去年六月，美國人事管理局辦公室(OPM)被指大量工作人員信息泄露，隨后OPM也承認(rèn)內(nèi)部遭到黑客襲擊，重要信息泄露。據(jù)了解，在OPM數(shù)據(jù)泄露事故中，560萬指紋數(shù)據(jù)被盜。這對生物識(shí)別安全有什么影響?攻擊者能否復(fù)制指紋，并使用復(fù)制指紋來欺騙生物識(shí)別系統(tǒng)以及訪問受害者的設(shè)備或賬戶?除了生物識(shí)別安全攻擊，攻擊者能否以其他方式利用指紋記錄?

　　MichaelCobb：OPM和國防部發(fā)現(xiàn)在最近的OPM數(shù)據(jù)泄露事故中，2150萬人的敏感信息被泄露，約560萬人的指紋記錄被盜，最初這個(gè)數(shù)字被估計(jì)為110萬。這些被盜的個(gè)人數(shù)據(jù)包括社會(huì)安全號碼、居住歷史記錄、就業(yè)和教育記錄，以及健康、財(cái)務(wù)等歷史記錄。這些被盜的信息可能被用在身份盜竊欺詐中，而指紋數(shù)據(jù)的丟失帶來不同的威脅，目前安全行業(yè)還沒有完全了解這種威脅。

　　OPM在很大程度上低估了被盜指紋數(shù)據(jù)帶來的風(fēng)險(xiǎn)，他們表示：“聯(lián)邦專家認(rèn)為，截至目前，濫用指紋數(shù)據(jù)的能力很有限。”然而，指紋數(shù)據(jù)已經(jīng)被成功用于欺騙某些簡單的生物識(shí)別系統(tǒng)，現(xiàn)在指紋數(shù)據(jù)濫用僅局限于這一事實(shí)：攻擊者難以像他們?yōu)E用密碼一樣自動(dòng)化濫用指紋數(shù)據(jù)。

　　目前利用指紋等生物識(shí)別技術(shù)的身份驗(yàn)證正逐漸成為登錄到電腦和智能設(shè)備的常見方法。生物識(shí)別利用用戶的某些生物特征的獨(dú)特性來準(zhǔn)確識(shí)別和授權(quán)用戶，例如視網(wǎng)膜、指紋甚至打字特征。信用卡和密碼泄露后可被撤銷和重新發(fā)布，而生物特征數(shù)據(jù)永久地與用戶相關(guān)聯(lián)，不能被替換。這是生物識(shí)別的主要缺點(diǎn)之一，現(xiàn)在已經(jīng)有560萬人可能被模擬。

　　生物識(shí)別元素不能被重新發(fā)布的事實(shí)讓指紋數(shù)據(jù)被盜的所有人都可能受到威脅，因?yàn)槿蘸蠊粽呖赡苷业礁行У姆绞絹砝眠@些數(shù)據(jù)。指紋識(shí)別無疑是最弱形式的生物識(shí)別身份驗(yàn)證，因?yàn)樗鼈冸y以保守秘密;人們碰觸東西后都會(huì)留下指紋，所以很容易復(fù)制指紋，并使用硅膠制造翻版。語音和面部識(shí)別也面臨同樣的問題，因?yàn)檫@兩者都可以被獲取來重新創(chuàng)建副本以欺騙生物識(shí)別系統(tǒng)。

　　而更難復(fù)制的生物識(shí)別元素(例如視網(wǎng)膜)泄露的風(fēng)險(xiǎn)最小，但對于所有生物識(shí)別元素，在身份識(shí)別過程中還有解釋的因素。

　　對于基于密碼的模式，計(jì)算機(jī)系統(tǒng)很容易檢查提交的密碼是否與數(shù)據(jù)庫存儲(chǔ)的密碼相符。而對于生物識(shí)別，核實(shí)是否相符主要是看是否“像”而不是“完全相同”，原始生物特征數(shù)據(jù)需要從模擬信息轉(zhuǎn)換成模板數(shù)字?jǐn)?shù)據(jù)，讓計(jì)算機(jī)可以讀取、測量和分析。而OPM數(shù)據(jù)泄露事故中攻擊者竊取的就是這種模板數(shù)據(jù)。匹配算法需要基于接受閾值來作出決定，這意味著身份識(shí)別可能出現(xiàn)漏報(bào)和誤報(bào)，讓未經(jīng)授權(quán)用戶可以成功通過身份驗(yàn)證。

　　隨著被盜的560萬用戶的指紋數(shù)據(jù)流入黑市進(jìn)行銷售，誤報(bào)可能成為更大的問題。

　　生物識(shí)別背后的驅(qū)動(dòng)力是出于便利性，但與使用密碼相比，我們需要做更多工作以確保生物識(shí)別提供更高的安全性。如果企業(yè)考慮部署生物識(shí)別系統(tǒng)，則需要確保在所有時(shí)間加密生物識(shí)別數(shù)據(jù)。ISO/IEC24745標(biāo)準(zhǔn)為存儲(chǔ)和傳輸過程中保護(hù)生物信息提供了指導(dǎo)意見，它還旨在解決被泄露生物識(shí)別信息帶來的風(fēng)險(xiǎn)。可取消的生物識(shí)別是最有前途的選項(xiàng)，它在存儲(chǔ)生物數(shù)據(jù)之前會(huì)扭曲生物圖像或特征;這類似于在散列密碼中加鹽。這種失真的生物特征數(shù)據(jù)很容易被更改，如果生物存儲(chǔ)被泄露，相同的生物數(shù)據(jù)可映射到新的模板。現(xiàn)在行業(yè)正在努力讓著成為可行的標(biāo)準(zhǔn)部署，我們需要加快速度防止更多人的生物數(shù)據(jù)被泄露。