為 IT 系統(tǒng)管理員提供有關(guān)在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式 PC 上使用生物識(shí)別身份驗(yàn)證的建議。

　　生物特征是個(gè)人的生物特征，例如面部或指紋，可用于驗(yàn)證其身份。

　　使用指紋或面部識(shí)別進(jìn)行設(shè)備身份驗(yàn)證現(xiàn)在在智能手機(jī)和平板電腦上司空見慣。它也越來(lái)越多地在筆記本電腦上可用。本文將介紹使用生物識(shí)別技術(shù)的好處，同時(shí)還強(qiáng)調(diào)潛在的安全風(fēng)險(xiǎn)。

　　為什么要使用生物識(shí)別技術(shù)？

　　在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式機(jī)上，身份驗(yàn)證是驗(yàn)證用戶身份和防止未經(jīng)授權(quán)訪問(wèn)的主要方法。

　　在移動(dòng)設(shè)備上使用生物識(shí)別技術(shù)正變得越來(lái)越普遍，因?yàn)樽钚碌闹悄苁謾C(jī)型號(hào)至少有一種內(nèi)置的生物識(shí)別認(rèn)證機(jī)制，最常見的是面部或指紋識(shí)別。這些可以提供安全和方便的密碼或 PIN 替代方案。

　　然而，生物識(shí)別系統(tǒng)中仍然存在漏洞，包括生物識(shí)別欺騙，或?qū)ο到y(tǒng)和設(shè)備本身的攻擊。

　　該指南將幫助組織評(píng)估在設(shè)備上使用生物識(shí)別技術(shù)對(duì)抗?jié)撛诎踩L(fēng)險(xiǎn)的好處。

　　準(zhǔn)備生物識(shí)別

　　智能手機(jī)、平板電腦、PC 和筆記本電腦上最常見的生物識(shí)別身份驗(yàn)證方法是面部和指紋識(shí)別。其他示例包括虹膜、靜脈或語(yǔ)音識(shí)別。

　　它們是如何工作的？

　　生物識(shí)別技術(shù)的工作方式與 PIN 或密碼等內(nèi)容略有不同。對(duì)于 PIN 或密碼，訪問(wèn)控制系統(tǒng)會(huì)將存儲(chǔ)的值與個(gè)人輸入的值進(jìn)行比較。如果它們相同，則將授予訪問(wèn)權(quán)限。

　　然而，在生物識(shí)別的情況下，沒有兩次生物識(shí)別數(shù)據(jù)的捕獲可以產(chǎn)生真正相同的結(jié)果。因此，用戶身份的驗(yàn)證不是簡(jiǎn)單的比較。相反，登錄時(shí)捕獲的生物特征數(shù)據(jù)與存儲(chǔ)在設(shè)備上的注冊(cè)生物特征數(shù)據(jù)進(jìn)行比較。然后，系統(tǒng)會(huì)判斷這兩個(gè)生物特征是否足夠相似以成為同一個(gè)人。

　　存儲(chǔ)的樣本通常以這樣的方式保存，即它們不能被逆轉(zhuǎn)以重現(xiàn)最初登記的原始面部或指紋。

　　有什么好處？

　　設(shè)備上的生物識(shí)別身份驗(yàn)證可以提供顯著的好處。

　　大多數(shù)用戶已經(jīng)非常熟悉用于設(shè)備解鎖的生物識(shí)別身份驗(yàn)證，因此系統(tǒng)的易用性可能會(huì)提高使用率。

　　生物識(shí)別技術(shù)還可以提供密碼的安全替代方案，并且在大多數(shù)情況下比密碼方便得多，尤其是在大多數(shù)現(xiàn)代智能手機(jī)上。

　　在智能手機(jī)上，仍然需要設(shè)備密碼作為后備。然而，由于密碼輸入的頻率要低得多，組織可以強(qiáng)制執(zhí)行更復(fù)雜的密碼，而不會(huì)導(dǎo)致可用性大幅下降。

　　在某些設(shè)備和操作系統(tǒng)上，生物識(shí)別技術(shù)可以完全取代密碼。例如，Windows Hello 企業(yè)版允許使用生物識(shí)別技術(shù)來(lái)保護(hù)對(duì)受硬件保護(hù)的加密密鑰的訪問(wèn)。該系統(tǒng)在 Windows、Active Directory 或 Azure Active Directory 上提供無(wú)密碼多因素企業(yè)身份驗(yàn)證。

　　有哪些風(fēng)險(xiǎn)？

　　與任何身份驗(yàn)證機(jī)制一樣，生物識(shí)別技術(shù)可能存在漏洞，并且確實(shí)存在常見的攻擊方法。您應(yīng)該考慮的一些風(fēng)險(xiǎn)如下：

　　演示攻擊

　　演示攻擊涉及冒名頂替者使用某種人工制品來(lái)冒充有效用戶的嘗試?，F(xiàn)代設(shè)備通常包括額外的保護(hù)措施，例如“活性”檢查，以防止此類攻擊起作用。此外，在必須輸入 PIN 或密碼之前，只允許進(jìn)行少量的生物識(shí)別身份驗(yàn)證嘗試，以防止暴力攻擊。

　　在某些情況下，智能手機(jī)上的生物識(shí)別技術(shù)已被證明存在弱點(diǎn)。示例包括不測(cè)試警覺性的面部識(shí)別，從而可以在用戶睡著或閉上眼睛時(shí)解鎖設(shè)備。在選擇使用生物識(shí)別技術(shù)或選擇在組織中使用哪些設(shè)備時(shí)，應(yīng)該研究這些弱點(diǎn)。

　　重放攻擊

　　如果可以從設(shè)備捕獲或竊取生物特征數(shù)據(jù)樣本，則可以重放它以對(duì)設(shè)備進(jìn)行身份驗(yàn)證。大多數(shù)現(xiàn)代設(shè)備都能很好地抵御這種類型的攻擊。

　　回退機(jī)制

　　在用戶可以在移動(dòng)設(shè)備上注冊(cè)生物識(shí)別之前，必須設(shè)置 PIN 或密碼。這將用于生物特征認(rèn)證失敗的情況。這種機(jī)制的安全性以及與之相關(guān)的安全策略應(yīng)該足夠強(qiáng)大，以保護(hù)設(shè)備本身。否則，攻擊者可以強(qiáng)制設(shè)備回退到這種更容易猜測(cè)或強(qiáng)制的替代方案。

　　表現(xiàn)

　　在當(dāng)今大多數(shù)移動(dòng)設(shè)備上，預(yù)期的錯(cuò)誤接受率通常不到千分之一。

　　例如，Apple 報(bào)告說(shuō)，隨機(jī)一個(gè)人使用面容 ID 解鎖用戶 iPhone 或 iPad 的概率小于1,000,000分之一。但是，在評(píng)估制造商發(fā)布的性能指標(biāo)時(shí)，應(yīng)注意它們通?；谧罴褱y(cè)試條件，因此在現(xiàn)實(shí)世界條件下實(shí)際上可能無(wú)法實(shí)現(xiàn)。

　　隱私

　　生物識(shí)別數(shù)據(jù)被歸類為個(gè)人識(shí)別信息，因此歐盟受 GDPR 等法規(guī)的約束。在設(shè)備上，必須獲得使用生物識(shí)別的明確同意，因?yàn)橛脩舯仨氝x擇注冊(cè)生物識(shí)別。中國(guó)，則受中國(guó)相關(guān)法律法規(guī)約束。

　　對(duì)于內(nèi)置的生物識(shí)別身份驗(yàn)證功能，數(shù)據(jù)的處理和捕獲通常也完全在設(shè)備上執(zhí)行。例如，它不會(huì)備份到內(nèi)置云服務(wù)。如果使用的是實(shí)施單獨(dú)生物識(shí)別身份驗(yàn)證步驟的第三方應(yīng)用程序，應(yīng)該調(diào)查如何保護(hù)這些生物識(shí)別模板。

　　如何使用生物識(shí)別技術(shù)

　　除非有特定用戶的物理攻擊風(fēng)險(xiǎn)特別高，否則我們建議為希望使用生物識(shí)別的用戶啟用生物識(shí)別。更具體地說(shuō)，在設(shè)備上使用生物識(shí)別技術(shù)時(shí)，應(yīng)該：

　　根據(jù)上述考慮評(píng)估生物識(shí)別技術(shù)的安全風(fēng)險(xiǎn)、隱私和性能。制造商文檔可以幫助解決此問(wèn)題，并研究打算使用的特定設(shè)備中的任何已發(fā)布漏洞。

　　為用戶提供有關(guān)使用生物識(shí)別技術(shù)、安全風(fēng)險(xiǎn)和相關(guān)安全策略的指導(dǎo)。

　　如有必要，如有可能，請(qǐng)使用移動(dòng)設(shè)備管理 （MDM）來(lái)根據(jù)組織的身份驗(yàn)證政策管理生物識(shí)別技術(shù)的使用。

　　如果可能，請(qǐng)確保使用MDM配置適當(dāng)?shù)幕赝藱C(jī)制（例如設(shè)備 PIN 或設(shè)備密碼）并實(shí)施安全策略。