本文引用了Image Ware的首席执行官


[根据Miller所说,[解决方案]是一种多模式生物识别技术,他声称这使得错误的人几乎不可能做到
访问计算机
系统。


他的公司使用现有的硬件和平台,将物理特征识别算法(手指,手掌,手和指纹以及面部,眼睛,虹膜)与其他采用了当今移动设备上常见的生物特征数据传感器的算法。

我的直觉是,他以某种方式夸大了这一说法,但我不能直言为什么这种说法不正确。在我看来,如果多传感器方法真正有效,那么到现在我们将在任何地方看到用于此类策略的硬件和软件。

由多个传感器组成的物联网网络是否可以成为一种有效的安全策略? (多传感器方法有效吗?)

陷阱是什么?

#1 楼

此安全性的技术答案牢不可破?没有”。主要原因是生物识别属性不是秘密。有些容易复制,例如指纹或脸部图像。有些像虹膜一样难以欺骗。但是,一旦捕获了生物识别属性,就可以重播它。并且生物特征属性是固定的。如果曾经复制过用户的属性,则您显然无法告诉用户“我们已经违反了安全规则,请更改虹膜。”

普通窃贼几乎不可能欺骗所有生物传感器同时进行。但是,专门的,复杂的攻击者不可能设计出这样的壮举。

除了传感器欺骗之外,还可以使用传感器发出的数据进行重放攻击。但是,这将取决于实现,并且人们会期望一家公司设计其设备的安全性以抵抗这种类型的攻击。

物联网方法可能比集成解决方案提供更差的安全性。如果传感器彼此无关,则攻击者可以一次破坏一个设备而不会引起怀疑。攻击者可以使用伪造的背胶指纹进行练习,直到得到完善的指纹,然后在伪造照片的过程中使用伪造的指纹来欺骗图像传感器。可以将集成传感器设计为要求同时显示所有属性。物联网方法可以零碎实施,而漏洞是由系统之间的差距造成的。

实际上,这种方法听起来仍然非常安全,并且比简单的密码或单个密码要好。生物特征测量。

评论

与实施这种战略所花费的资金相比,实施这种战略所需要的资金是否有利?

– grldsndrs
16/12/27在11:22
您必须首先考虑损失的风险,然后将实施多因素生物识别策略所需的资本与实施另一种不太安全的策略所需的资本进行比较。我可能不会花费$ 25,000来保护$ 250,000的资产,但可能会花费$ 5,000。如果这是一项10,000,000美元的资产,我愿意花更多的钱来保护它。但是在那种情况下,我可能会选择将我的安全预算花费在更好的保险范围上,而不是花在多余的安全系统上。

–约翰·迪特斯
16/12/27在14:22
还应考虑易用性。请记住,合法用户的操作安全性几乎始终是最薄弱的环节,因为用户将为难以使用的系统创建变通办法。生物识别系统通常很容易-触摸指纹读取器,看一下相机。易于使用的系统具有更好的法规遵从性,因此最终将获得更一致的安全性。指纹和图像可能比复杂的密码提供更好的安全性。

–约翰·迪特斯
16 Dec 27 '14:27
关于生物识别技术可复制,非秘密且不可更改(但可能会破坏)的要点。即使现在很难复制生物特征,也请考虑一下过去几年中3D打印的变化。

– Sean Houlihane
16/12/27在17:34
@grldsndrs,这与欺骗任何特定生物特征的成本无关。随着人们的反复创新,成本总是会下降。当有人想用明胶代替乳胶,并在印刷电路板上蚀刻指纹后,他们便将其用作模具,伪造的指纹逐渐变得越来越容易且便宜。愚弄虹膜扫描仪今天可能要花费1000美元,但是如果虹膜扫描仪变得无处不在,那么有人可能会想出如何用激光打印机和透明胶片以0.50美元的材料制作它的方法。

–约翰·迪特斯
16/12/27在19:02

#2 楼

首先,报价似乎与保护移动设备有关,而不是与“具有各种传感器的IoT网络”有关,但也许仍可以得出一些教训。

与移动设备不同,“ IoT”传感器网络”往往意味着它们并非都在同一个地方,因此可能无法期望用户一次就判断所有传感器。这意味着系统需要非常临时地了解用户的真实性-实际上:


你像乔一样走路并且知道乔的密码,所以也许你就是乔,而我除非我开始怀疑你不是乔,否则就让你去做乔的不太重要的事情,但是要做一些更重要的事情,你将不得不去这里做,然后去那里凝视,并重复以下步骤短语和...



但是至关重要的是,与移动设备的情况一样,这种方案只能固定前门。它不能提供针对至少三种其他类型漏洞的保护。


许多针对现代系统的攻击并非来自恶意用户,而是来自通过网络,USB闪存或网络传送的恶意数据。类似的形式,要么是不请自来的流量,要么是不想要的有效载荷抓住了用户想要的东西。通常,此类数据会利用设计中的安全性缺陷-不应该存在的不安全的可选功能(Windows自动运行文件)或经典的“错误数据编码”错误(如缓冲区溢出)。
两个IoT系统移动电话往往与网络服务器高度集成,网络服务器通常具有对同一数据或移动系统安全性试图保护的功能的高度访问权限。服务器基础结构未知的端到端加密和身份验证令牌之类的缺失,成功攻击或滥用服务器基础结构通常可以完成绕过设备安全性的大部分工作。
物联网系统(可能比移动设备更甚)可能很容易受到物理攻击。手机可能会尝试通过JTAG调试器来保护用于加密用户数据的密钥,以防随时访问,但是IoT系统在本地存储的数据通常不多,因为它可以执行各种操作。对于本地攻击者而言,如果物联网设备的计算机部分的安全性很重要,那么他们就可以简单地弹开盖子并使用回形针来激活输出继电器,或者切断电线以连接至然后将其触摸到自己的电池上。否则,攻击者可能会在IoT设备传感器的位置(虚设的传感器在烛光下,潮湿的湿海绵上等)制造虚假条件,并导致其上行或对错误的读数起作用。