我领导的生物认证指南

“生物特征提供了一个独特的人类用户身份验证的基础,人们无需记住随机字符串或携带特定设备,”说蚂蚁艾伦Gartner分析师,副总裁。“生物认证提供了更好的用户体验,以及增加问责作为生物特征不容易共享。”

安全领导负责我和欺诈的预防可以采用生物认证在各种用例。使用这些问题确定和生物识别技术如何满足当前和未来的认证需求。

生物认证是什么?

生物认证方法使用独特的个人特质证实一个人的的身份,使访问数字资产。这通常是通过一对一的比较,试图匹配,说,一张脸或指纹图像与人的记录,而不是让系统确定身份通过搜索一系列候选人之一。生物认证可以作为替代或辅助其他身份验证方法,它通常是用来实现无密码认证。

特征可以用什么?

为验证是有用的,生物特征必须是独一无二的,持久的和可衡量的。此外,必须能够捕获一个示例(一个图像或记录)的特点和提取识别数据的方式保留了它的独特性。

形态特征(如脸、指纹、虹膜、静脉)变化非常缓慢,通常是不变的。然而,捕捉他们似乎侵入对一些人来说,有些人可能会发现专业传感器难以使用。

行为特征(例如,手势,击键、语音)不太稳定,随着时间变化,通常需要多个交互来确定一个可靠的基线。他们也随着年龄的变化,压力,伤害和疾病。

方法将两个或两个以上的不同的特征,如的脸和声音,被称为多通道的方法。一个“非此即彼”的方法为用户提供一个选择的模式,可以提高用户体验,提供人们与另一种模式,他们可能无法使用可靠或不愿使用,提高信任和责任。或者,可以使用两种模式结合在一起,提高安全,但这种方法通常不能满足监管要求,两因素身份验证的需求。

了解更多:2021年安全与风险管理首要任务的领导者

生物认证如何不同于其他身份验证方法吗?

生物认证方法从nonbiometric不同技术方法,如密码或密钥,在两个重要方面:

• 随机变异。捕获的生物特征数据略有不同从一个时间到另一个地方。因此,派生的“调查”数据永远不会“参考”数据的精确匹配,因此比较过程是模糊的。例如,考虑使用你的手指来解锁你的移动设备——手指的角度和确切位置每次可能稍有不同,但身份验证仍然工作。
• 不依赖共享秘密。生物认证并不依赖于生物特征的保密,而是依赖于模仿的难度活着的人展示设备的特点。

生物认证的好处是什么?

生物识别方法可以提供更好的用户体验和更高的信任比其他基于证书的方法。特别是,生物识别技术提高个人责任,个人特质不容易共享密码和令牌。然而,生物识别技术的实际好处取决于所使用的特征,以及配置、性能和精度。没有生物认证的解决方案可以提供100%的成功率,所以总是会有一个安全性和用户体验之间的权衡。

例如,面部识别,如果匹配阈值很低,一个人不太可能被锁定的设备,但有更高的几率,别人能够解锁装置。用户体验也可以因人而异;例如,指纹是长期的生物模式的选择,但是许多用户指纹模式有问题的一些时间,和一些用户无法可靠地使用这些。

安全性和用户体验之间的权衡是广泛适用于任何身份验证技术。我领导人必须确定生物认证方法安全性和用户体验之间取得平衡,符合企业的风险承受能力和业务的预期。

生物认证的风险是什么?

像任何其他身份验证技术,数据的完整性和可用性和技术组件,以及系统数据的机密性,是至关重要的。

特定生物认证我领导人必须注意的风险包括:

• 隐私。被认为是敏感的个人信息,生物识别数据和人们的隐私权利必须根据相关的隐私立法保护。我的领导人还必须考虑“跟踪”的因素。
• 的性能。每个生物的真实性能模式可以取决于多种因素。例如,与人脸识别、贫穷的环境照明和相机质量差可以很难获取可用的图像。
• 演讲的攻击。生物认证依靠冒充一个活生生的人的困难。攻击者可能进行演示攻击,使用照片,视频,面具或录音,模仿一个目标。因此,一个健壮的生物方法必须包含有效表示攻击检测(PAD)或“活性测试”来减轻这种风险。
• 平台的攻击。有重大风险的端到端安全性生物认证平台。安全领导人必须评估漏洞和风险介绍了设计、施工、操作、滥用或错误配置的平台。

阅读更多:4根柱子的特权访问管理

潜在的生物认证用例是什么?

生物认证可以使用多种方式在全球行业纵向市场。当前企业用例包括:

• Windows电脑和网络登录
• 移动设备登录
• 远程网络、web和云访问
• 职责分离和电子签名
• 手机银行
• 来电显示和欺诈检测中心联系

生物识别方法可以使无密码认证单独或与其他方法相结合。与phone-as-a-token集成身份验证无密码多因素身份验证——“移动MFA”——将在员工用例可能占主导地位。

我和欺诈领导人考虑生物认证必须评估上述每个在确定价值定位的问题。识别用例,生物认证可以满足需要改善用户体验,信任和责任,从而加快改变业务流程或实现法规遵从性优于传统的方法。