種警示,他們,首先應(yīng)該對(duì)指紋的存儲(chǔ)在服務(wù)器上存儲(chǔ)和匹配的位置,采取更好的保護(hù)方法;其次,評(píng)估解決方案,指紋是否存儲(chǔ)在可靠的安全的執(zhí)行環(huán)境中,匹配發(fā)生在了客戶端,” Cser寫到。
許多移動(dòng)設(shè)備都獲得了指紋識(shí)別安全的權(quán)利,Cser說。蘋果的Touch ID和谷歌的新Nexus Imprint 在設(shè)備的安全區(qū)域存儲(chǔ)了個(gè)人的指紋,而且黑客難以獲得。
Cser看到,未來指紋識(shí)別以及聲紋和面部識(shí)別將普遍存在于企業(yè)中。
但是用我們的物理我處作為識(shí)別碼不應(yīng)該成為唯一的安全形式,Aitel警告說。
“最后,生物識(shí)別永遠(yuǎn)都不是一個(gè)好的、唯一的驗(yàn)證提供者。你常常要把它與PIN或標(biāo)識(shí)結(jié)合,來讓它在實(shí)際中發(fā)揮作用,當(dāng)然是在做對(duì)的情況下,” Aitel說。