2025 年 3 月 14 日
增强安全情报
每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。
所有身份验证系统都依赖于身份验证因素,或证明一个人符合所宣称身份的证据。生物身份认证专门使用身体和行为模式来识别人员。
固有因素
固有因素,也称为身体因素,是一个人独有的身体特征,例如视网膜中的血管模式。
生物身份认证系统使用可测量、有区别且极不可能变化的身体标识。常见的身体生物身份认证方法包括面部识别和指纹扫描。体重和头发颜色等特征可能会发生变化,因此不适合进行身份验证。
目前正在不断研究独特固有因素的新选择,例如脚部的热成像和嘴唇形状。1
尽管大多数固有因素保持不变,但如果受伤改变了人的特征,例如改变指纹或面部特征,则可能会出现困难。
固有因素的另一个潜在困难是,如果攻击者窃取了身体认证因素(例如从数据库中窃取指纹扫描),则无法对其进行更改。人们可以更改密码,却无法更改指纹。
此外,组织在收集人们的生物特征数据后如何使用这些数据也存在潜在的隐私问题。
目前正在使用或正在评估的固有因素包括:
眼球识别包括扫描虹膜或视网膜上的独特图案。虽然这种类型的生物身份认证非常准确,但它也很昂贵,需要专门的设备。它更适用于政府或工业用途,因为安全性是最重要的考虑因素。
面部识别科技足够准确,可用于解锁移动设备并帮助执法部门进行身份识别。
但是,面部扫描可能存在困难:实时扫描的角度可能与存档扫描不同,从而导致身份验证失败。夸张的面部表情也会扭曲扫描结果。
一个人声音中的语气、音调和频率可能就像指纹一样独特。
尽管语音识别验证具有高精度、易用性和较高性价比,但先进的语音克隆技术可对其进行欺骗。出于此原因,OpenAI 等 生成式 AI 开发者建议企业停止使用语音识别技术。2
指纹是一种历史悠久的生物身份认证方法,早在公元前 300 年,中国就已将其用作身份证明 3,其作用延续至今。
指纹具有唯一性, 两人出现相同指纹的概率仅为 640 亿分之一。(目前全球人口刚超 80 亿。)
指纹识别亦契合当下数字设备需求。它们阅读、采集与分析成本低廉,且不随年龄增长改变。
但是,智能手机和 PC 中的一些消费级指纹扫描仪可以通过使用假指纹来骗过。手指潮湿、干燥或油腻等常见情况都可能导致错误拒绝。
由于这些错误,一些扫描仪现在改为读取血管模式,以帮助减少误报的数量。
静脉识别使用模式识别技术将用户身体某个部位的血管排列与已存档的扫描结果进行匹配。
虽然比许多指纹扫描方法更准确,但静脉扫描过程可能很麻烦。此外,扫描血管模式的设备尚未普及,因此主要用于高度专业化的环境中。还可以扫描整个手掌和前额7 的静脉。
一个人的手部形状可以被扫描并存储为数学表示。测量值包括手指长度、手部不同部位之间的距离以及指关节之间凹陷的轮廓。
在所有生物识别因素中,DNA 通常被视为最准确的。即使是“同卵双胞胎”,其 DNA 通常也不会完全相同。5
然而,DNA 的精确性以及有关如何使用 DNA 样本使用的问题,让许多人对将其作为一个潜在的身份认证因素感到不安。
美国政府的一项研究发现,较之 DNA,人们更愿意提供指纹形式的生物识别数据。6
行为因素
行为生物识别使用一个人活动中的独特模式来识别他们。用于身份验证的常见行为特征包括:
人们在使用设备时通常会有独特的行为模式,例如,他们如何使用触摸屏,或者鼠标移动的频率和流畅性。
组织可以使用机器学习算法来分析这些模式并构建用户典型行为的模型。用户随后的行为可与认证模型进行比较。
一个人的键盘输入模式也可能是独一无二的,包括键入速度和他们常用的快捷键。打字力度变化可以被远程且不引人注目地监控,但它们的准确性不如指纹或虹膜扫描,并且用户的模式会随着时间而改变。
人走路的姿势可用于身份验证。每个人的步幅和脚的角度可能略有不同。
多模态生物身份认证
多模态生物身份认证 (MBA) 系统使用两种或多种生物身份认证方法来识别一个人的身份。例如,某个 MBA 系统可能需要进行指纹扫描和视网膜扫描,或面部识别和打字模式分析,才能允许用户登录。
多模式生物身份认证的目的是大大加强安全措施。黑客在身份验证过程中很难成功伪造多个生物识别标识。
生物身份认证的基本功能很简单。第一步是登记过程,将一个人的生物特征信息记录以数字形式存储在生物特征系统中。每当用户返回系统进行身份验证时,系统就会将此原始模板与用户的特征进行比较。如果生物特征匹配,则通过身份验证。
为了节省存储空间并加快验证因素的比较速度,模板通常只存储关键点。例如,对于面部扫描,许多系统仅存储面部的特定特征而不是整个面部。有时,例如指纹扫描,整个图像都会被存储。
存储的生物识别数据需要强有力的数据安全措施,因为如果数据被盗,则可用于身份盗用。而且由于生物特征数据无法改变,失窃可能会给受害者带来终生的困扰,使更多的个人数据面临风险。
生物识别系统通常使用先进的人工智能 (AI) 来加速识别过程。深度学习,尤其是卷积神经网络(CNN 或 ConvNet),在识别模板和扫描中的模式(例如指纹)方面显示出辉煌的前景。
访问控制
在授予敏感应用程序或数据访问权限前,建立用户数字身份至关重要。生物识别安全系统可防范伪装攻击——即攻击者通过冒充合法用户身份侵入系统。
生物身份认证措施也可用于保护敏感的物理位置。政府机构可能会使用装有微芯片的护照,其中包含护照持有人的照片和指纹,以便根据档案中的生物特征信息验证个人身份。在医疗保健领域,生物识别技术可用于验证给病人用药过程和确保对正确的人进行手术。
多重身份验证
生物识别因素可以与其他身份验证因素一起使用,提供额外的网络安全,辅助多重身份验证 (MFA) 的实施。
MFA 可能包括密码等信息和指纹扫描等生物识别因素。通过请求两种或多种标识手段(至少其中一种不容易被盗),MFA 使攻击者更难劫持用户帐户。
监视
生物识别信息可用于观察个人和追踪其行踪。例如,执法机构经常使用面部特征和指纹的生物特征扫描来识别关注的个人。
支付
在支付处理中使用生物识别技术有助于加快金融交易的验证速度,简化用户体验。例如,人们可以使用指纹识别器来确认智能手机上的付款,或使用语音识别来验证网上银行指令。
一些实体零售店也在尝试生物识别支付,例如在 Whole Foods 商店安装掌纹识别器。7
生物身份认证系统可以为组织和消费者带来明显的好处。生物识别技术既令人难忘又独特,通常快速且易于使用,可快速提供值得信赖的阳性识别。
更强的安全性
密码和身份证比指纹更容易被盗,而复制虹膜扫描或其他物理标记对于黑客来说极其困难(电影中除外)。
这并不是说生物识别安全系统是完美无缺的。错误拒绝,即系统错误地拒绝用户访问,仍然会发生。当系统允许错误的用户进入时,也会发生错误的接受。
一些不太复杂的生物识别系统可能存在欺骗漏洞,例如面部识别系统可能会被打印的照片或预先录制的视频所欺骗,无论是真人还是深度伪造。
使用便捷
由于生物身份认证依赖于个人的身体方面,因此该身份证明始终可用。掌纹始终在手上,而芯片身份证可能会放错地方,复杂的密码也可能会被忘记。
快速识别
用户可能能够使用生物识别技术更快地登录设备,例如零售环境中的条形码读取器。扫描指纹所需的时间通常比输入密码要短。
生物识别技术也比密码更安全,在零售和类似环境中的共享设备上,密码通常简单到“1111111”的程度。
脚注
1. DynamicLip:通过 Lip Articulator Dynamics 进行与形状无关的连续身份验证,arXiv,2025 年 1 月 2 日。
2 驾驭合成语音的挑战和机遇,OpenAI,2024 年 3 月 29 日。
3 指纹资料手册,美国司法部,2011 年 7 月。
4. 指纹识别的工作原理,HowStuffWorks。
5. 一些同卵双胞胎没有相同的 DNA,ScienceNews,2021 年 1 月 7 日。
6. 美国成人对面部图像、DNA 和其他生物识别技术的看法,National Library of Medicine,2022 年 3 月 30 日。
7. 我尝试使用 Amazon 未来风格的扫描仪,在 Whole Foods 以手掌完成付款。这太方便了,Business Insider,2023 年 11 月。