生物识别认证:破解五大误区
- 物联网
- 2023-02-08
生物识别技术正越来越多地被应用于手机银行APP等业务环境中,用来保障银行数字化流程的安全,同时提供便捷的用户体验。该技术在当前的COVID-19时代尤其有用,因为居家隔离期间的业务办理已经极大转移到移动银行和在线银行了。最近的调查显示,客户越来越接受使用生物识别认证来保障银行交易的安全,65%的人表示愿意向银行提供生物识别信息。虽然如此,但仍存在一些关于该技术的误解。
以下是与生物识别技术相关的五个常见误区,以及金融机构和客户都应该知道的真相。
误区1:人脸识别和指纹识别很容易被静态的指纹或照片欺骗。
事实: 如今复杂的生物识别身份验证系统包括亮度检测功能,以对抗演示攻击,或 "伪装",其中可能包括3D打印的模型、面具、图像或视频。亮度检测可以是主动式的,比如要求用户眨眼或转头;也可以是被动式的,通常在幕后运行,利用算法分析生物识别样本,分析出不是来自真人的迹象,如检测纸张、数字屏幕或3D打印面具中的剪影等。
主动的活体检测方法更明显,更容易被攻击者研究和规避,而被动活体检测的速度更快,侵扰性更小,使用了更先进的确定活体存在的技术。对于手机银行等敏感场景,结合多种反欺诈和活体检测方法的第三方解决方案是一个理想的选择。
误区2:生物识别认证提供的可信度低于登录凭证。
事实:生物识别认证可以提供比基于凭证的验证方法更高的可信度,因为生物识别技术不容易共享。相比之下,传统的身份验证器,如密码、PIN码和客户的个人身份信息(PII)是可以共享的,也曾在知名的数据泄露事件中被泄露或窃取,并在暗网上出售。此外,具有主动和被动活体检测和防欺诈技术的生物识别身份验证提供了额外的可靠性,因为指纹、人脸或其他生物识别技术是实时呈现的,并且与真实的个人连接在一起。
误区3:生物识别认证是对隐私的侵犯。
事实:在移动应用中使用的人脸比对和识别技术是一种准入的用例,即客户自愿报名使用系统,以方便账户登录或增加一层安全保障。这与新闻中经常报道的人脸识别技术不同,在公共场所使用人脸识别技术,人们并没有同意的情况下,就会被使用。
更重要的是,一对一的人脸识别技术并不存储原始照片来进行身份识别,而是建立了一个人脸的数学表示。这种表示方式会被保存在文件中,以便用户登录时进行比较,通常是经过加密的,对攻击者来说基本上是无用的。
误区4:长期来看,生物识别技术并不实用,因为像面部识别或指纹扫描这样的技术会随着人的年龄增长和特征的变化而发挥不了作用。
事实:生物识别标记,如一个人的虹膜,随着时间的推移会保持相当稳定,而一个人的脸部或声音可能会随着时间的推移而略有变化。一个人的生物识别标记会发生重大变化的时间跨度让用户身份验证应用问题不存在,因为大多数客户会执行频繁的身份验证,其特征的微小变化会随着时间的推移而被记录并随着应用的更新。
一些生物识别认证解决方案是动态的,会定期更新客户存储的指纹模板,以便在发生任何变化时映射出来。通常情况下,用户还可以注册第二个指纹,以防第一个指纹失效。多重认证因素的分层安全方法始终是最好的方法。
误区5:生物识别技术只有在用户已经知道的情况下才适用。
事实:基于行为的生物识别技术是通过分析一个人与移动设备的交互方式,即使在用户还不为所知的情况下,来加强安全和反欺诈。在未知用户的情况下,例如当有人申请新的贷款时,基于行为的生物识别技术可以将客户的行为与典型的欺诈行为进行比较。———— / END / ————往期回顾
四川省省委宣传部副部长、省委网信办主任房方到新希望金融科技考察调研