生物验证家家有,家家都一样?
2024年11月04日
为了应对日益严峻的欺诈和网络攻击威胁,全球范围内的众多机构都采用了生物验证技术。生物识别系统提供的用户体验有目共睹——更便捷也更安全,不过其背后的运作机制却远非表面看起来那么简单。
计算机身份验证的历史可追溯至20世纪60年代——首次引入密码技术。尽管按照现今的标准来看,当时的密码系统相对简单,但这一技术的出现标志着一个关键性的创新,引发了全球范围内保护系统访问权限和数据隐私的运动。
时光飞逝,如今的身份验证方式已经有了显著的变化,它不再局限于基本的账户访问控制,而是囊括了众多因素实现对用户身份安全的全面保护。自21世纪初网上银行兴起以来,全球各地的金融机构都纷纷采用尽可能复杂的技术来验证用户身份,预防欺诈。市场解决方案在需求刺激下快速发展,推出了密码、双因素、多因素和生物特征验证等验证技术。
其中,生物验证技术以其独特简便且更加安全的验证方式不断得到越来越多群体的青睐,不过其背后的运作机制却并不简单。此外,不同供应商的不同生物验证解决方案的技术复杂性和提供的安全级别也各不相同。
接下来,我们将探讨生物验证中使用的不同机制及其优缺点,以及企业如何才能为其平台选择最合适的解决方案。
什么是生物验证?
生物验证,亦称生物识别技术,是网络安全领域中利用用户独有的生物特征(例如指纹、语音、视网膜和人脸)来确认用户身份的一种方法。在用户账户的整个使用周期内,生物验证系统负责存储用户的相关信息,以便在需要时验证其身份,比如解锁手机、登录应用和在网站上进行资金转账等交易。
生物识别验证不仅影响了移动平台,它还在改变机场的安检方式。新加坡、迪拜和西班牙的部分机场不久将实现无护照通行。专家表示,生物识别认证技术的积极实施将有助于缓解入境检查排队的情况,同时还能确保外国游客即使在护照丢失的情况下也能离开该国。
丰富多彩的生物验证方案
通常情况下,生物识别验证是一个总称,指的是通过个人的生物特征信息(如虹膜、指纹、声音、人脸)来验证身份的方法。尽管不同平台上的指纹扫描和面部识别看起来一样,但实际并非如此。近年来,许多国家的政府公开鼓励甚至强制将生物识别作为国家服务或金融服务的验证选项,如澳大利亚、比利时、加拿大、丹麦、爱沙尼亚、印度、荷兰、尼日利亚、新加坡、瑞典、泰国、越南等。生物验证凭借独有的高度便利性和安全性,将会受到越来越多国家的青睐。
终端用户在日常生活中可能会使用的主要生物识别验证机制是服务端验证和客户端(在设备上)验证。
服务器端生物验证
当服务器为客户端的身份验证提供证书时,就会触发这种身份验证机制。服务器端身份验证期间的大部分过程都在服务器上执行,可以进行更复杂的数据处理和分析。
服务器端生物验证通常发生在数字平台的登录过程,此时用户必须输入与服务器上数据库相匹配的数据才可通过验证,比如用户在网上开设新银行账户时。
客户端(设备)生物验证
这种验证机制通常不需要在用户和公共服务器之间共享密码或敏感数据,最常见的就是FIDO(Passkey,通行密钥),可以利用公钥加密技术确保数据安全。与前者不同,因为验证过程本身完全发生在设备上,所以客户端生物验证处理和分析数据的能力有限。常见应用场景有数字平台登录和线上信用卡支付。
在Visa和Mastercard等国际信用卡组织的推动之下,FIDO设备生物验证有望成为安全支付的未来趋势。
哪个是您的最佳选择?
由此可见,服务器端和客户端生物特征验证各有其独特优势,服务于特定目的,之间的主要区别在于数据处理和存储的位置以及方式。服务器端数据处理功能更高级,不过因为大部分数据都是集中存储,安全风险也更高。客户端则是将敏感数据保留在本地设备上,能够更好地保护用户隐私和数据安全,验证流程更加快速且安全,但数据处理能力相对有限。
| 服务器端生物验证 | 客户端生物验证 | |
|---|---|---|
| 数据处理 | 发送到远程服务器处理 | 在本地处理 |
| 存储 | 生物数据存储在服务器 | 生物数据存储在本地设备 |
| 验证过程 | 服务器进行数据匹配 | 设备进行数据匹配 |
| 安全风险 | 数据泄露风险较高 | 大规模违规风险较低 |
| 交互性 | 因部署方式而异 | 通过移动操作系统API实现,标准化程度更高 |
作为解决方案提供商,我们建议您在选择某一种身份验证机制前,先确定自己的目的和需求。如果您不介意将数据共享到远程服务器,想拥有更强大的数据处理功能和比较算法技术,那服务器端身份验证可能更适合您。不过,如果您的优先事项是保护平台和身份验证流程,避免数据泄漏,强调用户隐私安全,希望响应时间更短,那客户端生物身份验证则更加合适。
我们为客户端身份验证机制提供FIDO服务
20 多年来,我们一直致力于研发高质量产品,成功推出了一系列自主研发的的产品和服务,且获得了国际认证。近年来,在线欺诈带来的威胁和损失日益增加,促使众多提供商对其用户身份验证和系统保护方法进行完善。
我们认为,终端用户或消费者的忠诚度是影响企业成功与否的一大因素。因此我们不仅致力于保护我们的客户,还在致力于保护客户的客户。
利用公钥加密机制的强大功能,结合FIDO联盟全球认证的开源协议规范,我们的FIDO解决方案能够为客户提供足够安全且以用户为中心的身份验证解决方案,实现平台免密验证。
FIDO的工作原理
在用户注册FIDO的过程中,系统会生成一对公私钥对,其中,私钥存储在用户设备上,公钥则存储在公共服务器上,两者都具有端到端加密的特点,能够在攻击发生时确保数据安全。
利用去中心化模型,生物数据的处理过程完全发生在用户设备上,如智能手机、安全密钥或内置生物识别传感器的计算机等,设备上的安全硬件模型(如可信平台模块TPM或安全区域)可以保护数据安全。在这一过程中,私钥会对来自服务器的加密质询进行签名,随后服务器上的公钥负责对签名信息进行验证。
安全优势
防网络钓鱼:由于私钥和生物特征数据始终存储在用户设备上,网络钓鱼攻击或服务器端违规不会危及用户的生物特征数据。
生物数据本地处理:将生物识别数据处理实现本地化,最小化数据被盗风险,即使服务器受到威胁也能独善其身。
数据不共享:与服务器端生物验证不同,FIDO框架下客户端和服务端之间没有共享敏感数据(例如生物模板),消除了隐私数据泄露的风险。
结论
综上所述,“哪里的生物验证都一样吗?”这个问题的答案显而易见是否定的,不同的生物验证解决方案,具有不同的优点和缺点。此外方案选择没有对错之分,只有哪个最合适。
在HiTRUST,我们可以为您提供专业技术支持,帮助您提升自己的服务品质,优化终端用户的使用体验。我们会与您一起共同迎接线上支付安全的挑战,共同迈入数字安全新时代。