随着与身份访问和管理相关的数字风险不断演变,我发现自己被有关生物识别作为用户身份验证手段的问题轰炸。这种方法多强大?那么隐私问题呢?双胞胎真的能骗过语音验证系统吗?百万分之一的误配率是否足够低?生物识别技术是否过度炒作?
因为苹果公司宣布在 iPhone X 上使用 Face ID,如今人们将生物认证当做解决身份验证的最终方式。与此同时,人们质疑生物识别是否能长期提供安全、可靠的验证。
问题是,这些问题都没有意义。只有假设生物特征认证的目的是取代之前的所有认证方法,并且最终也会被认证技术的下一个重大进步所取代,它们才有意义。
这些假设给一个身份验证带来了不合理的执行压力。在现实中,生物识别认证并不是什么灵丹妙药(也从没打算成为一种)。与所有形式的身份验证一样,它在所有证明某人是自己的方法之中效果最好。我们需要在这一前提下讨论它的优点。
博采众长
在去年,面部识别成为人们关注的焦点时,智能手机密码并没有消失。如今,密码继续作为高风险身份验证场景下的第二验证方式发挥其作用——例如,当你在一段时间内没有解锁您的手机,或者当你的手机连续几次无法识别你时。当然,对于某些类型的交互和交易来说,仍然需要一些其他身份验证方法(如口令以及一次性 SMS 验证码)。可以说像 Face ID 这样的生物识别身份验证之所以能成为验证某人身份的便捷方式,正是因为它不是唯一有效的方法。相反,它是众多认证方法中的一种,这些方法协同工作以最大限度地提高安全水平。
一个相似的例子就是保护个人财产的主要身份验证机制。金钱是每个人都希望保证其安全的资产。你的借记卡有一个简单的四位数(国内是六位数)密码保护,它可以让你存取你在银行里的所有现金。这么看来就好像想洗劫你账户的人和你的账户之间只有四个数字的阻碍。不过从宏观上来看,保护你现金的不仅仅是你的PIN码。每次你使用借记卡时,多种技术——人工智能、机器学习、数据分析——都在协同工作保护每次交易,它们会评估交易带来的风险并采取适当的行动,比如要求更严格的认证,甚至完全拒绝交易。
当然,信用卡诈骗时有发生。但如果你的四位数密码真的是银行唯一的保护措施,这种情况发生的几率就会小得多。这种保护是真正有效的,因为它将多种因素结合在一起形成一个更强大的整体保护方法。
对消费者有利的事情对企业也有利
就像PIN码不是保护你银行账户资金的唯一方法一样,生物识别技术也不应该是企业用来验证用户身份的唯一方法。就其本身而言,生物识别认证并不是保护企业数字资产的灵丹妙药,也没有人应该期望它是。但毫无疑问,生物识别是企业武器库中一个强大的武器。它不可能像密码那样容易被盗。与其他凭证一起使用,生物识别提供了一种安全且及其方便的用户身份验证方法。
当涉及到生物识别技术时,我们有理由像保护我们的消费者交易一样,保护我们的企业应用程序。我们不应该仅依赖于任何单一的身份验证方法,而是还要考虑有关用户、位置、设备和行为的信息——是的,甚至可能是四位数的PIN码。当这些信息不能为用户试图执行的操作提供足够的保证时,在风险允许范围内,我们可以寻找其他的证明方法。从这个角度来看,生物识别技术可以为企业提供一种强大的手段,确保用户是他们所说的那个人,并帮助企业应对不断变化的身份风险图景。
随着侵入性低的生物识别验证方法越来越多——包括击键动力学和步态分析等技术的进步——以及越来越多的公司计划采用这种方法,我相信生物识别将会继续存在。但是身份和访问管理的最终目标并不是找到用于身份验证的不可破解或 “不可入侵” 的验证方式;相反,目标是通过分层安全来创建一个更强大的身份保障机制。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
