生物识别ID可以保护好隐私及安全事宜吗?
扫描二维码
随时随地手机看文章
联合航空公司(United Airlines),将开始在其枢纽机场和休斯顿乔治布什洲际机场(Houston George Bush Intercontinental)推出Clear的生物识别预检系统。该系统通过验证飞行员的指纹或眼睛扫描来工作。
生物识别技术的历史
人们很容易认为,能够立即识别出一个独特指纹的技术是21世纪的一个现代奇迹,但它的根源实际上可以追溯到19世纪末。阿根廷人类学家胡安·乌卡蒂奇(Juan Vucetich)于1891年首次对指纹进行了分类,仅仅两年后,这帮助探长爱德华多·阿尔瓦雷斯(Eduardo Alvarez)确认弗朗西斯卡·罗哈斯(Francisca Rojas)是杀害她两个儿子的凶手。接下来是威尔(Will)和威廉韦斯特(William West)的故事——这两个人没有血缘关系,但外貌却几乎一模一样。两人都在利文沃斯监狱服刑,但威尔·韦斯特被判轻罪,而威廉·韦斯特已经因一级谋杀罪被判终身监禁。监狱几乎没有办法分辨出这两名男子,但后来求助于一项新技术——指纹识别。法国笔迹专家、早期生物识别学研究人员阿尔方斯·贝蒂隆(Alphonse Bertillon)已经创建了一个识别系统,其中包括一张“脸部照片”,以及对囚犯面部特征的详细描述。正常情况下,这个系统足以区分不同的个体。然而,考虑到西方人看起来如此相似,还需要一些别的东西。与此同时,Bertillon在指纹图谱分析技术的发展上也取得了突破。由于每个人的指纹都是独一无二的,这足以决定哪个西方是哪个西方。杜兰大学(Tulane University)专业进步信息技术学院(School of Professional Advancement Information Technology Program)主任拉尔夫罗素(Ralph Russo)指出:“生物识别技术作为标识符和身份验证手段已经存在了100多年,其中最著名的案例是警察/执法部门使用指纹。”
生物识别技术的进步
这个指纹识别系统只是能够区分个体的唯一标志符之一。自伯蒂隆发明指纹镜技术以来的一个世纪里,已经有许多先进技术可以扫描个人的视网膜——就像指纹一样独特。此外,人脸识别也有了很大的进步。近年来,指纹和面部识别扫描都被用来解锁智能手机。该技术的支持者表示,他们提供了比密码更高的安全级别,而密码很容易被遗忘。“生物特征认证的主要优势是它对终端用户的易用性,”Positive Technologies的网络安全恢复能力主管莉安·加洛韦(Leigh-Anne Galloway)说。“信息安全的简单性并不总是好的,”她说。“脸和指纹永远与你同在。你不会忘记它们作为密码,但你也不能更改它们,”加洛韦补充道。生物识别的优势杜兰大学的罗素认为,利用数字生物识别技术(包括指纹、虹膜扫描或面部识别)来管理应用程序和设备的访问权限,其优势在于能够快速、可靠地访问与特定个人相关的信息,以及相对较高的准确性。此外,生物识别作为密码不能丢失或遗忘,因此企业不必管理大量被遗忘的密码更改,而密码可以放在次要选项中。生物识别技术还可以作为多因素身份验证过程的一部分,并且可以替换丢失或被盗的卡片和其他物理设备。罗素(Russo)说,“每年都有成千上万的身份证件丢失事件发生,因为人们试图管理身份证和行李,并遵循运输安全管理局的程序”。还有一个方便的因素,没有哪种密码类型是真正完美的。罗素(Russo)说,“所有识别人的方法都有风险和缺陷;为了避免忘记很多网站的密码,人们会把密码写下来,以明文形式存储——而不是加密——或者把密码交给第三方密码管理器,因为第三方密码管理器存在被黑客入侵的风险。”他补充说:“预计未来生物识别技术的使用将以越来越快的速度增长,这有很多原因,包括方便用户、降低企业规模和管理成本,以及相对无摩擦的用户体验。”罗素(Russo)指出:“一旦用户选择了他们的生物识别认证类型,就不用在小键盘上打字,也不用打电话,没有人可以不带着手或脸离开家——只是相对更快、更容易进入。”
保护生物识别技术
生物测定学中最大的考虑是这些信息是否足够安全。2015年,英国人事管理局(Office of Personnel Management, OPM)遭到黑客攻击,包括指纹在内的500多万人的个人信息遭到泄露。“最大的危险是不可能改变你的生物特征数据,”加洛韦警告说。“黑客攻击和泄密已经发生并将继续存在。没有理想的系统;我们这个时代使用的生物特征数据并不是什么秘密,”她补充道。“指纹可以通过照片恢复;声音,通过呼叫和录音样本;通过从社交网络上收集目标的照片,来确定人脸的形状,”加洛韦解释道。Russo说:“如果你的密码被黑了,你总是可以创建一个新的密码,但是如果生物特征数据被偷了,你就不能真实地改变你的指纹、面孔或虹膜,这样你的数据就可以被用来欺骗设备,允许未经授权的访问。”“然而,这并不像人们想象的那么容易做到,尽管人们成功地复制了指纹和声音指纹来欺骗系统,但人脸识别系统却更难被欺骗,”罗素补充道。他指出:“总的来说,使用被黑客入侵的生物识别技术成功进入系统的事件很少。”
另一个考虑是,“保护生物数据库并没有太大的区别,从保护其他形式的数据存储在一个给定的网络,除了在政府的这些数据积累迅速超过安全的能力,”弗吉尼亚联邦大学(Virginia Commonwealth University)政府与公共事务学院(L. Douglas Wilder School of Government and Public Affairs)国土安全和应急准备助理教授怀特(Christopher Whyte)说。他表示:“正如田纳西州和国外最近发生的黑客入侵事件所显示的那样,涉及这类数据的大规模泄露远非凭空想象。”即使它受到保护,问题还是回到了一些产品的效果上。怀特说:“生物特征数据实际上给安全带来了额外的障碍,因为你需要积极处理数据,以解释相关信息性质的变化。”“比如,我去年留了胡子,我有个朋友瘦了80磅。两年前,两者都必须由面部识别算法控制,”怀特补充道。“这至少在一定程度上防止了一些标准做法,即尽量减少公司或组织存储的可能被窃取或泄露的信息。”
隐私及安全事宜
问题的另一方面是隐私问题,以及生物识别技术可能被用于邪恶的原因。这就是旧金山市政府全面禁止人脸识别技术的原因。就在本周,加州成为第一个考虑在全州范围内禁止人脸识别技术的州。美国国会1215号法案,即《随身相机责任法案》,提出禁止警察随身相机使用面部识别软件,以保护隐私。对于使用指纹作为一种识别方法也有类似的关切。即便是那些认为使用这种清晰或类似的生物识别筛查系统有好处的旅行者,也可能会考虑其弊大于利。ProPrivacy的隐私倡导人士肖恩麦格拉思(Sean McGrath)表示:“尽管这可能会减少几分钟的旅行时间,但我们建议游客多花几分钟排队,以维护对个人数据的主权。”他表示:“私营企业(United和Clear)和政府已经一次又一次地证明,他们不能保证这些数据的安全。”另一个担忧是,一旦指纹或眼睛扫描进入系统,就不容易再取出来。麦格拉思补充说:“随着旅游部门从使用传统技术转向使用生物识别技术,旅行者对如何使用他们的生物识别数据的发言权越来越小。”
这是一个完美的系统吗?
还有一个需要考虑的问题,那就是生物测定学的可靠性。脸会随着体重的减轻或增加而变化,随着年龄的增长,人的长相也会有所不同。指纹对个体来说是独一无二的,但也有相似之处。那么手指上的割伤或烧伤呢?这真的是一个完美的识别系统吗?“读取传感器和指纹处理算法都有一定的阈值,”Positive Technologies的Galloway解释说。“考虑到手指可能受到的损伤或杂质,这个阈值可能会损害指纹,”她补充说。因此,阈值越高,假阴性的可能性就越大;越低,假阳性的可能性就越大。Tulane大学的Russo补充说:“虽然受伤会干扰指纹的读取——与数据库中存储的不同图像文件进行比较——但大多数生物识别系统鼓励存储第二或第三次指纹,以允许在这种情况下进行读取。”加洛韦说:“在严肃的组织中,生物识别技术必须与其他用户验证工具相结合,例如手指加眼睛加密码。”“生物识别技术并不是识别应用程序和系统用户的‘完美’手段;就像任何涉及到安全的事情一样,在太多的安全与太少的安全之间有一个平衡。”“拨出百分比来声明匹配,就会得到更多的失败——错误的否定——和用户的挫折感。降低百分比,得到更多的假阳性和较弱的安全性。这与密码相反,密码是100%匹配还是不匹配。”
Clear已经在全美约60个地点有售。它提供了一个系统,利用生物识别技术,将预先批准的旅客加速到安全通道的前端,甚至领先于TSA预先检查的旅客。联合航空(United Airlines)和达美航空(Delta Airlines)也为乘客提供这项服务,Clear的技术也被用于需要身份验证才能进入的体育场和体育场。然而,Clear只是开始开发这种生物识别筛选技术的几家公司之一,而机场已经在如何处理竞争但不兼容的系统上苦苦挣扎。
根据世界旅游公司的数据,目前至少有53个生物识别系统被航空业使用,还有几十个被其他行业使用旅游委员会。由于他们各自的数据库并不共享,所以大多数人的看法并不一致。让所有的竞争系统协同工作只是生物识别筛选公司在不久的将来必须应对的挑战之一,以使这项技术作为传统识别的替代方案得到普遍接受。