最近,生物识别技术被用于无处不在的身份验证。电子签证、护照甚至银行交易(印度的 UUIDAI Aadhar 系统现在被用于身份验证、小额支付等)。我仍然无法理解它是如何安全的。以下是一些可能破解系统的方法:
例如,接受小额支付的商家可以使用被黑的“生物识别扫描”设备。通常,扫描仪本身会加密指纹数据,但被黑客入侵的则不需要。因此,由于商家有他的生物特征数据,他可以在没有用户同意的情况下授权支付任意次数。
与重置文本密码不同,生物特征数据如何不可变的常见论点。
实际上,不需要被黑客入侵的扫描仪。人们可以通过在一个人的任何地方留下的指纹来获取生物特征数据。然后可以通过使用该数据创建智能芯片来伪造假护照。我不确定智能芯片如何加密数据。是否使用了一种通用加密技术,每个芯片使用不同的密钥?那么服务器存储此密钥的公钥并对其进行检查?我还读到智能芯片执行某种计算?正在计算什么?
如何保护身份验证系统免受此类攻击?
生物特征对于身份验证来说不是很安全,但是对于许多应用程序来说,当进行生物特征识别时有一个受信任的见证人时,它对于身份验证来说已经足够安全了。生物特征也可用于检测重复。对于生物识别支付,可信见证人本质上是商家。对于身份验证,受信任的见证人通常是政府雇员。注意四个身份验证,主要问题是检测重复和记录生物特征有效地防止同一个人被签发多张身份证。
使用指纹支付是一种经过计算的商业风险与便利性的权衡。我不知道你指的指纹银行的细节,但我猜接受生物特征认证的商家有责任确保他们的客户不会做奇怪的事情(比如使用假手指)付款机。如果客户或银行声称交易未经授权,则商家将被视为对使用其机器和/或商家帐户进行的未经授权的交易负责。许多合法商家在考虑交易限额和因提供该选项而获得的额外业务时,认为滥用撤销的风险相当低。故意或疏忽助长欺诈行为的商家,
风险和安全方面,这与手绘签名没有太大区别,商家应该将签名与卡背面的签名进行视觉比较。欺诈商户可以在交易过程中使用改装机器记录卡号和签名。
用于银行卡和身份证的智能芯片本质上是非常小的、低功耗的计算机,具有安全计算和存储区域,在不破坏芯片的情况下无法从卡中读取。安全存储包含私钥,并且在芯片中运行的卡程序使用公钥密码术生成交易的加密签名。加密签名是一个非常大的数字,涉及在不知道私钥的情况下无法计算的数据,并且如果数据的任何部分发生更改,该签名将变得无效。在仅芯片交易(例如 PayWave、PayPass)中,卡无需用户对卡进行身份验证即可签署小额交易,在芯片和密码交易中,用户必须输入与存储的密码相匹配的密码该卡在该卡签署交易之前。
由于使用密码签名大大提高了安全性,涉及密码芯片的交易通常不会将未经授权的交易责任推给商户。相反,发卡行和客户有责任确保他们的卡安全。
芯片和指纹可以作为芯片和引脚的更方便的替代方案来实现,同时比无芯片的刷卡签名交易更安全。
总之,是的,指纹不是很安全。但是,当目标市场认为像芯片和密码这样更安全的替代方案太不方便而容易转向现金时,与保持刷卡签名相比,它仍然是一种安全性改进。请注意,银行和商家并不关心您的卡的安全性,如果他们可以通过增加交易量和更快的支付处理来抵消必须承担欺诈责任的负担。