Xác thực sinh trắc học là gì và những rủi ro cần lưu ý
LoginTC - một công ty cung cấp dịch vụ bảo mật sinh trắc học có trụ sở tại Canada, định nghĩa xác thực sinh trắc học là một quá trình an ninh mạng sử dụng các đặc điểm sinh học độc nhất của người dùng để xác minh danh tính của họ, chẳng hạn như dấu vân tay, giọng nói, võng mạc và khuôn mặt.
Hệ thống xác thực sinh trắc học lưu trữ thông tin này để kiểm tra danh tính của người dùng khi họ truy cập vào tài khoản. Loại xác thực này thường được coi là an toàn hơn các phương thức xác thực đa yếu tố truyền thống.
Các phương thức xác thực sinh trắc học phổ biến
Nhận dạng khuôn mặt: Hệ thống này sử dụng các đặc điểm khuôn mặt của một người để xác định. Nó được sử dụng ở nhiều nơi như điện thoại thông minh, thanh toán thẻ tín dụng và thực thi pháp luật.
Nhận dạng vân tay: Xác thực vân tay sử dụng dấu vân tay độc nhất của người dùng để xác minh danh tính. Nó có thể được sử dụng để bảo mật mọi thứ, từ thiết bị di động đến ô tô, thậm chí cả tòa nhà, do đó đây là công nghệ xác thực sinh trắc học phổ biến nhất.
Nhận dạng mống mắt: Nhận dạng mống mắt sử dụng hoa văn của mống mắt hoặc võng mạc của một người để xác định. Do loại xác thực sinh trắc học này khó triển khai hơn nên nó ít phổ biến hơn các loại xác thực sinh trắc học khác. Quét mống mắt đòi hỏi nguồn sáng hồng ngoại, camera có thể nhìn thấy tia hồng ngoại và ô nhiễm ánh sáng tối thiểu để đảm bảo độ chính xác. Mặc dù có những thách thức, đây là một trong những hệ thống xác thực sinh trắc học chính xác nhất hiện có khi đáp ứng các điều kiện đó. Nhận dạng mống mắt thường được sử dụng trong các tình huống an ninh cực kỳ quan trọng như cơ sở nghiên cứu hạt nhân,…
Nhận dạng giọng nói: Nhận dạng giọng nói sử dụng âm sắc, cao độ và tần số của từng cá nhân để xác thực. Đây là phương thức sinh trắc học được sử dụng phổ biến nhất để xác minh người dùng khi họ liên hệ với trung tâm chăm sóc khách hàng qua điện thoại (ví dụ: ngân hàng trực tuyến).
Nhận dạng dáng đi: Nhận dạng dáng đi xác thực bằng cách sử dụng cách đi bộ của một người để xác định. Mỗi người có một dáng đi hơi khác nhau, vì vậy cách một người đặt chân trước chân sau là một cách hiệu quả để xác minh danh tính. Hiện tại, nó không phải là một hình thức xác thực phổ biến nhưng dự kiến sẽ trở nên phổ biến hơn khi các hình thức xác thực trong tương lai trở nên phổ biến hơn.
Nhận dạng tĩnh mạch: Nhận dạng tĩnh mạch sử dụng mô hình các mạch máu trong bàn tay hoặc ngón tay của một người để xác định. Loại xác thực sinh trắc học này sử dụng ánh sáng hồng ngoại để quét các tĩnh mạch dưới da bàn tay hoặc ngón tay của bạn. Nhận dạng tĩnh mạch cực kỳ chính xác, thậm chí còn chính xác hơn cả nhận dạng võng mạc/mống mắt.
Xác thực sinh trắc học có thể bị đánh lừa không?
Trước tiên, chúng ta cần hiểu hệ thống xác thực sinh trắc học đơn phương (unimodal biometric authentication system) là gì. Về cơ bản, đây là hệ thống chỉ xác minh một đặc điểm riêng biệt, ví dụ như khuôn mặt, võng mạc. Tuy nhiên, hệ thống này rất dễ bị đánh lừa.
Đây là lúc xác thực đa sinh trắc học phát huy tác dụng. Nó là phương pháp kiểm tra nhiều yếu tố sinh trắc học khác nhau trong quá trình xác minh danh tính. Điều này khiến kẻ gian khó có thể đánh lừa hệ thống hơn.
Chẳng hạn về xác thực đa phương thức, kẻ tấn công có thể tìm thấy ảnh của một người trên internet và sử dụng nó để đánh lừa thành công hệ thống nhận dạng khuôn mặt khiến hệ thống nghĩ đó là người dùng thực sự. Nếu hệ thống chỉ có một phương thức xác thực duy nhất, thì tài khoản của người dùng sẽ bị hack. Tuy nhiên, nếu hệ thống yêu cầu người dùng cung cấp xác thực bổ sung như video của người đó đọc mật khẩu, thì kẻ tấn công rất khó có thể tìm thấy video đó.
Bằng cách kết hợp xác thực vật lý và hành vi, người dùng có thể nâng cao khả năng bảo mật. Ngay cả khi kẻ gian cố gắng đánh lừa dấu vân tay, hệ thống vẫn có thể phát hiện ra sự thay đổi về hành vi và từ chối cho phép truy cập. Chẳng hạn, tốc độ tương tác của kẻ gian với hệ thống có thể chậm hơn người dùng thực sự hoặc chúng sử dụng các phím tắt mà người dùng thực sự không bao giờ sử dụng.
Lợi ích xác thực sinh trắc học
Bảo mật danh tính: Xác thực sinh trắc học đảm bảo mức độ an toàn cao hơn cho người dùng cuối. Phần mềm tinh vi của nó cho phép nhà cung cấp biết chính xác một người thông qua đặc điểm thực tế hữu hình. Ngay cả khi kẻ tấn công mạng biết mật khẩu của người dùng hoặc câu trả lời cho câu hỏi bảo mật của họ, chúng cũng không thể sao chép dấu vân tay hoặc quét mống mắt.
Dễ sử dụng: Mặc dù xác thực sinh trắc học có tính kỹ thuật hơn về quy trình bên trong, nhưng nhìn chung nó dễ dàng và nhanh chóng đối với người dùng. Bằng cách sử dụng máy quét dấu vân tay để mở khóa tài khoản hoặc nhận dạng khuôn mặt, người dùng sẽ giảm thiểu số lần phải đăng nhập bằng mật khẩu dài có nhiều ký tự đặc biệt có thể quên. Apple đang là nhà sản xuất làm rất tốt với xác thực sinh trắc học, cả vân tay và khuôn mặt, trong các thiết bị của họ.
Phát hiện gian lận: Dữ liệu sinh trắc học gần như không thể sao chép được. Chúng khó sao chép và đánh cắp, và khả năng dấu vân tay trùng khớp hoàn toàn với người khác chỉ khoảng 1 trên 64 tỷ. Rất khó có khả năng tin tặc có thể truy cập bất kỳ thứ gì được bảo mật bằng sinh trắc học.
Rủi ro xác thực sinh trắc học
Bị tấn công: Dữ liệu sinh trắc học vẫn có thể bị hack. Các doanh nghiệp và chính phủ thu thập và lưu trữ dữ liệu cá nhân của người dùng luôn bị tin tặc đe dọa. Tuy nhiên, nếu họ là nạn nhân của vi phạm dữ liệu, dữ liệu sinh trắc học là không thể thay thế và các tổ chức cần xử lý dữ liệu sinh trắc học của người dùng một cách cẩn thận và thận trọng.
Phù hợp một phần: Hầu hết các phương pháp xác thực sinh trắc học thông thường dựa vào thông tin một phần để xác thực danh tính của người dùng. Ví dụ, trong quá trình đăng ký vân tay, hệ thống sẽ lấy dữ liệu từ toàn bộ dấu vân tay của bạn và chuyển đổi thành dữ liệu. Tuy nhiên, trong quá trình xác thực sau này, hệ thống chỉ lấy dữ liệu vân tay một phần để xác minh danh tính của bạn để nhanh hơn.
Không nhận ra người dùng hợp lệ: Khi bạn đăng ký nhận dạng khuôn mặt, mặt người dùng ở một góc độ và biểu cảm cụ thể. Tuy nhiên, vì hệ thống chỉ có dữ liệu từ quá trình đăng ký, nên bất cứ khi nào người dùng đeo kính, trang điểm hoặc thậm chí cười, hệ thống nhận dạng khuôn mặt sẽ khó nhận ra người dùng, điều này có thể khiến quá trình đăng nhập trở nên khó khăn.
Lo ngại về việc chia sẻ dữ liệu sinh trắc học: Liệu các công ty có được phép bán hoặc cung cấp dữ liệu sinh trắc học của họ cho bên khác? Những lo ngại về quyền riêng tư này đã khiến nhiều tiểu bang tại Mỹ ban hành luật về quyền riêng tư thông tin sinh trắc học.
Mật khẩu với xác thực sinh trắc học: Phương pháp nào mạnh hơn?
Xác thực sinh trắc học bổ sung một lớp bảo mật bổ sung cho các biện pháp bảo mật khác, cho phép xác thực đa yếu tố. Xác thực sinh trắc học là một loại xác thực mạnh mẽ bởi vì không giống như mật khẩu, chúng cực kỳ khó tái tạo.
Mặt khác, mật khẩu có thể dễ dàng bị tấn công thông qua nhiều phương thức. Phổ biến nhất là các cuộc tấn công lừa đảo, nơi tin tặc giả mạo nhân viên dịch vụ khách hàng hoặc gửi email cho người dùng yêu cầu thông tin đăng nhập. Với xác thực sinh trắc học, bạn không thể gửi phương thức xác thực chính xác mà không có mặt hoặc chưa đăng ký trên thiết bị đó.