信息化觀察網(wǎng)

如今，生物識別技術(shù)已成為最流行的趨勢之一，該趨勢旨在通過更具彈性的身份驗證機制來提高安全性并阻止網(wǎng)絡(luò)攻擊。目前，全球不僅面臨著越來越多的跨設(shè)備和系統(tǒng)的網(wǎng)絡(luò)威脅，冠狀病毒大流行還改變了消費者和企業(yè)對數(shù)字和物理風(fēng)險的思考方式。

從安全的角度來看，生物識別技術(shù)具有明顯的優(yōu)勢，特別是與其他多個因素（例如PIN或安全性問題）結(jié)合使用時。生物識別技術(shù)很難破解，對不良行為者的復(fù)制具有挑戰(zhàn)性，而且個人生物信息一直存在于我們身上，從方便角度看也有很大的優(yōu)勢。從汽車、電子學(xué)習(xí)、物流、遠程醫(yī)療等，各行各業(yè)的公司越來越多地考慮使用生物識別接口來改善安全性和體驗。

雖然使用生物識別技術(shù)有很多好處，但是企業(yè)仍必須盡職的調(diào)查以及評估隱私和安全方面的一些挑戰(zhàn)和擔(dān)憂。

生物識別技術(shù)的挑戰(zhàn)

1、生物特征信息是唯一且不可改變的，如果生物特征信息遭到破壞或被盜，則是無法挽回的。雖然個人生物特征有很多優(yōu)點，比如：可以準確識別信息、被破解的幾率極低、被復(fù)制的難度很高。但這項極具發(fā)展前景的新興技術(shù)也是把雙刃劍，如果生物識別信息遭到破壞，那么損失也是慘重的。首先被盜的身份憑證可用于各種形式的盜竊，偽造和犯罪。其次，一個人的生物特征是無法替代的。

2、大規(guī)模實施生物識別技術(shù)的成本會很高。大規(guī)模實施能夠支持多個地點、設(shè)備或人員的生物識別技術(shù)非常昂貴。基于AI的生物識別認證（例如面部或語音認證）所需的硬件、軟件、互操作性和云服務(wù)等，這些都不是簡單可以獲得的，更不用說還需為其提供支持的培訓(xùn)、通信和安全資源的成本。

3、安全權(quán)衡。盡管生物特征認證具有一定的安全優(yōu)勢，但它在安全領(lǐng)域的其他地方也帶來了額外的安全隱患。終端掃描儀只是認證的其中一個節(jié)點，數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)的滲透率代表著另一種攻擊媒介，這使得不法分子會不斷發(fā)展的欺詐技術(shù)、惡意使用AI功能進行模擬、使用社會工程學(xué)進行破壞。此外，由于生物特征數(shù)據(jù)在黑暗網(wǎng)絡(luò)上是十分昂貴和搶手的，所以，生物識別數(shù)據(jù)已經(jīng)成為了黑客與防御者之間的重點關(guān)注對象。

4、誤差，不準確性。與任何技術(shù)一樣，不準確的風(fēng)險也是另一個考慮因素。生物特征識別有其自身的一系列機器缺陷，包括訓(xùn)練數(shù)據(jù)中的偏差，由于錯誤掃描而導(dǎo)致的拒絕認證，割傷手指導(dǎo)致的無法進行認證，設(shè)備故障或漏洞，錯誤識別其他生物特征數(shù)據(jù)等等。

生物識別的法律問題

責(zé)任劃分不清。在美國，有關(guān)使用生物識別數(shù)據(jù)的法律高度分散，伊利諾伊州、德克薩斯州、華盛頓州、密歇根州、新罕布什爾州、阿拉斯加州和蒙大拿州存在著不同的法律。同時，歐盟的GDPR對敏感數(shù)據(jù)分類（包括生物識別數(shù)據(jù)）也有明確的劃分，可變承保范圍，按行業(yè)、客戶和雇員的不同，可變的追索權(quán)和先例都構(gòu)成了迷宮式規(guī)則，其中存在著若干法律不確定性。

未完全成熟的技術(shù)可能面臨不同的突發(fā)情況。除了生物數(shù)據(jù)和接口周圍的法規(guī)灰色區(qū)域之外，新興技術(shù)在與現(xiàn)實世界融合時總是會產(chǎn)生意想不到的后果。隨著生物識別技術(shù)超越人類健康領(lǐng)域，將出現(xiàn)未開發(fā)的合法領(lǐng)土。一名安全黑客使用了德國政客的拇指的高分辨率照片，并使用商業(yè)軟件對其進行了重建，以證明通過指紋進行身份盜竊相對容易。最近，思科Talos研究發(fā)現(xiàn)，某些指紋掃描技術(shù)可能會因3D打印而受質(zhì)疑。

認證的方式。數(shù)字認證把人們限制在了顯示屏上，而生物識別技術(shù)將數(shù)字認證的形式打破，延展到了物理世界中。比如：某些生物識別技術(shù)（例如指紋掃描儀）需要主動觸摸，而有些生物識別技術(shù)或許不需要人的主動參與（例如：聲音識別認證）。這些認證方式涉及面甚廣，包括嵌入式機器人、汽車、智能家居掃描儀等，生活中多領(lǐng)域引入生物識別就意味著法律要和實際情況相結(jié)合，不同的應(yīng)用與針對不同的群體有著不同的法律規(guī)則。

企業(yè)生物識別實施步驟

生物識別技術(shù)有很多好處，但是這些技術(shù)，法律和道德方面的顧慮不能忽略。安全專業(yè)人員必須在評估生物特征時考慮到更廣泛的發(fā)展趨勢。

無論公司在生物識別評估中的位置如何，建議執(zhí)行以下步驟：

進行全面而持續(xù)的盡職調(diào)查。與汽車領(lǐng)域相比，醫(yī)療領(lǐng)域的生物識別技術(shù)可能面臨威脅以及技術(shù)和法律不同挑戰(zhàn)。全面評估還涉及跨學(xué)科的方法，將跨多個領(lǐng)域的專業(yè)知識融合在一起。

優(yōu)先考慮多因素身份驗證。生物識別技術(shù)是許多不同的潛在身份驗證因素之一。其他包括PIN，密碼和問題等。雖然使用多個身份驗證因素，會降低便利性，但出于安全性的角度考慮，建議可以在犧牲較小便利性的情況下，盡可能的選擇生物特征識別之外的其他因素保持安全性。

尋找靠譜的合作伙伴。生物識別行業(yè)到處都有開發(fā)創(chuàng)新系統(tǒng)和防護措施的公司，一些公司參加了更廣泛的聯(lián)盟和標準機構(gòu)。將技術(shù)規(guī)范和原則納入供應(yīng)商評估。

溝通了解更多相關(guān)問題。鑒于生物識別在技術(shù)、標準、法律、治理和社會價值上都存在極大的分散性，因此至關(guān)重要的是，公司必須更廣泛的與使用人員，財團，管理層和公民權(quán)進行互動。當(dāng)涉及生物識別時，安全性問題永遠是站在第一位的。

本文翻譯自：https://jessgroopman.wordpress.com/2020/07/20/biometric-security-concerns-span-technical-legal-ethical/