生物特徵認證的創新洞察

與其他基於憑證的方法相比，生物特徵身份驗證具有獨特的優勢，但仍有重大障礙需要協商。以身分識別與存取管理和欺詐檢測為重點的安全和風險管理領導者應選擇生物識別方法。

概述

主要發現

• 生物特徵認證在市場上具有很高的知名度。與其他基於憑證的方法相比，生物識別方法承諾提供更好的用戶體驗      (UX)、信任和問責制優勢，並且可以單獨或與其他方法結合使用無密碼身份驗證。

• 設備原生生物識別方法在新手機、平板電腦和個人電腦中幾乎無處不在。它們很容易整合到APP、基於瀏覽器的應用程式、Microsoft Windows 和 Azure AD 生態系統以及智能手機的專有身份驗證器應用程式中。

• 第三方生物識別方法可以更好地控制註冊和配置、更好的管道支持以及與身份驗證的整合。

• 獨立於設備的第三方生物識別方法可以透過為可能因市場強調智能手機、平板電腦或      PC 所有權而被邊緣化的客戶和公民提供可訪問的身份驗證選項，從而解決多樣性、公平性和包容性問題。

建議

負責身份識別和存取管理 (IAM) 和欺詐檢測的安全和風險管理負責人應該：

• 透過在包括身份生命週期事件在內的各種使用案例（包括身份生命週期事件，而不僅僅是交互式登錄）中單獨實施生物識別或與其他憑據結合實施，改善員工和客戶的身份驗證      UX 或增強信任和責任感。

• 透過反映目標人群的多樣性和個人偏好，公開和透明地保存哪些數據及其使用方式，並參與外展以解決人們的擔憂，從而推動生物識別認證得到最廣泛的接受。

• 透過滿足監管盡職調查要求、選擇能夠提供強大數據安全性和展示真實人類存在的技術以及支持隱私保護部署選項來充分滿足隱私和安全需求。

介紹

用戶身份驗證是身份優先安全的基礎，也是 IAM 和欺詐檢測的領導者的當務之急。身份驗證必須在身份聲明中提供足夠的可信度，以將帳戶接管 (ATO) 和其他數字身份風險納入組織的風險承受能力範圍內。

與其他兩種類型的身份驗證憑證（知識和擁有）不同，生物特徵是個人固有的，因此為身份驗證提供了獨特的人類基礎。

生物特徵不能輕易共享或竊取，從而增加信任和責任感。它們的使用可能使人們不必記住密碼，從而增強用戶體驗。

描述

生物特徵認證使用獨特的行為或形態特徵來為個人聲稱的身份提供可信度，該身份已為交互式訪問電子或數字資產而建立。

生物特徵認證通常使用一對一的比較（“驗證”）來支持身份聲明。很少有一種方法使用一對多搜索（“識別”），其中人呈現生物特徵，系統從更大的人群中找到一個或多個候選匹配。

生物特徵認證在技術上與非生物特徵認證不同，使用密碼或加密密鑰，例如，在兩個重要方面：

• 隨機變化

• 不依賴共享秘密

好處和用途

生物特徵認證（使用主動模式）可以：

• 廣泛用於員工和客戶身份驗證的使用案例。

• 單獨使用或作為多重要素驗證      (MFA) 的一個元素使用。

• 啟用無密碼身份驗證。

• 提高信任和問責制。

• 改善用戶體驗。

被動模式可以：

• 用於在線欺詐檢測      (OFD)，減少誤報，從而改善客戶      UX。

• 在自適應訪問中啟用持續自適應信任      (CAT)。⁶

風險

與任何其他身份驗證技術一樣，數據和技術組件的完整性和可用性以及系統數據的機密性至關重要。

實施生物特徵身份驗證的 IAM 和欺詐領導者還必須注意下面列舉的具體風險。這些風險很少是無法克服的，減輕它們的成本通常可以透過生物特徵認證可以產生的安全性和用戶體驗收益來證明。

隱私：

• 隱私法通常被視為障礙，強制性數據安全控制被視為主要障礙。根據相關的國際和國家法律法規，企業可能有義務：

• 對生物識別技術的使用和設計決策進行盡職調查，例如進行合法利益評估       (LIA)。

• 實施具體的組織和技術安全措施。

• 正確告知有關人員。

• 徵求客戶同意。

• 進行隱私影響評估       (PIA) 或類似的。

用戶接受度：

• 智能手機上指紋和臉部的廣泛採用顯著提高了用戶的接受度。然而，由於各種擔憂，有些人可能仍然認為生物識別技術的使用令人反感，例如：

• 他們的生物特徵數據被暴露的風險。

• 害怕被監視，特別是考慮到在監視中使用生物識別技術。

• 人口偏見和潛在的歧視。

• 宗教、文化和公民權利異議。

演示攻擊：

• 攻擊者可能使用演示攻擊，使用某種“傳真”來冒充目標。因此，穩健的方法必須包含有效的演示攻擊檢測      (PAD)，非正式地稱為“活動檢測/測試”。

• 供應商的      PAD 聲明需要仔細審查。詳盡的評估超出了大多數買家的能力。有一些產品認證計劃，但在全球範圍內並不一致。

• 一些      PAD 技術會增加摩擦，削弱用戶體驗的好處。額外的身份驗證因素和訊號，尤其是在      CAT 框架內，可以進一步降低演示攻擊風險，但也可能降低用戶體驗。

沒有“重置”：

• 對生物特徵認證的一個常見批評是，“你不能重置指紋”（或其他特徵），表面上如果攻擊者捕獲或複製樣本，它就會失效。

• 這忽略了實時展示特徵的重要性；也就是PAD的必要性。

非生物特徵選項：

• 例如Windows      Hello企業版      (WHfB)，默認提供生物特徵認證的非生物特徵替代方案，通常是      PIN，它不能提供相同的信心或責任。但是，如果      UX 是主要驅動因素，這可能是可以接受的。

表現：

• 可用性和可靠性模式、人群和用例而異，限制了任何單一技術的成功。

• 在      COVID-19 大流行期間戴口罩的規定抑制了面部的使用，從而激發了人們對眼周 (periocular      face) 的替代模式的興趣。

人口偏見：

• 性能可能會因人類群體的生理差異或比較和匹配算法的限制而有所不同，尤其是在訓練數據未反映預期用戶群體的多樣性時使用機器學習的方法中。

• 這種人口統計偏見會歧視某些群體，損害安全性和用戶體驗。

設備原生生物特徵認證的限制：

• 所有人的用戶體驗不一致，尤其是那些沒有生物識別設備的人。

• 設備供應商設置的匹配閾值，可能有利於用戶體驗而不是安全性。

• 不確定（未聲明）的性能和      PAD 特性。

• 對註冊缺乏控制。（WHfB      是一個明顯的例外。）

• 依賴於設備開機密碼（即非生物特徵驗證選項）。

平台攻擊：

注入攻擊比演示攻擊更具可擴展性，並且可能帶來更大的風險。

IAM 和欺詐檢測領導者必須評估在平台的設計、構建、操作、濫用或錯誤配置中引入的漏洞和風險。