评估OPM攻击后指纹识别技术

OPM漏洞对于指纹识别技术的安全性产生的质疑。从这之中，CIO可以学习到什么？

我人指纹就只是我们自己的——但如果不是了怎么办？

最近有消息称，因为人事管理局（OPM）在规模漏洞导致560万个指纹被盗，这意味着我们的唯一识别符，即我们的指纹，将终结于他人之手。更严重的是，我们的指纹有可能出现在他们的手上。这对于企业来说意味着什么？

正如安全专家指出的那样，生物特征识别技术是其它最好的财产，但也将是最大的威胁。指纹、视网膜和声纹作为密码是无可替代的，这也意味着，它们一旦被盗用将难以恢复。

不断加剧的问题是，政府机构并没有在安全的前提下收集指纹识别。我们指纹越来越多地用于身份验证和安全技术中，如解锁移动手机、汽车或房屋；还用于移动技术。当指纹成为锁匙，成为支付方式时，那么就不难想象潜在的黑客影响。指认罪犯出现了新方法。

OPM曾说问题几乎都是毫无根据的，并作为独立机构声明，因为“滥用指纹数据的能力现在是有限的。”但显然受害者还没有走出困境。

“虽然现在网络犯罪还不能利用偷来的生物识别技术，但是随着身份验证的普遍这将不断变化，” Tripwire公司的IT安全与风险策略总监Tim Erlin说。

其它安全专家怎么看待OPM的受攻击事件，怎么看待未来指纹识别技术？位于迈阿密安全公司Immunity的CEO Dave Aitel说，危险已经存在于物理世界；现在，它已进入到数字世界中。

“我从不必担心身份识别实被盗，因为我在所有酒吧的酒瓶上都留有指纹，” Aitel说。“那些有足够能力的黑客，不需要访问本地栏可以从设备或指纹数据库中获得指纹，这对于他们既新鲜又有趣。”

在服务器端，存储着敏捷指纹的数据库需要尽可能地确保它的安全。公司应该“创建数据库，包含加密的指纹注册样本参数，但却不是真正的指纹，” Forrester研究机构的分析师 Andras Cser在邮件中说。“这样，指纹就难以被偷。”

CIO们需要特别注意。“这是对CIO的一种警示，他们，首先应该对指纹的存储在服务器上存储和匹配的位置，采取更好的保护方法；其次，评估解决方案，指纹是否存储在可靠的安全的执行环境中，匹配发生在了客户端，” Cser写到。

许多移动设备都获得了指纹识别安全的权利，Cser说。苹果的Touch ID和谷歌的新Nexus Imprint 在设备的安全区域存储了个人的指纹，而且黑客难以获得。

Cser看到，未来指纹识别以及声纹和面部识别将普遍存在于企业中。

但是用我们的物理我处作为识别码不应该成为唯一的安全形式，Aitel警告说。

“最后，生物识别永远都不是一个好的、唯一的验证提供者。你常常要把它与PIN或标识结合，来让它在实际中发挥作用，当然是在做对的情况下，” Aitel说。