多个同时的生物识别传感器会为设备创造牢不可破的安全性吗?


9

本文引用了Image Ware的首席执行官,

根据Miller的说法,[解决方案]是一种多模式生物特征识别技术,他声称,这实际上使错误的人无法访问计算机系统。

他的公司使用现有的硬件和平台,将物理特征识别算法(手指,手掌,手和指纹以及面部,眼睛,虹膜)与采用当今移动设备上常见的生物特征数据传感器的其他算法相连接。

我的直觉是,他以某种方式夸大了这一说法,但我不能直言为什么这是不正确的。在我看来,如果多传感器方法真正有效,那么到现在我们将在任何地方看到用于这种策略的硬件和软件。

包含各种传感器的物联网网络能否成为一种有效的安全策略?(多传感器方法有效吗?)

有什么陷阱?

Answers:


10

此安全性的技术答案牢不可破?没有”。主要原因是生物识别属性不是秘密。有些很容易复制,例如指纹面部图像。有些像虹膜一样很难被欺骗。但是一旦捕获了生物识别属性,就可以重播它。并且生物特征属性是固定的。如果曾经复制过用户的属性,则您显然无法告诉用户“我们违反了安全规则,请更改虹膜”。

一个普通的窃贼几乎不可能同时欺骗所有生物传感器。但是,对于一个专门的,复杂的攻击者来说,设计这种壮举并非没有可能。

除了传感器欺骗之外,还可以使用传感器发出的数据执行重放攻击。但是,这将取决于实现,并且人们会期望一家公司设计其设备的安全性以抵抗这种类型的攻击。

与集成解决方案相比,物联网方法可能在此提供更差的安全性。如果传感器彼此无关,则攻击者可以一次破坏一个设备而不会引起怀疑。攻击者可以使用伪造的背胶指纹进行练习,直到得到完善的指纹,然后在伪造照片的过程中使用伪造的指纹来欺骗图像传感器。可以将集成传感器设计为要求同时显示所有属性。物联网方法可以以零碎的方式实施,而漏洞是由系统之间的差距造成的。

实际上,这种方法听起来仍然非常安全,并且比简单的密码或单个生物特征测量结果具有更好的安全性。


1
与实施这种战略所花费的资本相比,实施这种战略所需要的资本是否有利?
grldsndrs

您必须首先考虑损失的风险,然后将实施多因素生物识别策略所需的资本与实施另一种不太安全的策略所需的资本进行比较。我可能不会花费$ 25,000来保护$ 250,000的资产,但可能会花费$ 5,000。如果这是一项10,000,000美元的资产,我愿意花更多的钱来保护它。但是在那种情况下,我可能会选择将我的安全预算用于更好的保险范围,而不是花哨的安全系统。
约翰·戴特斯

还应考虑易用性。请记住,合法用户的操作安全性几乎始终是最薄弱的环节,因为用户将为难以使用的系统创建变通办法。生物识别系统通常很容易-触摸指纹读取器,看一下相机。易于使用的系统具有更好的合规性,因此最终获得了更一致的安全性。指纹和图像可能比复杂的密码提供更好的安全性。
约翰·戴特斯2016年

关于生物识别技术可复制,非秘密且不可更改(但可能会破坏)的要点。即使现在很难复制生物特征,也请思考一下过去几年中3D打印的变化。
肖恩·霍利哈内

2
@grldsndrs,这与欺骗任何特定生物特征的成本无关。随着人们的反复创新,成本总是会下降。当有人想用明胶代替乳胶,然后在印刷电路板上蚀刻指纹后,他们便将其用作模具,伪造的指纹逐渐变得越来越容易且便宜。愚弄虹膜扫描仪今天可能要花费1000美元,但是如果虹膜扫描仪无处不在,那么有人可能会想出如何用激光打印机和透明胶片以0.50美元的材料制作它的方法。
约翰·戴特斯

2

首先,报价似乎是关于保护移动设备的,而不是关于“具有各种传感器的IoT网络”,但也许仍可以得出一些教训。

与移动设备不同,传感器的“物联网网络”倾向于暗示它们并非都在同一地点,因此可能无法期望用户立即拥有所有传感器的判断力。这意味着系统将需要非常临时地了解用户的真实性-实际上:

您像乔一样走路,并且知道乔的密码,所以也许您是乔,除非我开始怀疑您不是乔,否则我会让您做乔的不太重要的事情,但是要做一些更重要的事情,您将不得不在这里执行此操作,然后去那里凝视,重复以下短语,然后...

但至关紧要的是,与移动设备的情况一样,这种方案只能固定前门。它没有针对至少三种其他类型的漏洞提供保护。

  • 针对现代系统的许多攻击不是来自恶意用户,而是来自通过网络,USB记忆棒或类似工具以不请自来的流量或不希望的有效载荷捕获用户想要的东西的形式传送的恶意数据。通常,此类数据会利用设计中的安全性失败-不应存在的不安全的可选功能(Windows自动运行文件)或经典的“错误数据换代码”错误(例如缓冲区溢出)。

  • 物联网系统和移动电话都倾向于与网络服务器高度集成,后者通常可以高度访问同一数据或移动系统的安全性试图保护的功能。缺少诸如服务器基础结构未知的端到端加密和身份验证令牌之类的东西,成功攻击或滥用服务器基础结构通常可以完成绕过设备安全性的大部分工作。

  • 物联网系统可能比移动设备更受物联网攻击。手机可能会尝试使用JTAG调试器来保护用于加密用户数据的密钥,以防止随时访问,但是IoT系统在本地存储的数据通常不多,因为它可以执行各种操作。对于本地攻击者而言,如果物联网设备的计算机部件的安全性如何,就可以轻松解决,只要他们可以简单地弹开盖子并使用回形针来激活输出继电器-或为此切断电线即可执行器,然后将它们触摸到自己的电池。否则,攻击者可能会在IoT设备传感器的位置(在热传感器下面的蜡烛,湿气上的湿海绵等)制造虚假条件,并导致其上行或对错误的读数采取行动。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.