https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

生物辨識技術能抵擋隱私權的威脅嗎?

2014 / 01 / 09
Guillaume Lovet
生物辨識技術能抵擋隱私權的威脅嗎?

個人隱私和企業機密資料所面臨的威脅,已經到了某些傳統資安防護已完全無效的地步,例如單純密碼保護的效用已漸失。現今,駭客和其它的惡意人士,可以藉由複雜而精巧的程式或硬體設備,或是利用暴力攻擊法(brute force)的方式,輕易地在幾秒內破解。

多因素認證 (MFA, multi-factor authentication)是眾多抵擋隱私權威脅的先進方法之一。這種方法是利用兩個以上的認證機制來辨識身份,例如一個認證資訊,加上額外擁有的硬體設備,或是另一個存在於本身的東西。一個認證資訊指的是使用者知曉的東西,例如一個密碼或圖案;額外擁有的硬體設備,則可以是行動電話或ATM卡。最後,另一個存在於本身的東西,則是使用者本身擁有的生物特徵,例如指紋、視網膜,或是聲音等等。

蘋果電腦最新推出的iPhone 5s,內建的指紋辨識技術(一個存在於本身的東西)已吸引許多人的目光,想看看它實際抵擋隱私權攻擊的效用如何。新的iPhone在「主畫面」的按鍵裡,內建一個稱之為Touch ID的指紋讀取器,當使用者輕觸「主畫面」按鍵時,可快速讀取指紋並自動解鎖手機。這項功能已將「雙因素認證」從企業領域,帶給了智慧型手機的龐大使用者。許多使用者甚至興奮地認為,蘋果的Touch ID新奇無比,其它產品難以匹敵。

蘋果表示iPhone 5s新的A7處理器有專屬的資料儲存區,牢固而難以攻擊。然而,如果能夠成功突破安全防護,生物辨識機制就會顯得無用。例如,一個網路罪犯若能成功在手機中植入一個木馬,那麼破解一個指紋辨識系統和一個密碼,兩者之間並沒有什麼差別,因為掃瞄後的指紋還是以0和1的方式儲存在手機中。

另一件值得注意的事,是蘋果表示Touch ID掃瞄的是表皮,而沒有提及掃瞄真皮的能力。這代表設備內建的先進電容感測器,實際上是為皮膚表皮的指紋拍了一張高解析度照片,差不多就是傳統電容感測器的運作模式。更安全的方法應該是掃瞄皮膚的真皮層,也就是靜脈、動脈的所在之處。因此,蘋果率先採用的生物辨識技術,似乎更像是一個便利工具,讓使用者能隨喜好而不用密碼。

事實上,就在iPhone 5s推出後沒幾天,Touch ID就遭到德國一群人所破解。他們從杯子上取得一個使用者的指紋,然後將其複製到膠膜上,再將該指紋膠膜黏在手指上,按壓在手機上順利將手機解鎖。Touch ID的確有用,而且能順利運作,但使用者不應依賴它來保護手機上的珍貴資料。蘋果電腦有必要推出更新的iOS,藉由適當的雙因素認證,例如一次掃瞄加上一個密碼,來讓Touch ID能更有效保護手機。

此外,我們通常不會提供指紋給第三者,因為指紋就像是我們的生物辨識護照,僅有政府知曉如此而已。透過蘋果的Touch ID,會不會讓網路罪犯更容易取得我們的指紋(然後在黑市中銷售給有邪惡意圖的人)?再者,我們的指紋無可替代,一旦被取得就無法挽回,不像金鑰對可以再產生一個新的。

蘋果的生物辨識並非萬無一失,但好消息是iPhone 5s吸引了大眾的目光,探求從傳統單一認證走向多重認證的可能性。在FortiGuard的年中威脅報告,Fortinet已提及未來雙因素認證預期將會取代單一密碼登入的模式。雙因素認證已經被一些主流應用服務商所採用,像是Twitter、Dropbox、Evernote和Facebook,儘管它尚無法完全取代單一因素認證的便利性。

本文作者任職FortiGuard威脅防護中心資深經理