生物特征认证的兴起-奖励和风险
介绍
将生物识别技术用作保护和验证身份的工具已经成为政府和执法机构的标准做法，已有相当长的一段时间了。生物识别的一些常见用途包括收集和存储指纹，以跟踪政府和州签发的许可证和执照（在医疗保健专业人员，护照，驾驶执照等情况下），防止未经授权的访问进入安全性设施（军事基地，政府建筑物的禁区等）以及与社会犯罪要素有关的数据管理。
在本文中，我们将研究私营部门中生物识别技术的日益普及，并从使用和安全性/隐私性的角度探讨该技术的一些显着特征。
消费类设备生物认证的简史
内置和售后指纹读取器已成为便携式计算机的一部分，已有十多年的历史。代替密码，用户可以选择将指尖放在光学传感器上并访问其设备。但是，有一段时间，生物特征认证技术的零售/消费者方面在使用和功能上都非常有限，直到本世纪第二个季度。
在2012，苹果收购了一家不太知名的公司叫了AuthenTec对于高达百万$ 356 在这一点上，全世界鲜为人知的是，消费者手持设备上的生物识别身份认证将进入一个崭新的时代。
2013年9月，Apple在其当时最先进的智能手机iPhone 5S上推出了Touch ID技术。用户将不再需要通过数字密码来保护和访问手机。相反，他们可以将一根或多根手指的指纹记录在设备上，并使用iPhone的指纹识别功能进行身份验证和访问。自2013年底以来，我们已经看到生物识别技术进入了更多的主流用例，涉及到普通Janes和Joes的日常活动。
苹果公司发布其Touch ID技术后，很快导致其他主要的智能手机制造商（例如Google和Microsoft）引入了自己的指纹验证方式。在产品设计围绕着使用户体验闪电般，无缝且令人愉悦的时代，公司相互竞争，让用户通过将手指放在传感器上来节省解锁手机的宝贵时间，而不是“繁琐地'必须输入4个字符/数字的密码。
2017年9月，苹果再次宣布Face ID，这是消费者生物识别技术发展的下一步，游戏再次发生了变化。用户现在只需要举起手机，睁开眼睛凝视屏幕，然后立即解锁，而无需将拇指放在指纹传感器上。该设备将自动匹配已注册到该设备的面部参考点，并采用一组复杂的算法来确保寻求访问该设备的人确实是获得该设备的授权人。
消费者生物识别技术的多种用途
多年来，设备制造商，金融机构和应用程序开发人员已经突破了消费者生物识别技术各种用途的界限。最初构想的某些目的仅是为了提供对建筑物和计算机系统的访问权限，如今，消费者可以使用生物特征认证执行各种操作。他们能够将手机放在信用卡阅读器上，并且只需提供生物特征信息许可即可进行交易，而无需亲自刷卡/插入卡或将现金存入店员。在这种数字支付领域，Apple Pay，Google Pay和Samsung Pay是一些受欢迎的产品。
除了更明显的金融科技用例之外，生物识别技术还用于授权从智能手机应用商店购买商品。用户还可以使用生物特征认证来将预先保存的信用卡信息访问并填充到电子商务购买工作流程中。生物识别技术还广泛用于数字钥匙串的密码存储和检索中。在当今时代，用户必须注册并创建配置文件才能使用几乎所有在线服务，因此，必须设置并重新收集多个密码或一个密码的多个版本才能使用这些服务。生物特征认证允许用户存储和填充与任何给定网站或登录表单相关的登录信息，
这些只是多年来生物识别认证最广泛的应用之一，这些应用简化了我们的日常活动。
设备或服务器存储–了解生物特征凭证的存放位置
在本节中，我将尝试深入研究生物识别数据的存储和使用背后的一些高级技术。
设备存储
我最近听到一个朋友的故事，该朋友正在Apple Store购买新的智能手机。在浏览库存时，她听到了另一位客户与销售代表之间的一次相当有趣的对话。当销售代表向另一位顾客解释Apple Face ID的好处时，关于她只需要看一下手机的屏幕即可立即解锁，据报道，这位女士的表情却令人震惊。据报道，客户并没有质疑或询问这种身份验证所固有的安全保护措施，而是说制造商在早上试图解锁和使用手机时，都会存储并引用其蓬乱面孔的图像，这对制造商来说是个问题。
虽然我没有详细研究这种有趣的对话是如何进一步展开或得出任何结论的细节，但我对我无法预料的消费者关注感到很感兴趣，这是一种隐私。
当我的朋友讲这个故事的时候，当她正要去了解这位顾客正要表达她对Face ID技术的担忧时，我更期待的是“如果我的双胞胎姐姐会怎样，谁像我那样太接近以至于不能舒适地为我解锁手机呢？或者“如果有人通过从我手中夺走手机，敲打我毫无意义并紧贴我的脸来解锁我的手机呢？” 请注意，Apple声称Face ID技术具有足够的安全措施，可以缓解（甚至消除）在上述两种情况下的未经授权的访问。例如，根据一篇文章《面部识别和触摸识别的安全性如何》 苹果从howtogeek.com获悉，在使用Touch ID的情况下，别人的指纹有50
但是，这里的核心问题不一定是未经授权的访问，而是数字网络时代的自我意识和隐私之一。此方案可用于驱使有关生物特征数据本身存储位置的主要问题。  
几家主要的制造商明确表示，用于设备驱动的身份验证的生物特征数据存储在设备本身的安全，加密位置。此外，生物特征数据既不会上传到制造商的服务器，云存储库，也不会上传到第三方可以访问它们的任何位置。原始格式的数据几乎是任何人都无法访问的，即使是设备的授权用户，他们也只能与他们交互以管理其身份验证首选项或进行身份验证。
因此，我想这是通过未经授权的访问对消费者隐私的威胁（这将要求黑客首先控制该设备，然后击败为保护生物特征数据而制定的所有复杂的安全协议），或者这种机会在另一个用户拥有的设备上进行巧合的生物识别匹配的比例相当低。
服务器存储
2017年9月，支付宝在中国推出了``微笑付款''。这是用户，所有的实际目的，并不服务不需要一个智能手机或任何形式的个人装置，使在支持零售点付款。根据TechCrunch的文章日期为2017年9月，客户只需注册支付宝应用程序并通过带有摄像头的兼容智能手机即可启用面部识别。位于销售点的另一台3D相机（理论上，这样一来，有人不能在销售点的相机前拿起别人的照片），就彻底扫描客户的面部轮廓，以验证其身份是否与最初的相符。通过智能手机注册。用户还可以选择使用电话支付启用其他电话号码验证选项。
与用户的个人设备是其生物特征的存储位置的情况不同，此方案暗示着用户的生物特征数据（即与他们的照片，面部等有关的生物特征数据）必须上载到安全服务器并从中引用。 /存储库。
请记住，在此服务器/存储库中可能有一些非常健壮的机制和基础设施专用于用户生物特征数据的安全性和私密性，在这里带回家的更大一点是，在这种情况下，用户的生物特征配置文件与首先，它很可能存储在用户个人设备之外的位置  。这可能会在某些人的脑海中引发安全性和隐私问题。在下一节中，我们将更深入地探讨这些忧虑。
生物识别数据被盗或访问的风险
黑客未经授权的访问和使用
归功于现代安全系统的强大功能，现代安全系统越来越多地使用AI来监视和保护消费者数据，在过去几年中，我们还看到了几起大型数据泄露事件。在这些违规行为中，诸如用户名，出生日期，税号，信用卡详细信息等深层的个人数据已被盗用。在本节中，我们将探讨假设和外推场景的后果，在这种场景下，用户的生物特征凭证容易受到未经授权的访问的威胁。
然而，为了达到这个阶段，并且根据我们到目前为止所看到的，我们必须假设窃取生物特征数据的人（1）具备在任何设备或数据库上浏览复杂的防护措施和加密协议并获取原始数据，（2）能够解释（以原始形式）被窃取的数据并将其解释为可用的生物特征，并且（3）实际上能够找到一种使用方法解密的生物特征数据以“解锁另一扇门”。许多现代生物特征认证硬件和软件不只是简单地拍摄您的脸部和指纹的图片并将其丢到某个地方，就可以在那里以这些形式使用它们。从注册人脸或指纹获取的复杂参考数据存储在加密和安全防火墙层下。即使有人突破了各种保护措施并得出了基础数据，他们也必须对数据本身的格式有一个复杂的了解，以便可以有效地使用它们。所有这一切听起来都是不可能的，但是如果最近发生的数据安全事件告诉我们，那就没有什么不可能。
带着谨慎的提示，让我们继续进行生物统计数据被盗（如果确实可以做到）的后果。让我们首先谈谈非生物敏感数据被破坏的后果。如果一个人丢失了信用卡详细信息，并且小偷大举消费，受害者可以立即致电其银行以对费用提出异议，取消该卡并获得一张新卡。在这种情况下，只要客户积极主动地采取所有必要的补救措施，对客户的责任就非常有限。实际上，在这种情况下，客户可以非常轻松地重回正轨，甚至可以继续使用相同的金融产品/信用卡，尽管带有新的号码和其他详细信息，例如到期日期和安全代码。作为上述情况的极端扩展，
请注意，以上示例是我将其归类为  用户身份的可变扩展的内容，即，即使有一定的工作量和成本，也可能会与受害者更改和重新集成的信息。
但是，如果将更多的个人信息，更内在的信息（例如出生日期或生物特征数据）盗窃了，无论采取什么手段，该怎么办？这些不是易于更改的标识符，因为它们与用户的身份一成不变。如果将（以某种方式）被盗的生物特征数据重新路由到其他地方以进行非法使用，该怎么办？用户是否可以采取任何补救措施来“替换”或“取消激活”被盗数据并继续生活，就像被盗的社会保险号一样？从寓言上讲，有人怎么能将某人从他们自己的面部轮廓或指纹中分离出来，而这些面部轮廓或指纹可能是用户用作几扇门的钥匙？恐怕在现阶段，这些争论将使我们面临的问题多于答案。
但是，我并不是要暗示生物识别数据有被盗的高风险。实际上，我倾向于相反。为了取得一个平衡的观点，我试图带回家的唯一一点是，被泄露的生物识别数据的风险至少与不可变的文本，个人数据一样高，甚至更高。出生日期，姓名等受到损害。
政府和当局的访问
未经所有人明确同意而使用生物识别数据的更大，更真实的危险，不是由于数据泄露，未经授权的访问或在百万分之一的案例中意外解锁他人的电话，而是由于政府干预。在这个世界中，技术用户会在许多地方愿意留下数据足迹，无论是在一些无害的网站，电话上的应用程序，还是在飞机场，火车站和出入境检查站等物理位置。虽然有明确的警察州通过与人脸识别软件连接的庞大监视设备网络来侵犯平民的隐私，但民主世界也在不断努力寻找可能构成政府请求（或要求）进入的正当理由的东西。公民的私人数据。
据CNBC于2016年发表的一篇文章，苹果拒绝提供执法机构将变得``有能力打开数亿个锁的功能''的``主密钥''。。此外，根据该报告，FBI继续进行了调查，并撤回了该案，声称他们已经从一家名为Cellebrite的以色列公司那里获得了解锁射手电话所需的帮助。虽然尚不清楚是否使用了射手的任何生物统计数据，甚至是否需要使用该射手的生物特征数据来访问设备（如果确实已访问过），但此案例凸显了民主政府试图与之之间最引人注目的利益冲突之一起诉恐怖分子并保护其公民以及有权享有信息保密权的公民本人，即使他们被怀疑或被判犯有令人发指的罪行。
结论
从产品管理的角度来看，生物识别认证确实可以被视为一项绝妙的尝试。它可以在各种用例中找到应用，并改善数字支付和数据安全等领域的用户体验。生物识别数据的安全性似乎也随着技术的发展，企业价值和保护技术的发展而跟上步伐，并且常常提倡消费者的隐私权。
然而，随着生物识别技术的普及，即使在民主，自由的社会中，政府监视的威胁也无可避免，因为在拥有更多极权主义政府的国家中，它们已成为现实。至少在以前的社会中，明智的做法是使用户掌握有关使用其生物识别数据的设备和应用程序的使用条款和隐私政策。对于我们所有人来说，至关重要的是，必须跟上如此有用但又与我们的隐私和个人身份紧密相关的事物的技术和法规方面。

关注 CDA人工智能学院 ，回复“录播”获取更多人工智能精选直播视频！