信息化觀察網(wǎng)

如今，生物識(shí)別技術(shù)已成為最流行的趨勢(shì)之一，該趨勢(shì)旨在通過(guò)更具彈性的身份驗(yàn)證機(jī)制來(lái)提高安全性并阻止網(wǎng)絡(luò)攻擊。目前，全球不僅面臨著越來(lái)越多的跨設(shè)備和系統(tǒng)的網(wǎng)絡(luò)威脅，冠狀病毒大流行還改變了消費(fèi)者和企業(yè)對(duì)數(shù)字和物理風(fēng)險(xiǎn)的思考方式。

從安全的角度來(lái)看，生物識(shí)別技術(shù)具有明顯的優(yōu)勢(shì)，特別是與其他多個(gè)因素（例如PIN或安全性問(wèn)題）結(jié)合使用時(shí)。生物識(shí)別技術(shù)很難破解，對(duì)不良行為者的復(fù)制具有挑戰(zhàn)性，而且個(gè)人生物信息一直存在于我們身上，從方便角度看也有很大的優(yōu)勢(shì)。從汽車、電子學(xué)習(xí)、物流、遠(yuǎn)程醫(yī)療等，各行各業(yè)的公司越來(lái)越多地考慮使用生物識(shí)別接口來(lái)改善安全性和體驗(yàn)。

雖然使用生物識(shí)別技術(shù)有很多好處，但是企業(yè)仍必須盡職的調(diào)查以及評(píng)估隱私和安全方面的一些挑戰(zhàn)和擔(dān)憂。

生物識(shí)別技術(shù)的挑戰(zhàn)

1、生物特征信息是唯一且不可改變的，如果生物特征信息遭到破壞或被盜，則是無(wú)法挽回的。雖然個(gè)人生物特征有很多優(yōu)點(diǎn)，比如：可以準(zhǔn)確識(shí)別信息、被破解的幾率極低、被復(fù)制的難度很高。但這項(xiàng)極具發(fā)展前景的新興技術(shù)也是把雙刃劍，如果生物識(shí)別信息遭到破壞，那么損失也是慘重的。首先被盜的身份憑證可用于各種形式的盜竊，偽造和犯罪。其次，一個(gè)人的生物特征是無(wú)法替代的。

2、大規(guī)模實(shí)施生物識(shí)別技術(shù)的成本會(huì)很高。大規(guī)模實(shí)施能夠支持多個(gè)地點(diǎn)、設(shè)備或人員的生物識(shí)別技術(shù)非常昂貴?；贏I的生物識(shí)別認(rèn)證（例如面部或語(yǔ)音認(rèn)證）所需的硬件、軟件、互操作性和云服務(wù)等，這些都不是簡(jiǎn)單可以獲得的，更不用說(shuō)還需為其提供支持的培訓(xùn)、通信和安全資源的成本。

3、安全權(quán)衡。盡管生物特征認(rèn)證具有一定的安全優(yōu)勢(shì)，但它在安全領(lǐng)域的其他地方也帶來(lái)了額外的安全隱患。終端掃描儀只是認(rèn)證的其中一個(gè)節(jié)點(diǎn)，數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)的滲透率代表著另一種攻擊媒介，這使得不法分子會(huì)不斷發(fā)展的欺詐技術(shù)、惡意使用AI功能進(jìn)行模擬、使用社會(huì)工程學(xué)進(jìn)行破壞。此外，由于生物特征數(shù)據(jù)在黑暗網(wǎng)絡(luò)上是十分昂貴和搶手的，所以，生物識(shí)別數(shù)據(jù)已經(jīng)成為了黑客與防御者之間的重點(diǎn)關(guān)注對(duì)象。

4、誤差，不準(zhǔn)確性。與任何技術(shù)一樣，不準(zhǔn)確的風(fēng)險(xiǎn)也是另一個(gè)考慮因素。生物特征識(shí)別有其自身的一系列機(jī)器缺陷，包括訓(xùn)練數(shù)據(jù)中的偏差，由于錯(cuò)誤掃描而導(dǎo)致的拒絕認(rèn)證，割傷手指導(dǎo)致的無(wú)法進(jìn)行認(rèn)證，設(shè)備故障或漏洞，錯(cuò)誤識(shí)別其他生物特征數(shù)據(jù)等等。

生物識(shí)別的法律問(wèn)題

責(zé)任劃分不清。在美國(guó)，有關(guān)使用生物識(shí)別數(shù)據(jù)的法律高度分散，伊利諾伊州、德克薩斯州、華盛頓州、密歇根州、新罕布什爾州、阿拉斯加州和蒙大拿州存在著不同的法律。同時(shí)，歐盟的GDPR對(duì)敏感數(shù)據(jù)分類（包括生物識(shí)別數(shù)據(jù)）也有明確的劃分，可變承保范圍，按行業(yè)、客戶和雇員的不同，可變的追索權(quán)和先例都構(gòu)成了迷宮式規(guī)則，其中存在著若干法律不確定性。

未完全成熟的技術(shù)可能面臨不同的突發(fā)情況。除了生物數(shù)據(jù)和接口周圍的法規(guī)灰色區(qū)域之外，新興技術(shù)在與現(xiàn)實(shí)世界融合時(shí)總是會(huì)產(chǎn)生意想不到的后果。隨著生物識(shí)別技術(shù)超越人類健康領(lǐng)域，將出現(xiàn)未開(kāi)發(fā)的合法領(lǐng)土。一名安全黑客使用了德國(guó)政客的拇指的高分辨率照片，并使用商業(yè)軟件對(duì)其進(jìn)行了重建，以證明通過(guò)指紋進(jìn)行身份盜竊相對(duì)容易。最近，思科Talos研究發(fā)現(xiàn)，某些指紋掃描技術(shù)可能會(huì)因3D打印而受質(zhì)疑。

認(rèn)證的方式。數(shù)字認(rèn)證把人們限制在了顯示屏上，而生物識(shí)別技術(shù)將數(shù)字認(rèn)證的形式打破，延展到了物理世界中。比如：某些生物識(shí)別技術(shù)（例如指紋掃描儀）需要主動(dòng)觸摸，而有些生物識(shí)別技術(shù)或許不需要人的主動(dòng)參與（例如：聲音識(shí)別認(rèn)證）。這些認(rèn)證方式涉及面甚廣，包括嵌入式機(jī)器人、汽車、智能家居掃描儀等，生活中多領(lǐng)域引入生物識(shí)別就意味著法律要和實(shí)際情況相結(jié)合，不同的應(yīng)用與針對(duì)不同的群體有著不同的法律規(guī)則。

企業(yè)生物識(shí)別實(shí)施步驟

生物識(shí)別技術(shù)有很多好處，但是這些技術(shù)，法律和道德方面的顧慮不能忽略。安全專業(yè)人員必須在評(píng)估生物特征時(shí)考慮到更廣泛的發(fā)展趨勢(shì)。

無(wú)論公司在生物識(shí)別評(píng)估中的位置如何，建議執(zhí)行以下步驟：

進(jìn)行全面而持續(xù)的盡職調(diào)查。與汽車領(lǐng)域相比，醫(yī)療領(lǐng)域的生物識(shí)別技術(shù)可能面臨威脅以及技術(shù)和法律不同挑戰(zhàn)。全面評(píng)估還涉及跨學(xué)科的方法，將跨多個(gè)領(lǐng)域的專業(yè)知識(shí)融合在一起。

優(yōu)先考慮多因素身份驗(yàn)證。生物識(shí)別技術(shù)是許多不同的潛在身份驗(yàn)證因素之一。其他包括PIN，密碼和問(wèn)題等。雖然使用多個(gè)身份驗(yàn)證因素，會(huì)降低便利性，但出于安全性的角度考慮，建議可以在犧牲較小便利性的情況下，盡可能的選擇生物特征識(shí)別之外的其他因素保持安全性。

尋找靠譜的合作伙伴。生物識(shí)別行業(yè)到處都有開(kāi)發(fā)創(chuàng)新系統(tǒng)和防護(hù)措施的公司，一些公司參加了更廣泛的聯(lián)盟和標(biāo)準(zhǔn)機(jī)構(gòu)。將技術(shù)規(guī)范和原則納入供應(yīng)商評(píng)估。

溝通了解更多相關(guān)問(wèn)題。鑒于生物識(shí)別在技術(shù)、標(biāo)準(zhǔn)、法律、治理和社會(huì)價(jià)值上都存在極大的分散性，因此至關(guān)重要的是，公司必須更廣泛的與使用人員，財(cái)團(tuán)，管理層和公民權(quán)進(jìn)行互動(dòng)。當(dāng)涉及生物識(shí)別時(shí)，安全性問(wèn)題永遠(yuǎn)是站在第一位的。

本文翻譯自：https://jessgroopman.wordpress.com/2020/07/20/biometric-security-concerns-span-technical-legal-ethical/