我应该害怕生物识别ID吗?

信息安全 生物识别 身份盗窃
2021-08-15 08:59:50

以色列内政部长正在推动引入生物识别 ID 的立法一方面,我听到他的论点,即它可以帮助防止身份盗用。另一方面,有些事情让我对将我的生物特征“密码”掌握在任何政府手中感到非常紧张。我担心如果黑客以某种方式窃取了那个“密码”会发生什么,因为我无法改变我的 DNA 并获得新密码。

不过,我的不适主要是情绪化的,因为我不完全了解生物识别 ID 的真正风险。

任何人都可以清楚地解释生物识别系统的风险(如果有的话)吗?

4个回答

对此的一些想法:

  • 生物特征数据易于访问,不应用作密码,仅用作附加身份验证。
  • 正如自由解释得很好,你的政府已经在追踪你。
  • 指纹等生物特征数据大多不存储为原始图像,而是以散列的形式存储。算法提取某些特征。您无法从此数据中恢复您的指纹。尽管如此,还是有可能用这些数据来欺骗一些身份验证。
  • 生物特征数据可能被滥用。DNA 标记可能包含有关医疗问题或血统的信息。目前,法医团队正试图从他们的 DNA 中重建一个人的样子。
  • 不应存储不需要的数据。尤其是不集中。

我反对这一点,因为:恐惧之前的自由。

因为评论更新

在“恐惧之前的自由”中,我试图翻译德语的“Freiheit statt Angst”口号。我们倾向于放弃自由,因为我们害怕恐怖主义和犯罪。在这种情况下,自由是对您的私人数据的控制。您无法更改的数据。定义你是谁的数据。此数据可能会阻止某人复制护照,也可能不会。无论如何,它并不能阻止恐怖主义,但确实会造成数据被误用的风险。

一个 DNA 数据库,您可以在其中查找所有外国人。独裁者能用这个做什么?告诉保险公司您可能会生病的数据库。谁知道这些数据将来会发生什么?

如果你创建这样一个数据库,它总是有可能被用于作恶。如何以及以何种方式无法说清楚,但这对您不利。

根据链接的文章,本提案中使用的生物识别技术类似于最近乔治亚州(美国)驾照上使用的生物识别技术:照片和指纹数据。因此,此举并非完全没有先例。

链接的文章在细节上有点短,因此如果不研究拟议法律的确切规定,很难评估个人可能面临的风险。但某些假设情景似乎是相关的:

  • 法律可能要求或允许政府托管生物特征数据(照片和指纹)
  • 法律可能要求将生物特征数据的人类可读表示打印在 ID 本身(照片和指纹图像)上
  • 法律可能要求以一种或多种形式将生物特征数据的机器可读表示打印在 ID 本身上:
    • 光学可读(即条形码CQ 码
    • 无线电或磁回波,仅需要近距离(即 RFID)
    • 作为具有物理接口的嵌入式数据存储设备

政府托管的生物特征数据对个人隐私和安全有明显的担忧:

  • 拥有数据本身就是对个人隐私和尊严的固有侵犯,除非个人的参与是自由和自愿的。在当今的文化中,这一点经常被忽视或轻描淡写,但我认为政府收集高度个人化的个人数据确实“令人毛骨悚然”,有这种感觉是可以的。
  • 必须考虑数据的声明和预期用途。通常,这些都是足够合理的,甚至对个人有益(例如防止欺诈)。
  • 必须考虑数据未声明但可能的用途:

然而,作为一个实际问题,必须询问政府是否可能已经拥有你的照片和指纹数据,如果有,今天对其使用有哪些限制;以及这些与提议的内容相比如何。

拟议护照的技术特征,以及其中包含的信息类型,极大地影响了个人面临的风险程度。

  • 个人数据的 RFID 可读性会非常危险。即使是安全地保存在钱包或公文包中的护照,附近的人也可以通过正确的设备或固定的航路点读取。华盛顿州(美国)声称,他们的增强型驾驶执照只允许成功的攻击者获得不透明的 ID 号。但是这个 ID 号对于个人来说仍然是唯一的,即使直接检索姓名和家庭住址等详细信息很困难,仍然可以将 ID 号本身与其他非政府来源相关联,或跟踪其外观和行为身份证号码。(基本上,华盛顿州的驾驶执照与网络上的 cookie 存在所有相同的隐私问题,只是您无法使用开发人员工具清除它。承认他们的计划有多糟糕,他们为他们提供了“保护套”。)
  • 光学条形码或 CQ 码或磁条与 RFID 具有所有相同的问题,只是它们需要能够看到或触摸您的设备。至少您可以防止设备在您不知情的情况下被读取,只要您将其随身携带并隐藏在视线之外。

接下来要考虑的是,一旦“坏人”掌握了您的生物特征信息,他们可以做什么?他们能否在不从您的护照或政府获得的情况下获得相同的信息?这些答案将在很大程度上取决于引入这一强制性制度的社会影响,并且难以预测。

反对强制生物特征识别的一个非常强烈的论点,直接适用于该提案,是为了有用,生物特征必须是不可变的;但这正是使它们对个人构成风险的原因。如果有人猜测或获得了我的网站密码,我希望(如果网站设计良好)可以更改它。但我不能改变我的指纹、我的肖像、我的视网膜或虹膜。如果有人设法获得并使用它,它就会永远受到损害。

最后,也是最重要的,使用这种生物识别系统是否会激励“坏人”绑架您或截肢您的身体部位当我问这个问题时,我认识的那些不愿考虑安全问题的人经常嘲笑我。但这是一个严肃的问题,因为我宁愿有人偷我的钱包而不是我的食指来进入我的银行账户。但在照片和指纹被用于护照的情况下,尚不清楚这是否适用。

你应该害怕吗?我没有足够的知识直接回答指纹在当今以色列的其他具体用途,或者为了利用这种东西而存在或可能出现什么样的信息共享文化。坦率地说,我能想到更糟糕的计划

政府已经有了你的照片、指纹、出生证明,它知道你住在哪里,你有什么税收和账单,否则你就不会正式存在。他们可以使用带有摄像头的面部识别技术在公共场所跟踪您,窥探您的互联网流量,接听您的电话,阅读您的短信……毕竟,您真的认为他们需要生物识别 ID 和护照来进一步跟踪您吗?

穿着牛仔裤上的生物识别 ID 走在街上不会比带 GPS 的手机更容易追踪。另一方面,它可以使伪造身份证和护照变得更加困难(金钱和决心没有什么是不可能的),这只会对试图用假护照和身份证等旅行的间谍、恐怖分子等不利。 ,没有什么是普通公民需要担心的。但我知道……我也不喜欢它,但我们必须现实一点。

我更担心微软试图通过 Windows 10 获取每个人的生物识别数据,而不是政府,因为一家不以安全着称的私营公司更令人不安(其他公司也是如此)。

尽管如果许多公司网站等开始将常用密码更改为生物识别密码,那么这是一个问题,因为政府将能够轻松登录任何东西。所以也许最好还是坚持老式的密码。

没有先验理由假设基于“生物识别”的系统会很弱。在评估它对潜在攻击的抵抗力之前,我们需要知道安全协议是什么。仅仅知道它基于生物识别技术并不足以进行明智的评估。

在我看来,生物特征的良好用途是那些重新测量生物特征因素的方法,这些因素将在访问时进行测量。例如,存储指纹并要求进行匹配的指纹扫描才能进入该国是阻止未经授权的人的有效方法。请注意,在这种用例中,窃取您的指纹数据不会让未经授权的人进入该国。他们必须 - 改变 - 他们的拇指来匹配你的。而且,在这种情况下,受保护的是访问该国家/地区,而不是您的个人银行帐户。如果有人使用您的“被盗”指纹进入该国,您不会特别受到任何损失。

因此,虽然我本人对“生物识别”并不是 100% 的热情,但在谴责整个技术分支之前,让我们通过询问了解安全协议是什么来保持客观。