生物认证技术引领IT安全新趋势

在Google2013年最常见密码榜单上，你会发现123456已经成功登顶了。是的，那些非常容易记住超级容易破解的最受欢迎密码们仍然还在被使用，这个结果可能会让首席信息官们很无奈，但还好在可期待的未来会有点好消息。

专门从事生物认证的创业公司现在是到处开花。使用生物特征认证技术能够识别身体这样一台有独特代码的，由各种稀有零部件构成的精密仪器。指纹仅仅是个开始。虹膜，视网膜，面部特点和语音特点，甚至一个人的步态或心脏节律，都可以用作个性化密码的基础。这些独特的身体特征可以被用来验证一个人的身份 –以及限制访问和保护敏感信息。

一个人体如何作用于IT安全的例子是EyeVerify公司的专利技术。这家位于Kansas的创业公司基于眼球中眼白球血管分布图形（他们称之为“眼纹”）开发了一款移动银行应用程序。

眼睛就是验证密码

这一切是不是听起来有点少数派报告（科幻小说），如果在2002年的话，那大概的确如此。 EyeVerify，这家成立于2012年的创业公司以及2014年消费电子展两次获奖者，却并不奢求太过未来的技术，公司首席执行官和联合创始人Toby Rush说道。你智能手机上的摄像头就足够啦。旧有技术与Kansas密苏里大学副教授兼公司首席科学家Reza Derakhshani建立的非常巧妙并经过工程师们微调的算法相结合，效果刚刚好。

有点怀疑？是的，一个人的眼睛可能因为发痒或干燥或摄入酒精（就是在说你，科罗拉多州）或大麻而变红 - 但血管形态呢？ “他们不会改变的。”Rush说，“他们可能会看起来更明显，但形态本身并不发生改变。”

初始图像捕捉被称为注册程序，Rush说。用户需要从一侧向另一侧转动眼球，以便摄像头捕获每一侧虹膜的血管图形 – 每个用户4 个眼纹 – 从而建立验证密码。当用户需要解锁安装在员工智能手机或平板电脑上的移动应用程序时，被通过网络传输以验证身份的只是验证密码而不是生物特征本身。

那么，这种东西的精确水平如何呢？据Rush所说准确度高达令人震惊的99.99 % 。外界评论并不十分信服这一点。一篇发表于2013年12月麻省理工学院技术评论上的文章称，该公司需要做进一步的测试，以更彻底地确认该数字。

保持领先一步

那么，我们不可避免的要谈谈众所周知的硬币的另一边了。无密码的前景确实是令人兴奋的，但大部分开发生物认证技术的创业公司都还只是-创业公司。该技术仍是新兴技术，这意味着还有许多故障和错误需要解决。并且，至少在目前，这些错误都足以否定掉任何形式的威胁到IT安全或工作安全或者说用户良好意愿来的企业解决方案。

“这是所有生物识别技术共同的问题，”佛罗里达州迈阿密安全服务提供商Immunity Inc.公司首席技术官Dave Aitel说。“总有问题问我到底有多么严格，而一般来说回答都是并不多么严格，因为没有什么比冲着一台机器瞪着自己的眼睛却被拒绝访问更令人沮丧的了 。

Aitel认为首席信息官们需要花更多的时间搞清楚哪些数据是绝密的并把它们恰当的划分出来。他明白这可能很难- 尤其是考虑到不断增长的打破数据孤岛的需求和整个企业的集成数据 - “但是除非你已经真正划分了数据 ，否则移动安全和云安全都没有任何实际意义。”他说。

但这并不意味着首席信息官们要忽视生物认证技术。相反，Aitel建议他们去了解这些技术的局限性：例如指纹技术，它不够隐私。我们会把指纹留得到处都是。而一旦指纹验证被黑（你有没有听说过小熊软糖的事例？），指纹却并不像密码那样可以被重新编程。不过，他说，“这聊胜于无，毕竟很多人一无所有。”

由指纹推及虹膜以及视网膜，包括用户眼白上的血管图形，很明显的，这些系统可能（毋庸置疑都会）被欺骗。CIO们需要接受这一事实，与其试图建立一个不能被黑客攻击的安全系统，倒不如弄清楚如何给网络罪犯设置足够多的障碍，以阻止其中断服务或接触到最敏感的信息。生物识别技术可以加多一层保护。

“生物识别技术将会是重要的，而且是有需求的，Target公司最近的信用卡灾难正说明了这一点。”马萨诸塞州剑桥Forrester Research分析师JP Gownder 说。 “我们甚至不能保证作为经济基础的传统系统。所以说，那些只想要保护他们的数据的公司，显然缺了点什么。 ”

而且Gownder认为，一些生物识别技术对企业首席信息官们来说已经足够强大了，应该被像Target那样经历过违约的公司予以考虑。但是，在选择供应商时也要保持谨慎，他补充道。 “你要跟已经达到一定规模的，或者至少与有一定规模公司有某种程度合作伙伴关系的供应商进行合作，这样你才能确定这个解决方案不会昙花一现。”