[ad_1]
Sinh trắc học được cho là một trong những nền tảng của hệ thống xác thực hiện đại. Nhưng nhiều triển khai sinh trắc học (cho dù đó là quét vân tay hay nhận dạng khuôn mặt) có thể cực kỳ không chính xác và điều tích cực duy nhất để nói về chúng là chúng còn hơn không.
Ngoài ra — và điều này có thể chứng minh là rất quan trọng — thực tế là sinh trắc học bị coi là rất chính xác có thể đủ để ngăn chặn một số nỗ lực gian lận.
Có nhiều lý do thực tế khiến sinh trắc học không hoạt động tốt trong thế giới thực và một bài đăng gần đây của một chuyên gia an ninh mạng tại KnowBe4, một nhà cung cấp dịch vụ đào tạo nhận thức về bảo mật, đã bổ sung thêm một lớp phức tạp mới cho vấn đề sinh trắc học.
Roger Grimes, một nhà truyền bá quốc phòng tại KnowBe4, đã viết trên LinkedIn về xếp hạng đánh giá của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Như anh ấy giải thích: “Bất kỳ nhà cung cấp sinh trắc học hoặc người tạo thuật toán nào cũng có thể gửi thuật toán của họ để xem xét. NIST đã nhận được 733 lượt gửi để đánh giá dấu vân tay và hơn 450 lượt gửi để đánh giá nhận dạng khuôn mặt. Các mục tiêu về độ chính xác của NIST phụ thuộc vào quá trình xem xét và kịch bản đang được thử nghiệm, nhưng NIST đang tìm kiếm mục tiêu về độ chính xác khoảng 1:100.000, nghĩa là một lỗi trên 100.000 lần thử nghiệm.
Grimes viết, tóm tắt kết quả của NIST: “Cho đến nay, không có ứng cử viên nào được gửi đến gần như vậy. “Các giải pháp tốt nhất có tỷ lệ lỗi là 1,9%, nghĩa là cứ 100 bài kiểm tra thì có gần 2 lỗi. Điều đó khác xa so với 1”. :100.000 và chắc chắn không ở đâu gần với con số mà hầu hết các nhà cung cấp đưa ra. Tôi đã tham gia vào nhiều triển khai sinh trắc học trên quy mô lớn và chúng tôi thấy tỷ lệ lỗi — dương tính giả hoặc âm tính giả — cao hơn nhiều so với những gì NIST đang thấy trong trường hợp tốt nhất của họ kiểm tra tình trạng phòng thí nghiệm kịch bản. Tôi thường thấy lỗi ở tỷ lệ 1:500 hoặc thấp hơn.”
Hãy để điều đó chìm trong một khoảnh khắc.
Trong thử nghiệm độc lập, nhiều sinh trắc học đơn giản là không thực hiện chính xác lời hứa của chúng. Ngoài ra, nhiều nhà cung cấp, bao gồm cả Apple (iOS) và Google (Android), đưa ra các lựa chọn tiếp thị trong cài đặt của họ, nơi họ chọn mức độ xác thực nghiêm ngặt hoặc nhẹ nhàng. Họ không muốn nhiều người bị khóa điện thoại của họ một cách không đúng cách, vì vậy họ chọn làm cho nó ít nghiêm ngặt hơn, có tác dụng bật đèn xanh cho số lượng người truy cập trái phép cao hơn vào thiết bị.
Bạn có nhớ những video cho thấy điện thoại cho phép trẻ em hoặc anh chị em của người dùng điện thoại khi sử dụng tính năng nhận dạng khuôn mặt không? Đó là một lý do lớn tại sao.
Một yếu tố quan trọng khác là độ chính xác lý thuyết so với độ chính xác trong thế giới thực. Hãy xem xét hai phương pháp xác thực điện thoại phổ biến: nhận dạng khuôn mặt và dấu vân tay. Về lý thuyết, nhận dạng khuôn mặt sáng suốt hơn nhiều vì nó có thể xem xét số lượng điểm dữ liệu lớn hơn. Tuy nhiên, trong thực tế, điều đó thường không xảy ra.
Bạn đã thấy bất kỳ trẻ em hoặc anh chị em nào truy cập điện thoại thông qua dấu vân tay chưa? Nhận dạng khuôn mặt phải đối phó với ánh sáng, mỹ phẩm, thay đổi kiểu tóc và hàng chục yếu tố khác. Không ai trong số đó đang chơi khi sử dụng nhận dạng vân tay.
Ngoài ra còn có một vấn đề khoảng cách. Với tính năng nhận dạng khuôn mặt, thiết bị cần có khoảng cách chính xác so với khuôn mặt để đọc chính xác — không quá gần, không quá xa. Cá nhân tôi sử dụng iPhone có Face ID và tôi thường gặp lỗi 60%. Sau đó, tôi điều chỉnh sự khác biệt một chút và — nếu tôi may mắn — điện thoại của tôi sẽ mở khóa. (Một lần nữa, đây không phải là vấn đề với dấu vân tay.)
Lưu ý bên lề: tại sao nhiều ứng dụng ngân hàng xử lý việc quét séc (vâng, một số công ty vẫn sử dụng séc) theo cách tinh vi hơn? Ứng dụng thường sẽ yêu cầu bạn “di chuyển điện thoại lại gần” hoặc “di chuyển trở lại” trước khi chụp ảnh kiểm tra. Tại sao nhận dạng khuôn mặt không thể làm điều tương tự?
Cũng đừng quên rằng từ góc độ xác thực, rất nhiều triển khai sinh trắc học là một trò đùa. Tại sao? Bởi vì khi xác thực sinh trắc học không thành công, quyền truy cập sẽ mặc định là mã PIN của điện thoại.
Nói cách khác, nếu một tên trộm muốn đánh cắp thông tin sinh trắc học, tất cả những gì kẻ đó phải làm là thất bại một hoặc hai lần và sau đó xử lý mã PIN dễ bẻ khóa hơn. Vấn đề ở đây là gì? Rõ ràng là các nhà cung cấp điện thoại lớn sử dụng sinh trắc học ít hơn để xác thực hoặc an ninh mạng hơn là để thuận tiện. Đó là một cách để truy cập thiết bị mà không cần phải nhập mã PIN.
Nghe có vẻ lỏng lẻo, Grimes lập luận rằng tình hình có thể còn tồi tệ hơn. “Các bài kiểm tra của NIST là tình huống tốt nhất. Tất cả chúng đều không chính xác một cách ghê gớm. An ninh được hứa hẹn quá mức trong hầu hết mọi tình huống,” ông nói trong một cuộc phỏng vấn.N phỏng vấn.
Grimes cũng bày tỏ lo ngại về bản chất không thay đổi của sinh trắc học. Nếu mật khẩu hoặc mã PIN bị xâm phạm, bạn có thể dễ dàng tạo mật khẩu hoặc mã PIN mới. Ngay cả một mã thông báo vật lý cũng có thể được thay thế. Vậy điều gì sẽ xảy ra nếu sinh trắc học bị xâm phạm? Bạn không thể dễ dàng thay đổi khuôn mặt, võng mạc, giọng nói hoặc dấu vân tay của mình.
“Một khi bị đánh cắp, làm thế nào để bạn lấy lại chúng?” Grimes cho biết thêm rằng dữ liệu sinh trắc học kỹ thuật đảo ngược là hoàn toàn có thể.
Vấn đề mấu chốt ở đây là nhận thức và đặc tính. Những nỗ lực sinh trắc học này, như hiện đang được triển khai, không chỉ là sự tiện lợi. (Đừng hiểu sai ý tôi; vốn là một người lười biếng, tôi cực kỳ yêu thích sự tiện lợi.) Nhưng chúng được cung cấp dưới dạng phù hợp với an ninh mạng. Và kết quả là, người dùng và các nhà công nghệ sẽ dựa vào sinh trắc học như một biện pháp bảo vệ.
Có rất nhiều cách để triển khai sinh trắc học một cách an toàn. Quét võng mạc thường an toàn và dấu vân tay hoạt động tốt đối với những người có dấu vân tay có thể quét đúng cách. Nhưng sinh trắc học giọng nói, hiện đang được sử dụng bởi nhiều tổ chức tài chính, vẫn còn quá dễ để làm giả.
Điều này đưa chúng ta trở lại các quyết định cài đặt. Nếu các cài đặt đủ nghiêm ngặt, thì ngay cả nhận dạng khuôn mặt cũng có thể trở thành một cơ chế bảo mật. Nói tóm lại, sinh trắc học là một tiện ích tốt. Là một biện pháp bảo vệ an ninh, hầu hết các triển khai ngày nay không cắt giảm nó.
Bản quyền © 2022 IDG Communications, Inc.
[ad_2]