我的第一份安全工作——实际上也是我毕业后的第一份工作——是为一家生物识别公司工作. 那份工作有很多好处:工作很有趣, 有才能的工程师(我们大多数都是刚毕业的), 我们有一个很酷的项目要做. 不过,这也有一些缺点. 例如, 这让我对实际的生物识别应用产生了怀疑——至少在我自己实际使用它们的时候.
别误会我, I was still an avid follower and fan of biometrics technology for years; I piloted it, 部署它, 提倡它, 等. 但在第一份工作之后的几年甚至几十年里,我完全拒绝使用它. 对于直接负责构建和部署该技术的人来说,这听起来可能令人惊讶, 但我想当你听到原因的时候, 你会明白为什么.
具体来说,我工作的公司是一家初创公司. 任何在创业公司工作过的人都可以证明这一点, 预算可能很薄——而且, 结果是, 到了制作营销材料的时候, 作为市场推广的一部分,我们使用了一张未经修改的我右手食指的照片. 你知道,你看到过生物识别公司有时会把指纹作为他们的标志或营销光泽的一部分? 我们公司使用的图像恰好是我的指纹. 直到今天, 如果你知道去哪里找的话, you can still find it; I won’t tell you how, 但相信我,它还在那里. 网站上有我的指纹, 关于营销的光泽, 在电视上直播了吗, 还出现在了名片上.
公开发布你的高分辨率指纹图像会给你带来一件事,那就是让你担心指纹可能会被滥用. 例如, 我很清楚有人会如何将这个图像注入我们的系统(或类似的系统),并欺骗系统以我的身份登录. 做了这些例行工作(为了测试和QA目的), 我知道这是可能的——甚至很有可能.
更令人怀疑的是,与我一起工作的工程团队想出了一些额外的技术来欺骗系统. 例如, 我们使用的读卡器使用的是平滑的, 玻璃模板(现在几乎从未用于认证系统). 有时——大约四分之一的时间——会在模板上保留一层油膜,与上次扫描的指纹脊完全一致. 适当地涂上阴影,涂上一些灰尘或磨碎的铅笔芯, 你可以用这种油来欺骗摄像机,让它认为这是一次合法的拍摄. “活体检测”当然是一种选择, 但坦率地说,它太“挑剔”了(会大大增加误拒率),没有人在实践中使用它.
威胁模型的变化
我告诉你这一切的原因是,我认为随后发生的一些事情说明了一个重要的问题——威胁模型的变化会对特定目的使用特定技术的安全性(或不安全性)产生重大影响.
I say this because it happened to me with biometrics; I’ve gone from “avid skeptic” to “avid user.“我用它登录我的笔记本电脑, 我的电话, 我手机上各种各样的应用程序(密码管理器之类的), 有时甚至是为了进入安全设施. 简而言之,障碍消失了.
什么改变了? 毕竟,指纹图像仍然存在. 确定, 这项技术已经发生了一些变化——现在大多数阅读器都是电容式的,而不是光学式的, 而且提取方法(比如指纹是如何处理和比对的)也更好更快. 但这个过程的本质仍然是非常相同的:指纹被渲染到细节并存储, 对随后的细节提取进行比较, 一个决定(是相同的还是不同的指纹)?)呈现. 现在不同的是威胁模型.
威胁模式的转变有几个原因. 以手机为例, 指纹取代了个人识别码或密码来获取设备本身的访问权限——我的笔记本电脑也是如此. 意义, 为了误用或试图欺骗生物识别,除了指纹之外,人们还需要真正的设备本身. 这不是一个远程登录场景,如替换我的网络/域密码或使用它登录到一个网站或远程资源. 我是否担心有人下载并使用我的指纹登录我的手机? 只要他们真的需要偷我的手机或笔记本电脑就行. 在我看来,任何不厌其烦地窃取我的设备的人都可以通过其他方式轻松登录,从而省去麻烦.
对于进入安全设施的实际物理入口,威胁模型也与我无关. 除了使用单一的生物特征(如手的几何形状或指纹)之外,还有许多其他的支持控制。. 他们可能也在看我的身份证, 我需要知道个人识别码或密码, 佩戴的徽章, 如果我看起来可疑,他们会把我赶出去. 这是一个链条中的一个环节,其中的几个元素都必须失效才能导致坏事发生.
我想说的是,威胁模型决定了控制的适宜性,可能意味着技术安全与否的区别, 控制是否充分, 以及应用程序部署是否可行. 换句话说, 将我们的部署——以及我们如何降低风险——建立在可能在现场合理遇到的特定威胁情景的基础上是至关重要的. 这就是为什么系统的和熟练的威胁建模(使用任何你喜欢的模型)是如此重要和, 在我看来, 为什么更多人应该这么做. 事实上, 如果我花时间对整个“指纹图像营销”命题进行威胁建模, 我可能会(明智地)拒绝. 威胁模型可以改变(变得更危险或更安全),这取决于给定技术的使用方式和位置,或者给定控制的操作方式和位置. 了解这些因素是什么——以及它们何时发生变化——绝对会提供价值.
