科技產業報訂閱
AutoTronics2019
 

駭客利用AI再精進 生物辨識系統安全技術需再升級

深度學習和人工智慧技術已經可以產生假冒的生物辨識特徵,解鎖許多的行動裝置。法新社

因為近來駭客的攻擊方式不斷變化和升級,一篇刊登在Government Technology的文章揭露出會讓基於生物辨識的身分認證解決方案遭受駭客攻擊的幾種途徑。諮詢調研公司Mercator也對此提出更深入的說明,即使駭客攻擊方式不斷改進,安全技術同樣地也會不斷地改善。較高風險的情況需要額外地執行安全層,從未有一個解決方案適用於所有風險狀況。

AI確實是兩面刀,人工智慧(AI)有助於科技進步、企業改善,但也讓駭客尋得新的攻擊方法。例如在深度人工神經網路,雖可強化生物辨識系統的表現,但是也可能出現其他的威脅。

紐約大學研究人員創造一種稱為DeepMasterPrints的工具,它可以使用深度學習技術來產生假冒的指紋,能進一步解鎖許多行動裝置。該團隊發現以同樣的方法也可以解鎖許多智慧門鎖。
但研究人員也展示了透過深度人工神經網路的訓練,原始的和真正的生物辨識輸入(例如人臉的影像)就能夠確實地從已儲存的模板數據中被獲取。

關於數據保護技術需要更新和發展,此為以AI為基礎的生物識別系統設計者面臨的議題。目前現有的非基於AI生物辨識系統的加密技術,並不相容於基於AI的生物辨識系統。因之,開發新的保護技術是需要的。學術研究人員應該與生物識別掃描器製造商一起合作,以確保生物辨識模板數據的安全。

不斷進化和改變的駭客攻擊會升級為使用機器學習模式。然而另一個問題是被保護的資產有多少價值?人們希望付多少錢來保護它?一種自定義和客製化的驗證方法,成本卻是高昂的。

Mercator另指出,把所有的指紋模板都放在一個數據庫是很不明智的。而新的智慧型手機如果軟體可以運行在配有可信任執行環境(Trusted Execution Environment;TEE)平台上,將比現有的加密鑰匙解決方案更加堅固。

整體來說。1支使用FIDO和WebAuthn的生物辨識功能的手機,其安全性還是比傳統密碼輸入來得好。另一個事例是,一般網頁是以SMS發送一次性密碼,讓使用者執行恢復密碼的功能,生物辨識的表現則安全多了。