基于bio度量安全地验证用户

Question

所以我们的手机上都有摄像头，我们的身体上都有脸(希望如此)。我们都希望确保我们的数据安全可靠。为了达到这个目的，许多公司试图制作安全的面部识别软件或生物测量扫描，这是无法用简单的图片完成的。

它背后的想法总是一样的。我们将使用一个人独特的识别属性来识别他们。其背后的想法是相当坚实的。然而，在一些早期的实现中，总是存在一个问题，这些实现表明，一个副本必须足够好。通过图像(面部/视网膜)的识别，它被一张图片打败了。用全指纹扫描仪，它被愚蠢的油灰敲打。现在，我们有了新的技术来尝试和验证他们更“安全”。

微软使用Hello，大多数手机现在都有手指扫描，而且这些系统中有许多变化很小，被认为是安全的。他们真的是吗？从理论上讲，大多数生物指标都可以很好地模仿，足以用足够的时间和金钱愚弄扫描仪。

这就带来了一个真正的问题:你如何才能在你的扫描仪面前确认它们是真正的生物度量？

我经常想到这一点，我想到的一个理论是用视频捕捉来证明它是3D空间中的生物(需要两个摄像头来进行深度感知)，但即便如此，即使他们戴了一个足够好的面具，它仍然可以被愚弄。

那么，我们如何才能绝对确保我们正在扫描的生物度量是原始的生物度量，而不是利用粘土进行的足够好的娱乐呢？

编辑:我并不是在问为什么它的使用不多，而是要求通过对实现的更改使它们尽可能安全的理论方法。我们目前如何采取措施使其安全，漏洞，以及我们如何可以改善它们。

Answer 1

不幸的是，生物计量学并不是识别某个人的好方法。你可能认为你指纹的每一部分都是独一无二的，但你错了两点：

• 指纹和其他东西一样，有一定数量的可能安排。很大但很有限。
• 您使用的抽样过程将这个大数目减少到一个小得多的数目。

在评估生物特征时需要一定的回旋余地--过于严格和日复一日的差异可能会使其失败(如血压、皮肤晒黑、积水等)；过于放松，而且有太多人呈现相同的特征。

作为一个额外的因素，它是有用的，但作为一个独立的标识符，它是不安全的。

@ThomasPornin对为什么我们在生物识别技术的旁边使用密码/密码呢？的回答解释了原因。

Answer 2

你有个好问题！正如我们所说，没有任何东西是100%安全或完美的。任何事情都会以某种方式被愚弄。

组合一个以上的生物特征是一个建议！比如，只有在指纹被验证的情况下才能进行面部侦察。但即使我们这样做，也是有办法的，就像你说的，有足够的钱和时间。

在最近读到一些东西的时候，请阅读那些不安全的供应商是如何保存指纹和其他生物细节的，一旦被泄露，就像失去了我们的永久身份一样。在堆栈中添加更多内容可能不是一个值得的选项，imho。(引用http://bit.ly/1D4fmpt文档。)

增加热扫描会有什么好处吗？当我们戴上口罩或在手指上添加乳胶印时，可能是热签名的变化！？

Answer 3

生物鉴别的一个大问题是，如果你松开/改变使用的身体部位(意外发生)，会发生什么？

你需要一些其他的方法来验证。

即使生物识别部分是安全的，仍然有攻击的恢复选项。

还有一个普遍的问题，就是你不会(希望)告诉别人你的密码，但是如果密码是你身体的一部分，人们就可以看到并复制它们。有了足够的资源，我敢打赌你可以得到相当整洁的小型3d扫描仪f.e。当然，你可以使用(大部分)隐藏的身体部件，但我唯一能想到的就是既不舒服也不卫生.

对不起，我不能提供更安全的生物认证的想法，但我认为整个想法是不好的。