PKI与设备认证谬误

PKI与设备认证谬误

通过杰伊·迈耶北美业务高级副总裁FaceTec

根据Verizon的年度报告2021年数据泄露调查报告在去年发生的所有数据泄露事件中,约有85%是用户身份验证薄弱和人为界面错误造成的。强调这些统计数据、最近高调的数据泄露和网络欺诈成为头条新闻,进一步证实了报告的分析。

随着世界转向数字认证、移动驾驶执照、护照和其他远程认证方法,了解各种可能的系统、体系结构和组件的潜在漏洞自然很重要,以便我们能够主动防范可能导致违规的因素。我们认为,现代身份管理系统(IDMS)模型,包括各种电子ID(eID)和移动驾驶执照(mDL)模型,存在缺陷,容易受到Verizon报告中讨论的相同攻击。

例如,发动臭名昭著的攻击向量太阳风决口,影响了许多公司和政府机构,188游戏盒子下载利用“强大”设备认证保护不足的软弱用户身份验证,目标是访问网络并最终执行远程访问特洛伊木马(RAT)恶意软件供应链攻击。薄弱的用户验证和身份验证为攻击者提供了注册一个新的、同样经过强身份验证的设备在合法用户的帐户下并行。这使攻击者能够重复进行重新身份验证创建“高级持久威胁”(APT),一种长时间未被发现的入侵。在这种情况下,攻击者可以在九个月内不受限制地访问受害者的网络。

此外,美国联邦和州政府COVID-19大流行财政支持的分配一直并继续受到远程环境中薄弱的身份验证、验证和用户身份验证的影响。迄今为止,与大流行病有关的身份欺诈估计价值超过700亿美元,而且还在增加。任何依赖于这种强设备认证和弱用户认证组合的身份管理系统(IDMS)都容易受到钓鱼、中间人、设备欺骗和RAT攻击,以及潜在的apt的攻击。

这个漏洞可以被称为“PKI谬论”或“设备认证谬论”,这意味着如果公钥基础设施(PKI)证书、令牌或设备被确定地认证,设备的用户在某种程度上是被认证的身份验证。这是一个错误的逻辑进程,基于错误的行业偏好“确定性”决策(二元是/否)而非“概率”决策(统计概率)。PKI对设备是确定的,而生物特征匹配对人是概率的。网络和设备认证的支持者似乎选择PKI的确定性结果,而不是生物识别的概率结果,因为100%似乎比99.9%更强大。

考虑到设备中的PKI不知道,甚至不关心用户持有它,如果用户认证概率小于100%,设备认证事务到底有多“确定性”?从逻辑上讲,当依赖100%确定的设备认证(PKI)时,不能识别设备持有者可能会产生一种错误的安全感觉。实际上,100%的PKI确定性结果错误地验证了概率小于100%的用户身份验证。综合起来,最终的验证结果仍然是概率性的,这个概率可能远低于99.9%,这取决于用户验证的方法。这是究竟发生了什么和太阳风决裂。强大的生物特征活性和匹配解决了此漏洞。

行业倾向于确定性模型而远离概率模型的原因有两个。首先,确定性设备身份验证是自动的、简单且不贵。其次,大多数生物识别技术还没有达到令人满意的概率匹配可信度,即生物识别样本是实时从正确的活人身上收集的。因此,许多IDMSs都设计了非生物认证器,通常是第二种加密验证设备,支持密码。换句话说,这些系统通常使用由密码支持的设备身份验证来支持设备身份验证,由密码支持。

此外,大多数手持设备上的生物特征匹配系统不会将生物特征与实际用户的身份配置文件关联或绑定。相反,他们只是在设备的安全元件中匿名注册生物特征数据,并在用户身份验证交易期间将匿名存储的生物特征与新收集的生物特征数据进行匹配。在这个场景中,信任是关键字,因为当前用户只被信任为可信特权所有者。我们可以称之为“匿名生物识别”。“匿名生物识别降低了用户认证的可能性或匹配信心,进而降低了设备认证的可能性。”坏数据输入就是坏数据输出。如果你不知道谁在设备上注册,你就不太可能知道谁在实际使用设备。

此外,这种组合可能导致欺诈和攻击。如果欺诈性用户注册在作为合法特权持有者的设备上,设备内的生物识别传感器将验证该用户,就像他们是合法特权持有者一样。进一步来说,如果设备无法知道设备用户是否是合法的特权拥有者,那么依赖的第三方(应用程序、服务器或企业)也无法知道设备用户是否是合法的特权拥有者。这也是太阳风入侵时的情况。

重要的是,最近生物特征匹配信心方面的重大进展,特别是随着三维人脸活动性和匹配的发明,极大地增加了移动或远程生物特征验证和认证的效用。一种更平衡的方法已经开始出现。在数据中添加第三个维度,可访问的、独特的和一致的生物特征数据的数量将以数量级增加,极大地提高了匹配的信心,并严重限制了2D照片和视频在冒名者攻击中的效用。这种生物识别技术的进步使机构能够高度自信地认证一个真实的人——绑定到一个真实的用户档案——而不仅仅是一个设备假定由合适的人控制。这将关闭PKI和设备身份验证谬误漏洞。

认为PKI和设备认证谬误漏洞不那么重要或“不可扩展”的说法充其量是幼稚的,这与Solarwinds违约的例子大相径庭。设计合理的身份管理系统必须包含强大、完善的身份验证和认证,以缓解此类漏洞,并在远程移动生态系统中实现完整功能。然而,今天的eID和mDL系统不仅主要关注基于PKI的设备身份验证,而且通常还支持注册期间的弱用户验证和活动使用期间的弱用户身份验证。eID/mDL系统,如美国机动车管理员协会(AAMVA)、DHS和其他利益相关者最近提出的几项主要信息请求(RFI)中所述,实际上忽略了强大的用户验证和身份验证,但侧重于确定性设备身份验证。相关的ISO eID和mDL标准通过验证设备或数字对象来验证mDL凭据,但实际上不验证或验证有权的mDL特权持有者,也不能。

为了缓解当前方法固有缺陷的后果,我们强烈建议在以下情况下要求经验证的生物特征身份验证、注册和用户身份验证:除了标准化强设备认证。

关于作者

杰伊·梅尔是一名屡获殊荣的金融证券分析师和身份访问管理、认证和生物识别方面的主题专家。他目前担任FaceTec的北美业务高级副总裁。

免责声明:生物特征更新行业的见解提交的内容。本文所表达的观点都是作者的观点,并不一定代表Biometric Update的观点。

相关的帖子

文章主题

|||||||||||

评论

留话

该网站使用Akismet来减少垃圾邮件。了解如何处理您的评论数据

本周阅读次数最多

公司的特色

生物识别技术研究

生物识别技术白皮书

生物识别事件

解释生物识别技术