生物识别的问题和威胁

2018年， 有关生物识别的法律在俄罗斯生效。 银行正在实施生物识别系统，并收集数据以放置在统一生物识别系统（EBS）中。 生物识别技术为公民提供了远程接收银行服务的机会。 这使他们不必排队，从技术上讲，他们可以在一天中的任何时间“访问银行”。

通过照片或语音进行远程识别的便捷性不仅受到银行客户的青睐，而且受到网络犯罪分子的青睐。 尽管开发人员希望使技术安全，但研究人员不断报告出现了欺骗此类系统的新方法。

因此，也许您不应该同意提供友好的运营商在银行分行进行生物识别的提议？ 还是您会利用新技术？ 我们了解这篇文章。

怎么了

生物特征识别具有将其与通常的用户名/密码对或“安全” 2FA区别开来的功能：

1. 生物识别数据是公开的。 您可以找到地球上几乎所有居民的照片，视频和音频记录，并将其用于识别。
2. 不能像2FA的密码，电话号码或令牌那样轻松地替换面部，声音，指纹或视网膜。
3. 生物特征识别可以确认一个人的概率接近但不等于100％。 换句话说，系统承认一个人可以在某种程度上不同于数据库中存储的生物特征模型。

由于不仅机场的旋转闸门打开了生物特征识别数据，而且银行保险柜，世界各地的黑客和网络犯罪分子都在致力于欺骗生物特征识别系统的方法。 每年，BlackHat信息安全会议的程序总是包含与生物识别漏洞有关的报告 ，但是实际上没有关于保护方法发展的演讲。

与生物特征识别相关的主要问题包括欺诈，泄漏和盗窃，收集数据的质量差以及不同组织对一个人的多个数据收集。

证伪

与作弊生物特征识别系统的各种方法有关的出版物经常在媒体上找到。 这是德国国防部长Ursula von der Leyen的指纹，该指纹是用她的公开照片拍摄的 ，还有戴着面具的iPhone X上的Face ID欺诈行为，在 CEO的虚假声音的帮助下被盗窃了23.4万美元 ， 带有明星的虚假视频赞扬欺诈性胜利以及中文ZAO程序，该程序可让您将视频字符替换为其他字符。

为了防止生物识别系统为人们拍摄照片和口罩，他们使用检测“生命力”的技术-生命力检测-一组各种检查，可让您确定有生命的人在镜头前，而不是他的面具或照片。 但是这项技术可以被愚弄。


在生物识别系统中嵌入假视频流。 来源

BlackHat 2019上发表的《威胁下的生物特征认证：活度检测黑客报告》报告了使用在睡着的人身上戴的眼镜成功规避了Face ID中的活度检测，引入了假音频流和视频流以及其他方法。


X眼镜-Face ID中用于作弊活动检测的眼镜。 来源

为了方便用户，戴上墨镜会触发人脸识别。 同时，眼睛的光量减少，因此系统无法建立眼睛周围区域的高质量3D模型。 因此，在发现眼镜后，Face ID不会尝试提取有关眼睛的3D信息，而是以抽象模型的形式显示它们-中心是带有白点的黑色区域。

数据收集质量和错误识别

识别的准确性高度取决于系统中存储的生物特征数据的质量。 为了确保足够的质量以进行可靠的识别， 需要在嘈杂且光线不足的银行分支机构中运行的设备。

廉价的中文麦克风可让您在不利条件下录制语音样本，而廉价的摄像头可让您拍照以建立生物识别模型。 但是在这种情况下，错误识别的数量会大大增加，即系统会将具有相似声音或相似外观的一个人带到另一个人的可能性。 因此，劣质的生物识别数据会为欺骗攻击者可以利用的系统创造更多机会。

多种生物特征识别

在获得EBS之前，一些银行开始引入自己的生物识别系统。 通过生物特征识别后，一个人认为他可以在其他银行中使用新的服务技术，而事实并非如此，他将再次移交数据。

存在多个并行生物识别系统的情况会带来以下风险：

• 一个曾经两次通过生物特征识别的人，很可能不会对重复执行此程序的提议感到惊讶，并且将来他可能成为骗子的受害者，这些骗子会收集生物特征用于犯罪目的。
• 随着可能的数据访问通道数量的增加，泄漏和滥用将更加频繁地发生。

泄漏和盗窃

对于他们的所有者来说，生物特征数据的泄漏或盗窃似乎是一场真正的灾难，但实际上，一切还不是那么糟糕。

在一般情况下，生物特征识别系统不存储照片和语音记录，而是存储表征人的一组数字-生物识别模型。 现在让我们更详细地讨论这一点。

要构建面部模型，系统会找到确定其个人特征的人体测量参考点。 计算这些点的算法因系统而异，这是开发人员的秘密。 控制点的最小数量为68，但是在某些系统中，控制点的数量为200或更多。

基于找到的参考点，可以计算出一个描述符-一组独特的面部特征，与头发，年龄和妆容无关。 结果描述符（数字数组）是存储在数据库中的生物识别模型。 无法从模型中还原原始照片。

为了识别用户，系统建立了他的生物统计模型，并将其与数据库中存储的描述符进行比较。

建立模型的原则具有重要的意义：

1. 由于参考点的搜索算法不同以及结果模型存在严重差异，因此使用从一个生物识别系统窃取的数据来欺骗另一个数据不太可能成功。
2. 利用从系统窃取的数据来欺骗系统也是不可能的-识别需要显示照片或音频记录，这些记录或图像将被用于构建模型并与标准进行比较。

即使数据库不仅存储生物识别模型，还存储构建它们的照片和音频，在“额头上”的帮助下也无法欺骗系统：用于检查“活泼性”的算法考虑到描述符完全重合的错误结果。





面部和声音模态的活动性验证方法。
资料来源： 语音技术中心

因此，使用泄漏的生物特征数据不会帮助网络犯罪分子迅速获得实质利益，这意味着他们更有可能寻找更简单，更可靠的富裕方法。

如何保护自己？

于2019年9月14日生效的欧盟指令PSD2也称为开放银行，要求银行实施多因素身份验证以确保在任何渠道上进行的远程交易的安全性。 这意味着必须使用其三个组成部分中的两个：

• 知识 -仅用户知道的一些信息，例如密码或安全性问题。
• 拥有 -仅用户拥有的设备，例如电话或令牌。
• 唯一性 -用户固有的，固有的，可以唯一标识个人的信息，例如生物识别数据。

这三个要素必须是独立的，这样一个要素的折衷不会影响其他要素的可靠性。

在银行业中，这意味着对生物特征数据进行操作必须伴随使用密码，令牌或PUSH / SMS代码的附加检查。

使用与否？

生物特征认证具有广阔的前景，但是与它们一起进入我们生活的危险看起来非常现实。 系统开发人员和立法机构应研究有关生物识别系统漏洞的最新研究结果，并迅速敲定识别决定和管理其工作的法规。

银行需要结合传统的用户识别方法和生物识别技术，结合深度仿造和其他欺骗生物识别系统的方法来考虑情况：密码，2FA和USB令牌仍然有用。
对于银行客户来说，情况很难。 一方面，生物识别技术是为方便起见而开发的，旨在扩大以最小的手续费率随时获取银行服务的可能性。 另一方面，如果攻击成功，则是他们冒着钱冒险，生物识别系统的监管者和开发人员不对黑客负责。

在这方面，对银行客户的合乎逻辑的建议是不要急于提交生物特征数据，不要关注激进的电话。 如果您不能没有生物特征识别，请将其与多因素身份验证结合使用，至少可以部分降低风险。