本文引用了Image Ware的首席执行官,
根据Miller的说法,[解决方案]是一种多模式生物特征识别技术,他声称,这实际上使错误的人无法访问计算机系统。
他的公司使用现有的硬件和平台,将物理特征识别算法(手指,手掌,手和指纹以及面部,眼睛,虹膜)与采用当今移动设备上常见的生物特征数据传感器的其他算法相连接。
我的直觉是,他以某种方式夸大了这一说法,但我不能直言为什么这是不正确的。在我看来,如果多传感器方法真正有效,那么到现在我们将在任何地方看到用于这种策略的硬件和软件。
包含各种传感器的物联网网络能否成为一种有效的安全策略?(多传感器方法有效吗?)
有什么陷阱?
Answers:
此安全性的技术答案牢不可破?没有”。主要原因是生物识别属性不是秘密。有些很容易复制,例如指纹或面部图像。有些像虹膜一样很难被欺骗。但是一旦捕获了生物识别属性,就可以重播它。并且生物特征属性是固定的。如果曾经复制过用户的属性,则您显然无法告诉用户“我们违反了安全规则,请更改虹膜”。
一个普通的窃贼几乎不可能同时欺骗所有生物传感器。但是,对于一个专门的,复杂的攻击者来说,设计这种壮举并非没有可能。
除了传感器欺骗之外,还可以使用传感器发出的数据执行重放攻击。但是,这将取决于实现,并且人们会期望一家公司设计其设备的安全性以抵抗这种类型的攻击。
与集成解决方案相比,物联网方法可能在此提供更差的安全性。如果传感器彼此无关,则攻击者可以一次破坏一个设备而不会引起怀疑。攻击者可以使用伪造的背胶指纹进行练习,直到得到完善的指纹,然后在伪造照片的过程中使用伪造的指纹来欺骗图像传感器。可以将集成传感器设计为要求同时显示所有属性。物联网方法可以以零碎的方式实施,而漏洞是由系统之间的差距造成的。
实际上,这种方法听起来仍然非常安全,并且比简单的密码或单个生物特征测量结果具有更好的安全性。
首先,报价似乎是关于保护移动设备的,而不是关于“具有各种传感器的IoT网络”,但也许仍可以得出一些教训。
与移动设备不同,传感器的“物联网网络”倾向于暗示它们并非都在同一地点,因此可能无法期望用户立即拥有所有传感器的判断力。这意味着系统将需要非常临时地了解用户的真实性-实际上:
您像乔一样走路,并且知道乔的密码,所以也许您是乔,除非我开始怀疑您不是乔,否则我会让您做乔的不太重要的事情,但是要做一些更重要的事情,您将不得不在这里执行此操作,然后去那里凝视,重复以下短语,然后...
但至关紧要的是,与移动设备的情况一样,这种方案只能固定前门。它没有针对至少三种其他类型的漏洞提供保护。
针对现代系统的许多攻击不是来自恶意用户,而是来自通过网络,USB记忆棒或类似工具以不请自来的流量或不希望的有效载荷捕获用户想要的东西的形式传送的恶意数据。通常,此类数据会利用设计中的安全性失败-不应存在的不安全的可选功能(Windows自动运行文件)或经典的“错误数据换代码”错误(例如缓冲区溢出)。
物联网系统和移动电话都倾向于与网络服务器高度集成,后者通常可以高度访问同一数据或移动系统的安全性试图保护的功能。缺少诸如服务器基础结构未知的端到端加密和身份验证令牌之类的东西,成功攻击或滥用服务器基础结构通常可以完成绕过设备安全性的大部分工作。
物联网系统可能比移动设备更受物联网攻击。手机可能会尝试使用JTAG调试器来保护用于加密用户数据的密钥,以防止随时访问,但是IoT系统在本地存储的数据通常不多,因为它可以执行各种操作。对于本地攻击者而言,如果物联网设备的计算机部件的安全性如何,就可以轻松解决,只要他们可以简单地弹开盖子并使用回形针来激活输出继电器-或为此切断电线即可执行器,然后将它们触摸到自己的电池。否则,攻击者可能会在IoT设备传感器的位置(在热传感器下面的蜡烛,湿气上的湿海绵等)制造虚假条件,并导致其上行或对错误的读数采取行动。