如今,有数百万个网站和应用程序以及数十亿用户,其中一个用户在各种网站和移动应用程序上拥有多个帐户。估计人类和机器使用的密码数量约为 3000 亿!我们都使用如此多的网站,并试图记住每个密码或在每个其他网站上保留类似的密码。验证用户身份的唯一方法是通过密码或个人识别码 (PIN)。
在一项研究中,据报道接近59% 的用户在任何地方都使用相同的密码!这意味着如果您的一个帐户遭到入侵,所有其他帐户也很容易被黑客入侵!此外, 95% 的网络攻击是由于人为错误造成的,包括设置简单的密码(如字典单词)、在每个站点上使用相同的密码,甚至将密码放在显眼的地方。关于密码最令人震惊的事实之一是,超过91% 的密码可以在 6 小时内破解!这可以通过字典攻击、蛮力、社会工程等来完成。这就是为什么在选择密码时,网站遵循严格的协议或用户必须遵守的一组规则。
为什么制作密码是一场噩梦?
为了使密码更难破解,用户需要选择特定最小长度的密码(某些站点需要至少 13 个字符以防止暴力攻击),大小写字母、数字和特殊字符。他们还被要求在不同的网站上使用不同的密码,并且不允许使用常见的短语和单词,以防止通过字典攻击进行破解。虽然这因此显着提高了安全性,但事实证明,用户经常忘记这些密码并被迫将它们写在明显的地方。
因此,使身份验证更安全的整个目的变得毫无用处,不是因为用户愚蠢,而是因为实际安全机制对普通用户来说用处不大。因此,我们需要研究各种方法来使身份验证过程既安全又易于使用。这将防止泄露用户身份和数据,并且使用起来不会有挑战性。
密码混乱的替代方案
用于通过遗留系统解决身份验证复杂性的方法之一是使用生物特征身份验证。我们越来越多地使用考虑用户生物物理特征的安全机制来取代基于密码、令牌和 PIN 的授权系统。这是因为用户的生物识别凭证,即虹膜、手掌或指纹图案等与用户的行为或生理特征密切相关,因此在高度网络化的社会中难以复制。对于安全性至关重要的实时多门禁系统(例如信用卡系统),它们也更有用(与密码相比更不乏味)、快速(仅需要几微秒来验证)、准确和安全。
生物特征认证如何工作?
要实现生物特征认证,用户首先必须通过提供他们的生物特征凭证在系统中注册。下次授权用户时,这些凭据将作为参考模板。当用户使用他或她的凭据进行身份验证时,凭据首先输入到系统中,称为新模板,然后与参考模板(在用户第一次输入凭据时保存)匹配。这是如何工作的,只有当最近输入的新模板与参考模板相似或足够接近时,才允许用户继续。如果新模板与参考模板在特定程度上不匹配,系统将不会授权用户。
与生物特征认证相关的问题
但是这种生物特征认证方法存在一些挑战。这种生物特征认证的主要问题在于,一旦用户的凭据被盗,就可能导致身份盗用甚至获悉用户的个人信息,并且在泄露后无法保证安全。除此之外,如果用户的生理特征发生变化(一种非常罕见的情况,例如烧伤或割伤手指),那么验证用户是一项非常繁琐的任务。
生物特征认证的进步
由于生物特征认证的这些缺点,设计了隐私保护生物特征认证系统,同时保持准确性不变。生物哈希、密码学、安全多方计算 (SMPC) 和可取消生物识别是保护隐私的生物识别身份验证的示例。在 BioHashing 中,生物特征参考模板向量被一个种子值投影到一个随机子空间中,这反过来又被二值化,而在可取消的生物特征中,凭证可能被扭曲并且对于每个应用程序都是唯一的。 SMPC 是密码学的一部分,它在多方内分配计算,任何一方都不能看到任何其他方的数据。使用保护隐私的生物识别认证不仅可以确保高安全性,还可以提高可用性,并有助于克服遗留系统和简单生物识别系统无法提供的安全挑战。