去年六月，美國人事管理局辦公室(OPM)被指大量工作人員信息泄露，隨后OPM也承認內部遭到黑客襲擊，重要信息泄露。據了解，在OPM數據泄露事故中，560萬指紋數據被盜。這對生物識別安全有什么影響?攻擊者能否復制指紋，并使用復制指紋來欺騙生物識別系統以及訪問受害者的設備或賬戶?除了生物識別安全攻擊，攻擊者能否以其他方式利用指紋記錄?

　　MichaelCobb：OPM和國防部發現在最近的OPM數據泄露事故中，2150萬人的敏感信息被泄露，約560萬人的指紋記錄被盜，最初這個數字被估計為110萬。這些被盜的個人數據包括社會安全號碼、居住歷史記錄、就業和教育記錄，以及健康、財務等歷史記錄。這些被盜的信息可能被用在身份盜竊欺詐中，而指紋數據的丟失帶來不同的威脅，目前安全行業還沒有完全了解這種威脅。

　　OPM在很大程度上低估了被盜指紋數據帶來的風險，他們表示：“聯邦專家認為，截至目前，濫用指紋數據的能力很有限。”然而，指紋數據已經被成功用于欺騙某些簡單的生物識別系統，現在指紋數據濫用僅局限于這一事實：攻擊者難以像他們濫用密碼一樣自動化濫用指紋數據。

　　目前利用指紋等生物識別技術的身份驗證正逐漸成為登錄到電腦和智能設備的常見方法。生物識別利用用戶的某些生物特征的獨特性來準確識別和授權用戶，例如視網膜、指紋甚至打字特征。信用卡和密碼泄露后可被撤銷和重新發布，而生物特征數據永久地與用戶相關聯，不能被替換。這是生物識別的主要缺點之一，現在已經有560萬人可能被模擬。

　　生物識別元素不能被重新發布的事實讓指紋數據被盜的所有人都可能受到威脅，因為日后攻擊者可能找到更有效的方式來利用這些數據。指紋識別無疑是最弱形式的生物識別身份驗證，因為它們難以保守秘密;人們碰觸東西后都會留下指紋，所以很容易復制指紋，并使用硅膠制造翻版。語音和面部識別也面臨同樣的問題，因為這兩者都可以被獲取來重新創建副本以欺騙生物識別系統。

　　而更難復制的生物識別元素(例如視網膜)泄露的風險最小，但對于所有生物識別元素，在身份識別過程中還有解釋的因素。

　　對于基于密碼的模式，計算機系統很容易檢查提交的密碼是否與數據庫存儲的密碼相符。而對于生物識別，核實是否相符主要是看是否“像”而不是“完全相同”，原始生物特征數據需要從模擬信息轉換成模板數字數據，讓計算機可以讀取、測量和分析。而OPM數據泄露事故中攻擊者竊取的就是這種模板數據。匹配算法需要基于接受閾值來作出決定，這意味著身份識別可能出現漏報和誤報，讓未經授權用戶可以成功通過身份驗證。

　　隨著被盜的560萬用戶的指紋數據流入黑市進行銷售，誤報可能成為更大的問題。

　　生物識別背后的驅動力是出于便利性，但與使用密碼相比，我們需要做更多工作以確保生物識別提供更高的安全性。如果企業考慮部署生物識別系統，則需要確保在所有時間加密生物識別數據。ISO/IEC24745標準為存儲和傳輸過程中保護生物信息提供了指導意見，它還旨在解決被泄露生物識別信息帶來的風險。可取消的生物識別是最有前途的選項，它在存儲生物數據之前會扭曲生物圖像或特征;這類似于在散列密碼中加鹽。這種失真的生物特征數據很容易被更改，如果生物存儲被泄露，相同的生物數據可映射到新的模板。現在行業正在努力讓著成為可行的標準部署，我們需要加快速度防止更多人的生物數據被泄露。