當(dāng)黑客竊取你的“心跳”時，生物數(shù)據(jù)安全何去何從

在這個“以人為本”的時代，利用生物識別進行人的身份識別和訪問管理讓人趨之若鶩。因為生物識別技術(shù)十分精確、難以偽造，或許未來會有所改變，甚至為濫用生物識別數(shù)據(jù)而付出代價。生物識別，現(xiàn)在正在快速發(fā)展，未來將不僅局限于面部識別。

然而，技術(shù)越進步，安全越重要。安全專家應(yīng)該了解生物特征的狀態(tài)以及如何管理生物特征數(shù)據(jù)。

基本生物識別：可穿戴設(shè)備

大多數(shù)人可能都攜帶過某種類型的含有芯片的鑰匙卡，但是現(xiàn)在很多可穿戴設(shè)備能代替這些鑰匙卡實現(xiàn)相同的功能。比如，低耗能藍牙設(shè)備就可以取代錢包中的射頻識別（RFID）鑰匙卡實現(xiàn)相同的功能。但所有的身份識別技術(shù)進行合并時，會帶來更大的便捷性體驗。即使可穿戴設(shè)備能夠進行健康監(jiān)控想必也不會讓人驚訝了，心跳數(shù)據(jù)也有可能變成人們身份識別的下一個“鑰匙”。

在心跳的話題上，如果用激光代替可穿戴設(shè)備來測量心臟的輸出功率又如何呢？那么以下場景將成為可能，在具有一定距離的地方就可以檢測到這個人的心跳，穿過人們的輕薄的衣服檢測由心跳引起的微小振動并進行識別。隨著使用心臟測量進行識別和認證的能力增強，面部識別可能很快就會成為過去。

通過眼睛和聲音都可以進行身份識別

生物識別技術(shù)不僅僅可以識別身份，還可以識別人的心情。即使戴著口罩，只要通過眼睛就可以識別出人的心情。虹膜掃描生物識別技術(shù)可捕獲人眼圈中的圖案照片，并驗證人們的身份。虹膜識別是非接觸式的，而且十分準(zhǔn)確。它也可以遠距離使用，只需要用戶看一眼即可。

此外，語音識別發(fā)展由來已久，可以追溯到20世紀(jì)50年代。由IBM在1960年代初期開發(fā)的Shoebox Machine 能夠識別16個口頭單詞，從零到9的十個數(shù)字以及一系列命令，例如“加號”，“減號”和“總計”。如今，有兩種類型的語音身份驗證方法，一種是與文本無關(guān)的文本（使用任何類型的語音進行身份驗證），另一種是與文本相關(guān)的（需要特定密碼短語）。因為我們的聲音是獨特的，在強度、動態(tài)和音調(diào)方面有所差異，所以作為身份識別具有唯一性。

生理和行為上的雙重識別方式

從某種程度上來說，這種生物識別方式是令人恐懼的、毛骨悚然的。我們甚至還沒有討論檢測人們的步行模式（某些警察機構(gòu)已經(jīng)開始使用）、監(jiān)視氣味、跟蹤微生物細胞或從人們的體形進行識別的能力。越來越多的組織正在尋找多樣的非接觸式身份驗證方法。

所有這些生物識別技術(shù)的共同點是，它們使用生理方法和行為方法的某種組合來確保“你就是你”。因為在生物特征上，很多事情是不能偽造的，比如無法偽造虹膜指紋，甚至心跳。就步行方式、打字方式和簽名方式，每個人也都是獨特的。

如果這些識別技術(shù)普及開來，那么即將進行的是一場認證革命。當(dāng)我們不再使用那些RFID卡或者ID卡，一旦人們出行，激光識別將開始工作，進行人們的身份識別。當(dāng)出現(xiàn)可疑人員時，便可快速制服。由此可見，獨特的身份驗證技術(shù)具有很大的價值，而那些犯罪分子似乎也“在劫難逃”？

風(fēng)險總是來自數(shù)據(jù)

然而，新事物、新技術(shù)的出現(xiàn)總是伴隨著風(fēng)險，或許現(xiàn)在黑客無法復(fù)制人們的心跳，但是在未來呢？比如利用3D打印技術(shù)復(fù)制另外一個人，并“上傳”心跳，這似乎是一件不可思議的事。

這一切現(xiàn)在聽起來像科幻小說，但生物識別存在的技術(shù)風(fēng)險危害有多大？這是難以估量的。畢竟，合法的研究人員正在證明他們可以使用AI擊敗面部識別軟件。虹膜識別可以被高質(zhì)量的圖像所擊敗，擁有一些基本音頻編輯軟件的用戶可以欺騙語音識別。以下三個風(fēng)險表示我們不能輕視生物識別技術(shù)的潛在危害。

風(fēng)險一：生物識別技術(shù)的管轄權(quán)

企業(yè)對于生物識別技術(shù)的使用程度應(yīng)該有所把握，過度使用終將會出現(xiàn)問題。企業(yè)需要平衡生物識別技術(shù)的風(fēng)險并進行安全成本的投資。例如，數(shù)據(jù)處理的方式正在變化中。7月，歐洲法院干預(yù)了企業(yè)外部數(shù)據(jù)的處理方式。當(dāng)組織弄清楚如何管理數(shù)據(jù)時，他們將面臨壓力，如何節(jié)省成本的壓力。

風(fēng)險二：大數(shù)據(jù)

大數(shù)據(jù)具有多個潛在風(fēng)險。首先，如果企業(yè)決定使用生物識別認證策略，那么將要在員工中收集大量個人身份信息（PII）。比如個人健康信息（PHI），那么1996年《健康保險攜帶和責(zé)任法案》（HIPAA）將以某種新形式實施，并適用于持有生物識別信息的任何人。

生物識別技術(shù)和大數(shù)據(jù)也存在管理問題。這些數(shù)據(jù)可能會不安全，因為數(shù)據(jù)的傳感器是端點，如果有人在這些設(shè)備上安裝嗅探器或竊取工具，是否就可以獲取所有這些生物識別數(shù)據(jù)？一旦如此，那么所有這些PII和PHI將保留在企業(yè)的數(shù)據(jù)資產(chǎn)負債表上。

風(fēng)險三：生物識別和隱私

最后，監(jiān)視范圍過大會引起隱私問題。在對人們進行身份驗證時，利用生物識別技術(shù)和系統(tǒng)中的數(shù)據(jù)進行校對，那么勢必會檢測人們很多的動作等，進行嚴(yán)格的審查，如果不一致，則會被判為異常，會存在一定的誤判率。

生物識別下的身份驗證技術(shù)有很大的誘惑，但是如果無法確保生物信息的安全，并做好應(yīng)對風(fēng)險的準(zhǔn)備，還是先暫緩，否則將因此付出巨大代價。

文章來自于：https://www.freebuf.com/articles/network/248929.html