Biometric Security: Your Body as
Your Password
Bảo mật sinh trắc học: Dùng cơ thể của bạn làm mật khẩu
của bạn
Login IDs and passwords have been
used to access computer and mobile device systems for 65 years, and security
professionals say the venerable approach is showing its age.
ID đăng nhập và mật khẩu đã được sử dụng
để truy cập vào các hệ thống máy tính và thiết bị di động trong 65 năm, và các
chuyên gia bảo mật cho biết cách tiếp cận đáng kính này đang bị lỗi thời.
Late in 2016, for example, Yahoo
announced what may rank as one of the largest data breaches in history, with
the details of at least 500 million accounts reported stolen.
Ví dụ, vào cuối năm 2016, Yahoo đã
công bố điều có thể được xếp hạng là một trong những vụ vi phạm dữ liệu lớn nhất
trong lịch sử, với chi tiết ít nhất 500 triệu tài khoản được báo cáo bị đánh cắp.
Security researchers and technology
companies are working on methods to better protect users’ information.
Biometric security has proven to be an effective and convenient way to bolster
security, especially on mobile devices, which have the technology (cameras and
fingerprint readers) built-in.
Các nhà nghiên cứu bảo mật và các
công ty công nghệ đang nghiên cứu các phương pháp để bảo vệ thông tin của người
dùng tốt hơn. Bảo mật sinh trắc học đã được chứng minh là một cách hiệu quả và
tiện lợi để tăng cường bảo mật, đặc biệt là trên các thiết bị di động được tích
hợp công nghệ này (camera và đầu đọc dấu vân tay).
Biometric security has been around
for years, but didn’t really take off until Apple introduced a relatively
easy-to-use fingerprint reader on the iPhone 5S in 2013. By 2016, mobile
customers of financial services firm USAA were able to choose among three
biometric authentication methods: facial recognition, fingerprint, and voice
recognition.
Bảo mật sinh trắc học đã xuất hiện
trong nhiều năm, nhưng không thực sự phát triển cho đến khi Apple giới thiệu một
đầu đọc dấu vân tay tương đối dễ sử dụng trên iPhone 5S vào năm 2013. Đến năm
2016, khách hàng di động của công ty dịch vụ tài chính USAA đã có thể lựa chọn
trong số ba các phương pháp xác thực sinh trắc học: nhận dạng khuôn mặt, vân
tay và giọng nói.
Conor White, Daon
With more than 2 million users, the
company’s biometric security program has proved quite popular, says Conor
White, president of the Americas for Daon, a maker of identity assurance
software that counts USAA as a customer.
Với hơn 2 triệu người dùng, chương
trình bảo mật sinh trắc học của công ty đã tỏ ra khá phổ biến, Conor White, chủ
tịch khu vực châu Mỹ của Daon, nhà sản xuất phần mềm đảm bảo danh tính coi USAA
là khách hàng đã cho biết.
Experts say that mass adoption of
biometric security could prevent breaches such as the one at Yahoo. That’s
because biometric data is not stored on a centralized, potentially hackable
server in a data center. It’s also more convenient, as a fingerprint swipe is
quicker than entering a password containing numbers and characters on a small
screen.
Các chuyên gia nói rằng việc áp dụng
hàng loạt công nghệ bảo mật sinh trắc học có thể ngăn chặn các vi phạm như ở
Yahoo. Đó là do dữ liệu sinh trắc học không được lưu trữ trên một máy chủ tập
trung, có khả năng bị tấn công trong trung tâm dữ liệu. Nó cũng thuận tiện hơn,
vì thao tác vuốt bằng vân tay nhanh hơn so với nhập mật khẩu có chứa số và ký tự
trên màn hình nhỏ.
While biometric security is harder to
hack and potentially more convenient than password protection, the technology
must still overcome user inertia as well as some growing pains to challenge
passwords and gain widespread usage on mobile devices.
Mặc dù bảo mật sinh trắc học khó bị
hack hơn và có khả năng thuận tiện hơn bảo vệ bằng mật khẩu, nhưng công nghệ
này vẫn phải vượt qua sức ì của người dùng cũng như một số khó khăn ngày càng
tăng để thách thức mật khẩu và được sử dụng rộng rãi trên các thiết bị di động.
Private Cryptographic Keys
Khóa mật mã riêng
Mobile biometrics are fundamentally
different from traditional security in that “it’s all about liveness
detection.” In other words, the objective is to make sure that the person
holding the phone is a real person and not a fake or an imposter. “You cannot
do that with a password,” says White.
Sinh trắc học trên thiết bị di động về
cơ bản khác với bảo mật truyền thống ở chỗ “tất cả là về phát hiện sự sống”.
Nói cách khác, mục tiêu là để đảm bảo rằng người cầm điện thoại là người thật
chứ không phải là kẻ giả mạo hay kẻ mạo danh. White nói: “Bạn không thể làm điều
đó với mật khẩu.
What’s more, biometric data is not
stored in any identifiable way on the mobile device. Instead, it’s stored in a
protected area of the device. The only data that is sent over the cellular or
Wi-Fi network is a private cryptographic key that certifies the user’s
identity.
Hơn nữa, dữ liệu sinh trắc học không
được lưu trữ theo bất kỳ cách nhận dạng nào trên thiết bị di động. Thay vào đó,
nó được lưu trữ trong một khu vực được bảo vệ của thiết bị. Dữ liệu duy nhất được
gửi qua mạng di động hoặc mạng Wi-Fi là khóa mật mã riêng tư xác nhận danh tính
của người dùng.
Elements of an authentication
platform. Image source: Daon
Các yếu tố của một nền tảng xác thực.
Nguồn hình ảnh: Daon
Once a user has set up biometric
security on his or her device (via Apple’s Touch ID for fingerprints, for
example), an app like PayPal can leverage it for authentication.
Một khi người dùng đã thiết lập bảo mật
sinh trắc học trên thiết bị của họ (ví dụ: thông qua Touch ID của Apple để lấy
dấu vân tay), một ứng dụng như PayPal có thể tận dụng nó để xác thực.
“When you swipe your finger, the
system has verified that it is PayPal who’s asking,” says Rajiv Dholakia, vice
president products and business development at Nok Nok Labs, a biometric
authentication software company.
Rajiv Dholakia, phó chủ tịch phụ
trách sản phẩm và phát triển kinh doanh tại Nok Nok Labs, một công ty phần mềm
xác thực sinh trắc học, cho biết: “Khi bạn vuốt ngón tay của mình, hệ thống đã
xác minh rằng đó chính là PayPal.
Rajiv Dholakia, Nok Nok Labs
Dholakia says that it will look for
the PayPal private key, then find the challenge that has been sent from the
PayPal server, and then respond to that challenge with the private key. It can
then be verified by PayPal on the server that this is indeed the expected user
and device. “All of the biometrics remain on the client side; nothing has come
up stream,” Dholakia says. (PayPal is a Nok Nok customer.)
Dholakia nói rằng họ sẽ tìm kiếm khóa
cá nhân PayPal, sau đó tìm thử thách đã được gửi từ máy chủ PayPal và sau đó trả
lời thử thách đó bằng khóa cá nhân. Sau đó, PayPal trên máy chủ có thể xác minh
rằng đây thực sự là người dùng và thiết bị được mong đợi. “Tất cả các sinh trắc
học vẫn ở phía khách hàng; Dholakia nói. (PayPal là khách hàng của Nok Nok.)
Mobile Biometric Data Security
Bảo mật dữ liệu sinh trắc học trên
thiết bị di động
Due to the way they’re stored and
protected (sometimes in clear text), user IDs and passwords can be compromised,
sometimes in alarming numbers. Biometric data is not stored in an identifiable
way on a mobile device, so even if a hacker obtains the device the information
is almost impossible to retrieve.
Do cách chúng được lưu trữ và bảo vệ
(đôi khi ở dạng văn bản rõ ràng), ID người dùng và mật khẩu có thể bị xâm phạm,
đôi khi ở số lượng đáng báo động. Dữ liệu sinh trắc học không được lưu trữ theo
cách có thể nhận dạng trên thiết bị di động, do đó, ngay cả khi một hacker lấy
được thiết bị, thông tin gần như không thể lấy được.
The fingerprint-matching system on an
iPhone is a “standalone thing,” says Dr. Mikhail Gofman, an associate professor
and director of the College of Engineering and Computer Science Center for
Cybersecurity at California State University-Fullerton. The iPhone’s Secure
Enclave processor protects fingerprint data at the hardware level. “It cannot
really exchange any data with the main system so they have a very strict
communication channel,” he says. iOS, the iPhone’s operating system, is
effectively cut off from biometric data, making hacking it difficult.
Tiến sĩ Mikhail Gofman, phó giáo sư
và giám đốc của Trung tâm Khoa học Máy tính và Kỹ thuật Máy tính về An ninh mạng
tại Đại học Bang California-Fullerton, cho biết. Ông nói: “Bộ xử lý Secure
Enclave của iPhone bảo vệ dữ liệu vân tay ở cấp độ phần cứng. Nó thực sự không
thể trao đổi bất kỳ dữ liệu nào với hệ thống chính vì vậy chúng có một kênh
liên lạc rất chặt chẽ. iOS, hệ điều hành của iPhone, bị loại bỏ một cách hiệu
quả khỏi dữ liệu sinh trắc học, khiến việc hack trở nên khó khăn.
Mikhail Gofman, Cal State Fullerton
Additionally, fingerprints are hard
to duplicate and then use, says White. Not only does a thief need the user’s
device, but he or she also needs a valid fingerprint and a way to recreate it
(a gelatin mold or rubber finger) to access the device.
Thêm vào đó, dấu vân tay rất khó để
sao chép và sau đó sử dụng, White nói. Kẻ trộm không chỉ cần thiết bị của người
dùng mà còn cần dấu vân tay hợp lệ và cách tạo lại dấu vân tay (khuôn gelatin
hoặc ngón tay cao su) để truy cập thiết bị.
Multimodal Biometric Security
Bảo mật sinh trắc học đa phương thức
Multimodal biometric security allows
authenticators to ask for multiple biometric authentications before access is
granted. A user may be asked to read a sentence while looking into the device’s
camera, for example, allowing authentication via face and voice. Multimodal
biometrics are difficult to spoof as simply holding up the user’s picture for
facial authentication will fail as a voice (and moving lips) or fingerprints
also are required, says White.
Bảo mật sinh trắc học đa phương thức
cho phép người xác thực yêu cầu nhiều xác thực sinh trắc học trước khi cấp quyền
truy cập. Ví dụ: người dùng có thể được yêu cầu đọc một câu trong khi nhìn vào
camera của thiết bị, cho phép xác thực qua khuôn mặt và giọng nói. White cho biết
sinh trắc học đa phương thức rất khó giả mạo vì nếu chỉ đưa tấm ảnh của người
dùng vô để xác thực khuôn mặt thì sẽ không thành công khi không có giọng nói
(và cử động môi) hoặc dấu vân tay.
The promise of multimodal biometrics
can also be its Achilles’ heel, as “certain biometrics lend themselves to
certain use cases more so than others,” White says. For example, if the user is
at a party, facial and voice recognition might not work if the lighting isn’t adequate
and ambient noise is too loud. The user would need to find better lighting or
find a quieter room to get multimodal biometrics to work.
Lời hứa của sinh trắc học đa phương
thức cũng có thể là gót chân Achilles của nó, vì “một số sinh trắc học nhất định
phù hợp với các trường hợp sử dụng nhất định hơn những trường hợp khác,” White
nói. Ví dụ: nếu người dùng đang dự tiệc, tính năng nhận dạng khuôn mặt và giọng
nói có thể không hoạt động nếu ánh sáng không đủ và tiếng ồn xung quanh quá lớn.
Người dùng sẽ cần tìm ánh sáng tốt hơn hoặc tìm một căn phòng yên tĩnh hơn để
sinh trắc học đa phương thức hoạt động.
“So, now we're asking the user to
capture multiple biometric modalities to access their device, and that's less
convenient, and of course whenever convenience suffers, the users are turned
off,” says Gofman. “We’re looking for user-friendly ways of implementing
multimodal biometrics.” The bottom line, he says, is to make it easy, make it
secure, and make it cheap.
Gofman cho biết: “Vì vậy, bây giờ
chúng tôi yêu cầu người dùng nắm bắt nhiều phương thức sinh trắc học để truy cập
vào thiết bị của họ, và điều đó kém tiện lợi hơn, và tất nhiên bất cứ khi nào sự
tiện lợi bị ảnh hưởng, người dùng sẽ thấy chán nản,” Gofman nói. “Chúng tôi
đang tìm kiếm những cách thân thiện với người dùng để triển khai sinh trắc học
đa phương thức.” Điểm mấu chốt, anh ấy nói, là làm cho nó dễ dàng, làm cho nó
an toàn và làm cho nó rẻ.
Barriers to Adoption
Rào cản đối với áp dụng công nghệ
Despite the relative convenience and
improved security that biometric security offers mobile users, usability and
data protection concerns are slowing the technology’s adoption, says Dr. Damon
Woodard, an associate professor in the Electrical and Computer Engineering
Department at the University of Florida.
Tiến sĩ Damon Woodard, phó giáo sư tại
Khoa Điện và Máy tính tại Đại học Florida, cho biết: Mặc dù bảo mật sinh trắc học
tương đối tiện lợi, tính bảo mật được cải thiện, và mang lại cho người dùng sự
di động, tuy nhiên những lo ngại về khả năng sử dụng và bảo vệ dữ liệu đang làm
chậm việc áp dụng công nghệ.
Damon Woodard, University of Florida
Damon Woodard, Đại học Florida
“Usability is of major concern to
mobile device users, and in some situations is more important than security,”
he says. Users are more familiar with passwords and PINs. They also tend to
discount the threat to the security of their devices, which mainly comes from
theft (an affects 2 to 3 million devices per year).
“Khả năng dễ sử dụng là mối quan tâm
lớn đối với người dùng thiết bị di động và trong một số trường hợp còn quan trọng
hơn tính bảo mật,” ông Woodard nói. Mật khẩu và mã PIN quen thuộc hơn với người
dùng. Họ cũng có xu hướng không để ý đến mối đe dọa đến với tính bảo mật của
thiết bị của họ, chủ yếu đến từ hành vi trộm cắp (ảnh hưởng đến 2 đến 3 triệu
thiết bị mỗi năm).
Some users are also concerned that
“once biometric data is compromised, it cannot be reset, unlike a password or
PIN,” says Woodard. “The risk of this scenario can outweigh that of a security
breach involving data stored on a mobile device, thus affecting their choice to
use biometrics to secure the mobile device.”
Một số người dùng cũng lo ngại rằng
“một khi dữ liệu sinh trắc học bị xâm phạm, nó không thể được đặt lại, không giống
như mật khẩu hoặc mã PIN,” Woodard nói. “Rủi ro của tình huống này có thể cao
hơn nguy cơ vi phạm bảo mật liên quan đến dữ liệu được lưu trữ trên thiết bị di
động, do đó ảnh hưởng đến lựa chọn sử dụng sinh trắc học để bảo mật thiết bị di
động của họ.”
Building blocks for authentication.
Image source: Nok Nok Labs
Các phần tử để xác thực. Nguồn ảnh:
Nok Nok Labs
Experts predict, however, that the
use of mobile biometric security will continue to grow as phone manufacturers
and app producers make the technology more attractive to users than traditional
passwords.
Tuy nhiên, các chuyên gia dự đoán rằng
việc sử dụng bảo mật sinh trắc học di động sẽ tiếp tục phát triển khi các nhà sản
xuất điện thoại và nhà sản xuất ứng dụng làm cho công nghệ này trở nên hấp dẫn
hơn với người dùng so với mật khẩu truyền thống.
Gofman says that software can only do
so much to make multimodal biometric security more user friendly, so it’s
incumbent upon hardware manufacturers to do their share.
Gofman nói rằng phần mềm có giới hạn
trong việc làm cho công nghệ bảo mật sinh trắc học đa phương thức trở nên thân
thiện hơn với người dùng, vì vậy các nhà sản xuất phần cứng có trách nhiệm thực
hiện phần của họ.
“If engineers start looking into a
way to design a device that specifically designed around the idea of being
multimodal-biometric friendly – where do you place the sensors, what type of
cameras you support – it would make it much easier for software people to
implement user-friendly solutions,” he says.
“Nếu các kỹ sư bắt đầu tìm cách thiết
kế một thiết bị được thiết kế đặc biệt dựa trên ý tưởng thân thiện với sinh trắc
học đa phương thức - bạn đặt cảm biến ở đâu, loại máy ảnh nào bạn hỗ trợ - thì
điều đó sẽ giúp những người làm phần mềm dễ dàng triển khai nhiều giải pháp
thân thiện với người dùng hơn,”ông nói.
Improved sensor technology will
increase usability by reducing failure to acquire (when the biometric sensor
can’t “read” the user’s input) and failure to enroll (the user can’t establish
a biometric security marker) rates, according to Woodard.
Công nghệ cảm biến được cải tiến sẽ
tăng khả năng sử dụng bằng cách giảm tỷ lệ không cảm nhận được (khi cảm biến
sinh trắc học không thể “đọc” đầu vào của người dùng) và tỷ lệ không đăng ký
vào được (người dùng không thể thiết lập điểm đánh dấu bảo mật sinh trắc học),
theo Woodard.
White says that devices like desktop
and notebook computers are playing catch-up to their smaller brethren, as a
financial services password entered on a notebook over an unsecured Wi-Fi
connection is more vulnerable to hacking than a cryptographic key sent from a
mobile device.
White nói rằng các thiết bị như máy
tính để bàn và máy tính xách tay đang bắt kịp những người anh em nhỏ hơn của
chúng, vì mật khẩu dịch vụ tài chính được nhập trên máy tính xách tay qua kết nối
Wi-Fi không an toàn dễ bị tấn công hơn so với khóa mật mã được gửi từ thiết bị
di động.
After decades of causing grief for
users, perhaps a password-less future is not that far off.
Sau nhiều thập kỷ gây đau buồn cho
người dùng, có lẽ một tương lai không có mật khẩu không còn xa nữa. Nguồn:globalspec.com |