如今憑證違規事件不斷成為頭條新聞。例如,今年一名黑客竊取并發布了美國44家公司近10億條用戶記錄;Facebook公司也被披露泄露近50億個密碼;微軟公司確認其大量電子郵件泄露;一名黑客發布了美國數千名警官和FBI探員的信息;喬治亞理工學院泄露了100多萬條記錄;由于網絡釣魚攻擊,美國聯邦應急管理局泄露了160萬條辦案記錄,而這樣的壞消息還在不斷涌現。
對于負責數據中心安全性的管理者來說,關鍵員工很可能成為違規行為的受害者,并且他們的憑據可能已經受到損害。無論他們是否重復使用其中一個密碼或黑客利用泄露的憑據來訪問其他帳戶,僅僅基于密碼的身份驗證系統是不夠的。
生物識別認證可能是一種有效的解決方案。指紋、面部表情、虹膜掃描、錄音、行走步態,甚至是某人移動鼠標、鍵盤打字或手持手機的方式都可以用來幫助確認某人的身份。但這也存在一些安全問題。
如果企業的數據庫遭到入侵,或者某些其他數據庫遭到侵入,員工無法更改虹膜掃描這樣的認證許可。
“企業可以繼續生成新密碼,但生物識別技術的手段是有限的。”PARC公司網絡物理系統安全研究區域負責人Shantanu Rane表示。該公司是施樂(Xerox)公司的子公司,為用戶提供激光打印機、圖形用戶界面、鼠標、以太網、面向對象的編程,以及其他關鍵的基礎技術。
他說,PARC公司一直在跟蹤生物識別技術的發展,包括來自學術界的理論研究,而且發現已經有生物特征認證的漏洞。
例如,三年前,美國人事管理辦公室的一個600萬個指紋數據庫泄漏。2018年,印度唯一身份識別機構被竊取了10億條以上記錄,其中包括指紋和視網膜掃描等生物識別數據。
散列和加密
Rane說,保護生物識別憑證免受黑客入侵的一種可能方法是對它們進行散列或加密,并且只能使用加密版本。
例如,服務器機房門攝像頭可以掃描進入者的面部,加密掃描,并將加密的圖像發送到中央數據庫,如果是新員工和陌生人時,將根據保存的面部圖片進行檢查并加密。
而工作人員面部的未加密版本永遠不會被傳輸或存儲,因此黑客無法進行攻擊。但Rane說,“問題是,人員面部的兩張照片看起來不一樣。”
事實上,如果攝像頭看到的圖像與官方發布的照片相同,那可能是某人打印出該照片并將其放在面孔之前。而真正的面孔每次看起來總是有點不同。
他說:“當這些特性稍有不同時,那么可以采用散列技術擴大差異進行識別。”
研究人員正在研究這個問題,嘗試創建一種加密或散列圖像的方法,以便加密版本,即使它們不相同也可以進行比較。
Rane說,“但我們還沒有達到高精度水平。”
基于本地硬件的身份驗證
避免完全保留指紋掃描數據庫風險的一種方法是切換到本地身份驗證。這是其工作原理。當人員進門時,門鎖會通過其指紋、面部掃描或者其他一些生物識別方法來檢驗進入者的身份,這些方法可以與密碼、員工身份證或密碼結合使用。
生物識別數據只存儲在門鎖中,并不存儲其他數據,當進入者再次通過該門時,就會檢查其之前存儲的掃描。如果要保護多個機房、機架或計算機,采用這種技術成本昂貴又難以使用。
但是,幾乎每個人都攜帶的設備都有內置的生物識別身份驗證系統。當今的智能手機配備了一個安全的模塊,可以存儲生物識別信息。這些信息永遠不會離開那個模塊,所以即使手機被黑客入侵,其數據也是安全的。它永遠不會在線共享或與任何集中式數據庫共享。手機只用發送一個確認短信,就會表明他們的身份。
這些安全的模塊不僅用于解鎖帶有面部特征或指紋的手機,并且使用方便,但這不是數據中心安全技術最重要的方面。這個系統是非接觸式支付的通用標準,第三方應用程序可以訪問此身份驗證系統。
世界各地的超市可以讓消費者將手機放在支付終端前購物,這意味著要想做到這一點,蘋果和谷歌的零售商和金融公司都面臨著很大的壓力。
事實上手機可以使用第三方應用程序(如PayPal或Dropbox),這意味著它也可以被允許使用訪問數據中心設施或計算機系統的安全應用程序。
谷歌公司日前宣布,企業在Android手機上使用內置身份驗證比以往任何時候都更容易。
Rane說,“Uber公司并不知道其客戶的指紋是什么樣子的。他們只是系統的客戶。這是一種很好的生物識別方法,可以防止或顯著降低風險。”
他警告說,如果一家公司這么做,還有一些事情需要注意。
首先,企業必須確保員工擁有支持數據中心所需安全級別的最新現代手機。其次,員工不應與他人分享手機。
Rane說,“可能發生的一個問題是,用戶的配偶或親人也可以使用自己的指紋訪問用戶的手機。安全系統要求手機對其進行生物識別身份驗證,他們可能采用生物識別技術,但手機的安全系統可能會通過。”
他補充說,還有智能手機指紋或面部掃描被欺騙的情況。但這些風險水平相對較低,如果數據中心將某些第二因素與生物識別機制結合使用(如PIN碼、密碼或行為分析),則可以降低這些風險。
Rane說,他不知道為什么更多的數據中心不使用智能手機來加強安全控制。他說,“目前還沒有達到應有的水平。許多智能手機上的生物識別認證主要用于消費者應用程序。”
使用智能手機等以消費者為中心的技術進行認證的一個潛在問題是,有時人們可能會選擇提高便利性而非安全性。
例如,位于波士頓的安全供應商Veridium公司的生物識別科學團隊負責人AsemOthman說,蘋果公司新推出的FaceID不如原有的TouchID技術安全。
他說,“大多數面部識別系統的準確性可能會因年齡、面部表情、面部毛發,甚至化妝品的變化而大幅降低。”他補充說,有些系統也存在性別或種族偏見的缺陷。
在消費者環境中,便利性可能比安全性更重要。例如,如果使用手機進行支付非常容易,用戶可能會花更多的費用,即使它不完美,面部識別系統仍然比傳統的基于簽名的方法要好。但對于高度敏感的企業環境來說,其風險可能過高。
Othman說,“我們需要考慮安全性后果以及可用性和便利性,尤其是在企業和個人受到黑客攻擊的頻率和嚴重程度都在不斷增加的世界中。”
京公網安備 11010502049343號