This is 林刚's Tencent Weibo homepage. Follow now!

林刚 收听

思考者

讲科技:指纹虹膜高大上 明文比对是硬伤

2017-07-17

1154天 

xiumi.us" style="white-space: normal; line-height: 28.4444px; box-sizing: border-box;">
微信号:刚刚讲过




对于正方兴未艾的生物密码印证技术,非常迫切地需要出台严格的行业标准,严禁直接采集、上传用户生物特征库的手法,必须要禁止原样上传生物特征,所有在网络端、公共端保存的用户生物特征样本,必须要强制加密



 

说起密码应用,人类社会从最早的口令、虎符到锁钥,再到现代的电子密码,而眼下已经朝着以指纹、掌纹、眼眼虹膜等生物特征码识别的方向发展。就连普通小学生都知道:每个人的指纹、虹膜等都具有高度的唯一性,而且构成复杂、极不容易被伪造,所以,用它们来做密码或识别依据几乎是“万无一失”!可是,事实果真如此吗?


拿被传得神乎其神的“面部识别”技术,说白了,人类社会早在几千年前就使用了。看门的士兵对于是否可以进门的主人、客人,使用的就是面部识别,也就是通过对于熟悉人的面部特征与自己记忆中进行印证比对。有的人长得差不多,有的人长得无特征,然后门卫就很容易识别出错;


而如今许多号称采用电子手段进行指纹识别的技术,常常曝出识别出错、识别不出等等问题,关键就在于采用的元件低廉劣质,扫描出来的样本过于模糊,最后拿这个进行比对,好比是原本有着10000个数字的密码票,但检票的人视力太差,只能看得清最前面3位数,这样的结果可想而知;


但是,如果单纯地提高扫描识别精度的设备,反而并不是一件好事。这是因为,生物密码的唯一性带来一个巨大的隐患:大家想想,再复杂、再重要的密码,一旦被人偷走,只要知道后,赶紧改掉就可以了。但是,如果我们的指纹、虹膜等等生物特征样本被人偷走,难道你还能动手术去修改吗?


要想改变这种安全隐患,就必须改变当前对于生物密码的“明文比对”模式:也就是系统中保存有一份原始的样本,这份样本也就是指纹或虹膜的原样,然后再拿现实中采集来的直接信息进行比对。这种比对方法,既低效又不安全;


这点倒是可以借鉴字符密码的加密检验思路,在没有加密技术之前,核对密码就相当于明文读出用户的密码,再与保存于库里的原始密码对比,虽然思路清晰,但密码库一旦泄露,问题就大了。采取了加密措施后,密码库里都是一串串加密后的字符串,然后用户的密码也按照同样的算法生成一个字符串,对比的是加密 后的字符串,这样即使泄露,也没有安全问题;


所以,对于正方兴未艾的生物密码印证技术,非常迫切地需要出台严格的行业标准,严禁直接采集、上传用户生物特征库的手法,必须要像禁止传送明文密码的方式那样,禁止原样上传生物特征,所有在网络端、公共端保存的用户生物特征样本,必须要强制加密。虽然加密的另一端是解密,但是多一道安全防护,总好过没有防护;


而在此之外,我们大家只能寄希望于当前的生物特征记录精度也就如此,比如当前对于一个指纹上的信息量可以识读出百万级,而等到可以妥善解决这一隐患之后的识读级别能够达到千万级甚至更高,从而让我们之前被泄露、被盗用的百万级的样片失去尽可能的作用。



xiumi.us" style="white-space: normal; line-height: 28.4444px; box-sizing: border-box;">

微信号:just_now_say 



xiumi.us" style="white-space: normal; line-height: 28.4444px; box-sizing: border-box;">
xiumi.us" style="box-sizing: border-box;">
xiumi.us" style="box-sizing: border-box;">

xiumi.us" style="box-sizing: border-box;">
xiumi.us" style="box-sizing: border-box;">


xiumi.us" style="box-sizing: border-box;">

xiumi.us" style="box-sizing: border-box;">
如果你喜欢这篇文章,欢迎分享到朋友圈
评论功能现已开启,我们接受一切形式的吐槽



正在加载...

扫描二维码关注刚刚讲过官方微信账号