生物识别:并非完美但行之有效

日期: 2015-03-15 作者:赵长林 来源:TechTarget中国

在计算机安全领域,生物识别技术指的是依靠可被自动检查的物理特征进行身份验证的技术。目前,常见的生物识别方法有如下几种类型:1.对人的面部特征的分析;2.对个人独特指纹的分析;3.对人手形状和手指长度的分析;4.对位于眼睛后部的毛细血管的分析;5.对个人签名方式的分析;6. 对个人的语音语调、音高、节奏和频率的分析。当然,随着技术的发展,还会出现其它的生物识别方法。

如今,从数据中心到高端的消费品(如新型智能手机),生物识别技术的使用都非常广泛。虽然这不是什么新技术,但许多企业要求数据中心的管理员们实施这种技术,目的是为企业增加另外一层安全。

但是,如同其它安全技术一样,这种方法也并非灵丹妙药。决策者和管理者在实施这种时髦的技术之前,还需要做好自己的功课。与实施其它技术一样,三思而后行方为万全之策。

选择与成本

纯粹的生物识别方法,如视网膜扫描和指纹识别码,未必是最佳选择。建议企业首先看一下使用案例,并确保生物识别是确实是企业所需要的。实践证明:RFID(射频识别)卡等可以很好的构建访问控制,所以企业应当认真考虑这种方案。

生物识别技术的最佳使用是在限制访问的那些地方,一般来说就是那些仅允许少量雇员进入的地方。一般情况下,员工使用RFID卡或类似的设备进入大楼,而生物识别设备被用于限制进入更小的区域。这种做法可以减少使用生物识别设备的雇员数量,从而控制了成本。

对于生物识别技术,就像对于购买任何其它的IT设备或服务一样,企业需要考虑真正的总成本。当然,企业可能考虑到了设备及安装的成本,但是否考虑到其它变量呢?企业真得考虑到了总拥有成本了吗?

生物识别技术的隐性成本还包括:处理错误读取率、解决设备故障的时间。管理成本也常被企业忽视,其中包括在部署和采用过程中的成本,以及需要保障数据安全的过程,等等。所以,管理者必须全面思考成本问题。

评估风险

生物识别技术听起来很酷,但并非完美。要记住,人的指纹几乎无处不在。一台并不太贵的指纹机就可能被欺骗:例如只需使用一些调和胶和真实指纹的复制品(副本)即可骗过这种指纹机。

也许有人觉得用指纹识别解开自己的手机显得很酷,但如果用它登录进入关键业务的云账户可行吗?通过指纹识别进入账户进行网上购物可行吗?答案是不太安全,原因在于指纹识别目前仍存在不少漏洞。

如同其它技术一样,企业对于生物识别技术也要考虑到风险与收益的问题。其主要的好处是对终端用户非常方便。当下,人们为了访问不同的账户或资源,需要记住易忘的大量口令,但唯一不能忘也不能忘的就是自己的手指或脸。所以,生物识别不仅可以使终端用户方便快捷,而且还省却了不少为解决用户遗忘口令问题而花费的时间。

但生物识别的最大问题却是出错问题,出错有可能导致将访问权拱手交给了非授权用户,还有可能出现“似非而是”的问题,即使合法用户无法通过验证。出错会造成较高的成本,而“似非而是”的错误会带来最大的风险。

各种生物识别技术所面临的风险也不同。面部识别可能存在困难,因为随着时间的推移,人的脸会变化。同时,视网膜或虹膜扫描也会带来严重的私密问题。许多传染性疾病以及怀孕等,甚至一些慢性的健康问题都可通过眼睛检测而获知,因而会带来许多私密问题。还有一个大问题是易用性。面部扫描和虹膜扫描都需要固定位置,给使用带来麻烦。如果考虑到风险问题,指纹扫描可能是最有意义的一种技术。

应用与实施

企业可以考虑将生物识别技术用于物理访问楼宇以及工作站的登录。当然,企业需要平衡潜在利益与实施生物识别方案的成本。如果企业环境中没有内置的生物识别功能,就需要在现有的设备上增加生物识别设备,这就需要考虑成本。将识别软件与其它软件和登录过程集成到一起,特别是在一个异构环境中时,集成尤其会成为一个重要问题。当然,还要考虑到长期支持此技术所要花费的成本。

但企业最终关注的是安全问题,而最安全的方法是“三管齐下”:即口令、刷卡、生物识别的结合应用。单纯地从口令方法转向生物识别方案未必更安全,但可以减少与管理和支持优质密码有关的问题(如经常性地有用户要求重置密码,等)。如果企业需要较高的安全水平,那么实施其中的两种安全措施可以有效地减轻风险,但可能会影响工作效率和访问。总之,这是一个需要平衡的问题。

生物识别的一个大问题是集成,这不仅是指与所有不同设备及其操作系统的集成,还涉及所有不同的系统。今天的终端用户为访问不同的系统需要记住很多口令,所以设法构建一种支持生物识别的单点登录的方法将是很受欢迎的。当然,终端用户是实施任何技术时的唯一最容易出问题的环节。所以,真正的关键就是终端用户的培训,以及在出现问题时能够得到快捷支持。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • OneLogin公司首席安全官构建新安全模型

    在2017年OneLogin公司的云身份和访问管理平台遭遇数据泄露事故后,该公司做出了重大改变,其中涉及新的管 […]

  • Telerik Web UI:加密漏洞能否缓解?

    最近看到报道称Telerik Web UI包含加密漏洞,这个漏洞是什么?企业是否应该考虑其他解决方案,还是这个漏洞可得到缓解?

  • 如何用移动应用评估来提高企业安全性?

    面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。