设备安全指南-使用生物识别技术-AET-电子技术应用

　　为 IT 系统管理员提供有关在智能手机、平板电脑、笔记本电脑和台式 PC 上使用生物识别身份验证的建议。

　　生物特征是个人的生物特征，例如面部或指纹，可用于验证其身份。

　　使用指纹或面部识别进行设备身份验证现在在智能手机和平板电脑上司空见惯。它也越来越多地在笔记本电脑上可用。本文将介绍使用生物识别技术的好处，同时还强调潜在的安全风险。

　　为什么要使用生物识别技术？

　　在智能手机、平板电脑、笔记本电脑和台式机上，身份验证是验证用户身份和防止未经授权访问的主要方法。

　　在移动设备上使用生物识别技术正变得越来越普遍，因为最新的智能手机型号至少有一种内置的生物识别认证机制，最常见的是面部或指纹识别。这些可以提供安全和方便的密码或 PIN 替代方案。

　　然而，生物识别系统中仍然存在漏洞，包括生物识别欺骗，或对系统和设备本身的攻击。

　　该指南将帮助组织评估在设备上使用生物识别技术对抗潜在安全风险的好处。

　　准备生物识别

　　智能手机、平板电脑、PC 和笔记本电脑上最常见的生物识别身份验证方法是面部和指纹识别。其他示例包括虹膜、静脉或语音识别。

　　它们是如何工作的？

　　生物识别技术的工作方式与 PIN 或密码等内容略有不同。对于 PIN 或密码，访问控制系统会将存储的值与个人输入的值进行比较。如果它们相同，则将授予访问权限。

　　然而，在生物识别的情况下，没有两次生物识别数据的捕获可以产生真正相同的结果。因此，用户身份的验证不是简单的比较。相反，登录时捕获的生物特征数据与存储在设备上的注册生物特征数据进行比较。然后，系统会判断这两个生物特征是否足够相似以成为同一个人。

　　存储的样本通常以这样的方式保存，即它们不能被逆转以重现最初登记的原始面部或指纹。

　　有什么好处？

　　设备上的生物识别身份验证可以提供显着的好处。

　　大多数用户已经非常熟悉用于设备解锁的生物识别身份验证，因此系统的易用性可能会提高使用率。

　　生物识别技术还可以提供密码的安全替代方案，并且在大多数情况下比密码方便得多，尤其是在大多数现代智能手机上。

　　在智能手机上，仍然需要设备密码作为后备。然而，由于密码输入的频率要低得多，组织可以强制执行更复杂的密码，而不会导致可用性大幅下降。

　　在某些设备和操作系统上，生物识别技术可以完全取代密码。例如，Windows Hello 企业版允许使用生物识别技术来保护对受硬件保护的加密密钥的访问。该系统在 Windows、Active Directory 或 Azure Active Directory 上提供无密码多因素企业身份验证。

　　有哪些风险？

　　与任何身份验证机制一样，生物识别技术可能存在漏洞，并且确实存在常见的攻击方法。您应该考虑的一些风险如下：

　　演示攻击

　　演示攻击涉及冒名顶替者使用某种人工制品来冒充有效用户的尝试。现代设备通常包括额外的保护措施，例如“活性”检查，以防止此类攻击起作用。此外，在必须输入 PIN 或密码之前，只允许进行少量的生物识别身份验证尝试，以防止暴力攻击。

　　在某些情况下，智能手机上的生物识别技术已被证明存在弱点。示例包括不测试警觉性的面部识别，从而可以在用户睡着或闭上眼睛时解锁设备。在选择使用生物识别技术或选择在组织中使用哪些设备时，应该研究这些弱点。

　　重放攻击

　　如果可以从设备捕获或窃取生物特征数据样本，则可以重放它以对设备进行身份验证。大多数现代设备都能很好地抵御这种类型的攻击。

　　回退机制

　　在用户可以在移动设备上注册生物识别之前，必须设置 PIN 或密码。这将用于生物特征认证失败的情况。这种机制的安全性以及与之相关的安全策略应该足够强大，以保护设备本身。否则，攻击者可以强制设备回退到这种更容易猜测或强制的替代方案。

　　表现

　　在当今大多数移动设备上，预期的错误接受率通常不到千分之一。

　　例如，Apple 报告说，随机一个人使用面容 ID 解锁用户 iPhone 或 iPad 的概率小于1,000,000分之一。但是，在评估制造商发布的性能指标时，应注意它们通常基于最佳测试条件，因此在现实世界条件下实际上可能无法实现。

　　隐私

　　生物识别数据被归类为个人识别信息，因此欧盟受 GDPR 等法规的约束。在设备上，必须获得使用生物识别的明确同意，因为用户必须选择注册生物识别。中国，则受中国相关法律法规约束。

　　对于内置的生物识别身份验证功能，数据的处理和捕获通常也完全在设备上执行。例如，它不会备份到内置云服务。如果使用的是实施单独生物识别身份验证步骤的第三方应用程序，应该调查如何保护这些生物识别模板。

　　如何使用生物识别技术

　　除非有特定用户的物理攻击风险特别高，否则我们建议为希望使用生物识别的用户启用生物识别。更具体地说，在设备上使用生物识别技术时，应该：

　　根据上述考虑评估生物识别技术的安全风险、隐私和性能。制造商文档可以帮助解决此问题，并研究打算使用的特定设备中的任何已发布漏洞。

　　为用户提供有关使用生物识别技术、安全风险和相关安全策略的指导。

　　如有必要，如有可能，请使用移动设备管理（MDM）来根据组织的身份验证政策管理生物识别技术的使用。

　　如果可能，请确保使用MDM配置适当的回退机制（例如设备 PIN 或设备密码）并实施安全策略。

电子技术图片.png

版权声明：本站内容除特别声明的原创文章之外，转载内容只为传递更多信息，并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题，请及时通过电子邮件或电话通知我们，以便迅速采取适当措施，避免给双方造成不必要的经济损失。联系电话：010-82306116；邮箱：aet@chinaaet.com。

业界动态

设备安全指南-使用生物识别技术