当生物识别狂热分子鼓吹“消灭密码!”是用一个因素替换了另一个因素。反对任何单因素身份验证的整个安全论点是
Posted: Wed Dec 18, 2024 4:15 am
当生物识别狂热分子鼓吹“消灭密码!”以支持生物识别时,他们创造了一种虚假的安全说法。用另一种单因素身份验证形式取代一种单因素身份验证 (SFA) 形式并不会有任何好处。它只是用一个因素替换了另一个因素。反对任何单因素身份验证的整个安全论点是,黑客只需要一条信息就可以入侵。
虽然生物识别狂热者喜欢吹嘘基于知识的身份验证中存在的弱点(我也承认确实存在一些弱点),但生物识别也存在一些固有的弱点。在本系列简短的博客文章中,我将概述这些弱点。我的最终目标是让读者明白,如果我们在选择生物识别而不是密码时走“非此即彼”的网络安全道路,那么每个人都会失败。智能安全的网络安全解决方案是“和”的道路,也称为多因素身份验证 (MFA)。
所有生物识别信息都是公开的
生物识别技术最大的安全问题在于,个人的生物特征信息是公开的。你扔进垃圾桶的水瓶上的指纹可能会被提取出来。你的照片可能会被发布在 Facebook 上,或者被任何可见或不可见的摄像头轻易拍下。你的声音可能会在网络研讨会、社交活动或电话中被记录下来。美国法院裁定,生物识别技术不存在隐私问题。一旦你的数据被泄露,就永远被泄露了。你不能换上新的指尖,从抽屉里拿出一双新的眼睛,或者把你现在的脸取下来换掉。2014 年 3 月,美国政府人事管理局 (OPM) 遭到黑客攻击,2100 万联邦雇员的个人信息被盗。最大的安全威胁往往没有被报告,包括完整的指纹图像和照片被盗,可以用来伪造凭证。
另一方面,密码可以很容易且频繁地更改。密码是基于知识的,因此除非用户失误而将其公开,否则它们不会公开。使用智能卡技术可以轻松解决该问题。您可能不知道的是,弗吉尼亚州地方法院裁定密码属于“知识”,因此它们受到美国宪法第五修正案关于自证其罪的保护。生物识别技术无法提供相同的法律保护。那么这到底意味着什么呢?
执法人员不能用橡皮管逼你说出密码。但是,他们可以抓住你的手臂,强迫你将手指放在扫描仪上。任何反抗都被视为抗拒警察权威。
实施新的保障措施是一个永无止境的循环
如果说安全有一条基本法则,那就是“只要有足够的时间、金钱、资源和决心,人类创造的任何东西最终都会被人类破坏。”自古以来,这都是事实。当第一个防御工事被建立起来保护村庄免受袭击者侵扰时,袭击者总能 新加坡电话号码几位数 找到方法击败防御工事。攻城武器、反制措施和反制措施不断被创造出来,以摧毁防御和安全。那些认为自己的安全是坚不可摧的生物识别狂热分子是危险的,因为黑客很少会正面攻击。他们利用外围的弱点,而许多守门人很少会注意到这些弱点。
生物识别界的论点是,他们已经开发出新技术来阻止假指纹和照片图像。这些技术包括脉搏、弹性、电阻、热量和许多其他所谓的保护措施。现在,问问自己,为什么要实施这些新保护措施?
答案是……因为黑客想出了如何破解他们之前的技术解决方案。更糟糕的是,这些新技术的改进可能成本更高,因此只有政府和大公司才能负担得起,中小企业很容易受到攻击。想想看,如果美国政府正确地指责中国是 OPM 入侵事件的罪魁祸首,我认为可以说中国工程师拥有欺骗任何人造传感器和软件算法的技术和诀窍。即使是大学教授也可以花不到 500 美元破解三星生物识别保护的智能手机。
2016 年 7 月 28 日,《福布斯》杂志发表了一篇文章《500 美元指纹克隆解锁谋杀受害者的三星 S6——它也能破解 iPhone》。文章介绍了 Anil Jain 博士如何使用标准计算机打印机和感应墨水创建的图像来解锁三星 S6、S7 和 iPhone 6。有了 Jain 博士与密歇根州警方分享的信息,再加上制作克隆的廉价手段,警察局现在正在考虑在每个警察局设立指纹克隆实验室。如果警察现在可以破解生物识别技术,那么罪犯也可以。
底线是——你不能消灭密码:
密码和生物识别技术在网络安全和身份验证中都有一席之地,但并不是相互竞争的单因素身份验证。相反,当它们结合在一起进行多因素身份验证时,它们的优势就显现出来了。需要生物识别身份验证的智能卡可将身份验证保持在本地。一旦确认了卡的所有权,智能卡便可以凭借其独特的安全功能安全地向计算机网络进行身份验证,在计算机网络中,密码可以变得复杂、可管理和更改,以满足不同的安全级别。每个帐户、计算机和网站都可以拥有自己独特的密码,用户无需生成、记住、输入、了解或管理它。就像我之前说的,你不会消灭密码,因为智能安全的网络安全解决方案是“和”的路径。
那么,为什么大公司和政府会大力推行生物识别技术,取代密码技术呢?政府阴谋论者可能会说,这是建立每个人生物特征识别全国数据库的一种方式,或者是规避美国宪法保护人们不自证其罪的一种方式,或者两者兼而有之。
生物识别原教旨主义者需要从沙子中清醒过来,明白每个身份验证因素都有其独特而有价值的属性,可以结合起来利用。两大阵营之间关于哪个更好而争吵不休只会增加市场混乱、实施延迟,并继续对我们所有的网络和数据造成威胁。
关于Access Smart
在 Access Smart,我们创建了 Power LogOn——一款多因素身份验证企业密码管理器。我们可以使用生物识别技术或 PIN 来验证持有实体卡的人是否是合法所有者。在卡验证之后,Power LogOn 使用安全密码管理器访问所有类型的帐户。我们坚信,“这不是密码问题。这是密码管理问题!”通过消除网络安全中最薄弱的环节——人为因素,我们的网络将变得更加强大。
关于 Dovell Bonnett – “密码专家”
Dovell Bonnett 从事计算机安全解决方案开发已有 20 多年。他坚信技术应该为人类服务,而不是反过来,这促使他创建了创新的解决方案,以保护企业免受网络攻击,让个人计算机用户摆脱繁琐的安全策略,并让 IT 管理员重新掌控他们的网络。
他的大部分职业生涯都在解决企业安全需求,使用接触式和非接触式智能卡将多个应用程序整合到单个凭证中。他最著名的工作例子是目前所有微软员工都携带的身份证。
2005 年,他创立了Access Smart LLC,为企业提供逻辑访问控制解决方案。他的首款产品 Power LogOn 是一款多因素身份验证企业密码管理器,可供企业、医院、教育机构、警察局、政府机构等使用。
虽然生物识别狂热者喜欢吹嘘基于知识的身份验证中存在的弱点(我也承认确实存在一些弱点),但生物识别也存在一些固有的弱点。在本系列简短的博客文章中,我将概述这些弱点。我的最终目标是让读者明白,如果我们在选择生物识别而不是密码时走“非此即彼”的网络安全道路,那么每个人都会失败。智能安全的网络安全解决方案是“和”的道路,也称为多因素身份验证 (MFA)。
所有生物识别信息都是公开的
生物识别技术最大的安全问题在于,个人的生物特征信息是公开的。你扔进垃圾桶的水瓶上的指纹可能会被提取出来。你的照片可能会被发布在 Facebook 上,或者被任何可见或不可见的摄像头轻易拍下。你的声音可能会在网络研讨会、社交活动或电话中被记录下来。美国法院裁定,生物识别技术不存在隐私问题。一旦你的数据被泄露,就永远被泄露了。你不能换上新的指尖,从抽屉里拿出一双新的眼睛,或者把你现在的脸取下来换掉。2014 年 3 月,美国政府人事管理局 (OPM) 遭到黑客攻击,2100 万联邦雇员的个人信息被盗。最大的安全威胁往往没有被报告,包括完整的指纹图像和照片被盗,可以用来伪造凭证。
另一方面,密码可以很容易且频繁地更改。密码是基于知识的,因此除非用户失误而将其公开,否则它们不会公开。使用智能卡技术可以轻松解决该问题。您可能不知道的是,弗吉尼亚州地方法院裁定密码属于“知识”,因此它们受到美国宪法第五修正案关于自证其罪的保护。生物识别技术无法提供相同的法律保护。那么这到底意味着什么呢?
执法人员不能用橡皮管逼你说出密码。但是,他们可以抓住你的手臂,强迫你将手指放在扫描仪上。任何反抗都被视为抗拒警察权威。
实施新的保障措施是一个永无止境的循环
如果说安全有一条基本法则,那就是“只要有足够的时间、金钱、资源和决心,人类创造的任何东西最终都会被人类破坏。”自古以来,这都是事实。当第一个防御工事被建立起来保护村庄免受袭击者侵扰时,袭击者总能 新加坡电话号码几位数 找到方法击败防御工事。攻城武器、反制措施和反制措施不断被创造出来,以摧毁防御和安全。那些认为自己的安全是坚不可摧的生物识别狂热分子是危险的,因为黑客很少会正面攻击。他们利用外围的弱点,而许多守门人很少会注意到这些弱点。
生物识别界的论点是,他们已经开发出新技术来阻止假指纹和照片图像。这些技术包括脉搏、弹性、电阻、热量和许多其他所谓的保护措施。现在,问问自己,为什么要实施这些新保护措施?
答案是……因为黑客想出了如何破解他们之前的技术解决方案。更糟糕的是,这些新技术的改进可能成本更高,因此只有政府和大公司才能负担得起,中小企业很容易受到攻击。想想看,如果美国政府正确地指责中国是 OPM 入侵事件的罪魁祸首,我认为可以说中国工程师拥有欺骗任何人造传感器和软件算法的技术和诀窍。即使是大学教授也可以花不到 500 美元破解三星生物识别保护的智能手机。
2016 年 7 月 28 日,《福布斯》杂志发表了一篇文章《500 美元指纹克隆解锁谋杀受害者的三星 S6——它也能破解 iPhone》。文章介绍了 Anil Jain 博士如何使用标准计算机打印机和感应墨水创建的图像来解锁三星 S6、S7 和 iPhone 6。有了 Jain 博士与密歇根州警方分享的信息,再加上制作克隆的廉价手段,警察局现在正在考虑在每个警察局设立指纹克隆实验室。如果警察现在可以破解生物识别技术,那么罪犯也可以。
底线是——你不能消灭密码:
密码和生物识别技术在网络安全和身份验证中都有一席之地,但并不是相互竞争的单因素身份验证。相反,当它们结合在一起进行多因素身份验证时,它们的优势就显现出来了。需要生物识别身份验证的智能卡可将身份验证保持在本地。一旦确认了卡的所有权,智能卡便可以凭借其独特的安全功能安全地向计算机网络进行身份验证,在计算机网络中,密码可以变得复杂、可管理和更改,以满足不同的安全级别。每个帐户、计算机和网站都可以拥有自己独特的密码,用户无需生成、记住、输入、了解或管理它。就像我之前说的,你不会消灭密码,因为智能安全的网络安全解决方案是“和”的路径。
那么,为什么大公司和政府会大力推行生物识别技术,取代密码技术呢?政府阴谋论者可能会说,这是建立每个人生物特征识别全国数据库的一种方式,或者是规避美国宪法保护人们不自证其罪的一种方式,或者两者兼而有之。
生物识别原教旨主义者需要从沙子中清醒过来,明白每个身份验证因素都有其独特而有价值的属性,可以结合起来利用。两大阵营之间关于哪个更好而争吵不休只会增加市场混乱、实施延迟,并继续对我们所有的网络和数据造成威胁。
关于Access Smart
在 Access Smart,我们创建了 Power LogOn——一款多因素身份验证企业密码管理器。我们可以使用生物识别技术或 PIN 来验证持有实体卡的人是否是合法所有者。在卡验证之后,Power LogOn 使用安全密码管理器访问所有类型的帐户。我们坚信,“这不是密码问题。这是密码管理问题!”通过消除网络安全中最薄弱的环节——人为因素,我们的网络将变得更加强大。
关于 Dovell Bonnett – “密码专家”
Dovell Bonnett 从事计算机安全解决方案开发已有 20 多年。他坚信技术应该为人类服务,而不是反过来,这促使他创建了创新的解决方案,以保护企业免受网络攻击,让个人计算机用户摆脱繁琐的安全策略,并让 IT 管理员重新掌控他们的网络。
他的大部分职业生涯都在解决企业安全需求,使用接触式和非接触式智能卡将多个应用程序整合到单个凭证中。他最著名的工作例子是目前所有微软员工都携带的身份证。
2005 年,他创立了Access Smart LLC,为企业提供逻辑访问控制解决方案。他的首款产品 Power LogOn 是一款多因素身份验证企业密码管理器,可供企业、医院、教育机构、警察局、政府机构等使用。