OPM漏洞对于指纹识别技术的安全性产生的质疑。从这之中,CIO可以学习到什么?
我人指纹就只是我们自己的——但如果不是了怎么办?
最近有消息称,因为人事管理局(OPM)在规模漏洞导致560万个指纹被盗,这意味着我们的唯一识别符,即我们的指纹,将终结于他人之手。更严重的是,我们的指纹有可能出现在他们的手上。这对于企业来说意味着什么?
正如安全专家指出的那样,生物特征识别技术是其它最好的财产,但也将是最大的威胁。指纹、视网膜和声纹作为密码是无可替代的,这也意味着,它们一旦被盗用将难以恢复。
不断加剧的问题是,政府机构并没有在安全的前提下收集指纹识别。我们指纹越来越多地用于身份验证和安全技术中,如解锁移动手机、汽车或房屋;还用于移动技术。当指纹成为锁匙,成为支付方式时,那么就不难想象潜在的黑客影响。指认罪犯出现了新方法。
OPM曾说问题几乎都是毫无根据的,并作为独立机构声明,因为“滥用指纹数据的能力现在是有限的。”但显然受害者还没有走出困境。
“虽然现在网络犯罪还不能利用偷来的生物识别技术,但是随着身份验证的普遍这将不断变化,” Tripwire公司的IT安全与风险策略总监Tim Erlin说。
其它安全专家怎么看待OPM的受攻击事件,怎么看待未来指纹识别技术?位于迈阿密安全公司Immunity的CEO Dave Aitel说,危险已经存在于物理世界;现在,它已进入到数字世界中。
“我从不必担心身份识别实被盗,因为我在所有酒吧的酒瓶上都留有指纹,” Aitel说。“那些有足够能力的黑客,不需要访问本地栏可以从设备或指纹数据库中获得指纹,这对于他们既新鲜又有趣。”
在服务器端,存储着敏捷指纹的数据库需要尽可能地确保它的安全。公司应该“创建数据库,包含加密的指纹注册样本参数,但却不是真正的指纹,” Forrester研究机构的分析师 Andras Cser在邮件中说。“这样,指纹就难以被偷。”
CIO们需要特别注意。“这是对CIO的一种警示,他们,首先应该对指纹的存储在服务器上存储和匹配的位置,采取更好的保护方法;其次,评估解决方案,指纹是否存储在可靠的安全的执行环境中,匹配发生在了客户端,” Cser写到。
许多移动设备都获得了指纹识别安全的权利,Cser说。苹果的Touch ID和谷歌的新Nexus Imprint 在设备的安全区域存储了个人的指纹,而且黑客难以获得。
Cser看到,未来指纹识别以及声纹和面部识别将普遍存在于企业中。
但是用我们的物理我处作为识别码不应该成为唯一的安全形式,Aitel警告说。
“最后,生物识别永远都不是一个好的、唯一的验证提供者。你常常要把它与PIN或标识结合,来让它在实际中发挥作用,当然是在做对的情况下,” Aitel说。
作者:Brian Holak
来源:51CTO