- 比明文储存密码的数据库泄漏更严重;因为你无法更换指纹和虹膜……
密码安全性通常很糟糕,这已经不是什么秘密了。
较长的复杂的密码很难被记住,除非你使用密码管理器,可惜目前仍很少人这样做。
因此,人们倾向于选择那种很容易被猜到的密码,如姓名或出生日期,甚至是“password”和“1234”等荒谬的密码。
劝阻人们不要使用这种密码的倡导者不断失败,于是许多公司和组织试图通过彻底摆脱密码来避免这个问题。
使用指纹、虹膜扫描和面部识别等生物识别技术的“密码替代方案”已得到飞速的发展,并且越来越广泛。
开发用于访问控制的生物识别技术的领先公司之一是 Suprema,以下是他们的自我介绍:
Suprema 广泛的产品组合包括生物识别门禁系统、考勤系统、指纹实时扫描仪、移动认证解决方案、和嵌入式指纹模块。Suprema 已成为物理安全行业的优质全球品牌,并在130多个国家拥有全球销售网络。Suprema 在 EMEA 地区的生物识别访问控制方面拥有排名第一的市场份额,并入选全球50强安全制造商 ……
根据该公司的网站,全球安装了150万套该公司的系统,有超过10亿人在使用。
正由于 Suprema 在该领域的地位,使其主要产品 BioStar 2 发生的大规模数据泄露成为重磅新闻,特别是关于:
“在调查中研究人员发现,⚠️Biostar 2 的数据库根本没有受到保护,而且大多数都没有加密。能够通过操纵 Elasticsearch 中的URL搜索条件来探查该数据库,并获取对数据的访问权限。”
Suprema 主页上的一条消息辩称:“此事件涉及数量有限的 BioStar 2 Cloud API 用户。大多数 Suprema 客户在其访问控制和时间管理解决方案中不使用 BioStar 2 Cloud API。”
这可能是真的,但是,研究人员对暴露内容的讨论令人不安:
我们的团队能够访问超过2780万条记录,总共23千兆字节的数据,其中包括以下信息:
- 访问客户端管理面板、仪表板、后端控件和权限指纹数据;
- 面部识别信息和用户图像;
- 未加密的用户名、密码和用户ID;
- 进入和退出安全区域的记录;
- 员工记录包括起始日期;
- 员工安全级别和许可;
- 个人详细信息、包括员工家庭住址和电子邮件;
- 企业的员工结构和层次结构;
- 移动设备和操作系统信息
这些信息每一个都非常致命 —— 简直是社交工程攻击和骇客攻击的最佳向导。
密码(包括具有管理员权限的帐户密码)被安全公司以未加密的形式存储的事实是非同寻常的。
正如研究人员指出的那样,⚠️任何找到这个数据库的人都可以使用这些管理员密码来接管具有完整用户权限和完整许可的高级 BioStar 2 帐户,并对整个网络中的安全设置进行更改。
攻击者可以创建新的帐户,包括指纹和面部扫描,使得他们自己可以顺利进入建筑物内的敏感区域。
同样,攻击者也可以更改具有安全许可的帐户上的指纹,以授予任何人进入这些敏感区域的权力。
由于管理员帐户可以控制活动日志,因此犯罪分子可以删除或更改数据以隐藏其活动。
换句话说,这些密码的暴露允许任何人无形地进入重要建筑的任何部分,并且不留下他们存在的痕迹。
问题不止于此。高度个人化的信息列表,如数据库中公开的就业记录、电子邮件地址和家庭地址,都会使欺诈和网络钓鱼成为真正的风险。
它还将允许攻击者识别使用 BioStar 2 系统的公司内的关键员工,这将使他们更容易受到犯罪分子勒索的威胁。
但也许最严重的问题是研究人员注意到以下问题:
类似指纹这种生物识别技术的安全焦虑是最近的趋势。因此,指纹被盗的全部潜在危险仍然未知。
但是,要记住的重要一点是:一旦它被盗,与密码不同,您的指纹是无法更改的。
这使得指纹数据盗窃更加令人担忧。
指纹正在取代许多消费品(如手机)上的键入密码。
⚠️消费品上的大多数指纹扫描仪都是未加密的,因此,当攻击者开发技术来复制指纹时,他们就可以访问存储在设备上的所有私人信息,如私密消息、照片和付款方式等等。
研究人员发现的这个数据库是完全暴露的,Suprema 以数字形式保存了人们的实际指纹,因此它可以直接被复制并被用于恶意目的。
已经有很多方法可以创建足以欺骗生物识别系统的假指纹。如果有完整的指纹数据,这样的假版本很有可能击破甚至是最好的生物识别安全性。
在这里看到《当每种生物识别都可以伪造时》。
“当有人拥有您的生物识别数据副本时,会发生什么?” —— 这个问题的提出已经变得非常紧迫。
正如人们多年来一直指出的那样,除了手术之外,你无法改变你的生物识别数据。或者,正如 Suprema 在其网站上所说的那样:“生物识别技术是定义我们的关键。”
鉴于这一不可改变的事实,也许是时候要求生物识别技术只能在绝对必要时使用了 —— 而不是常规使用。
如果要使用生物识别数据,必须 — 依法 — 以最高级别的安全保护。同时,在授予访问权限之前,大多数情况下都应使用密码而不是生物识别。
如果储存密码的数据库受到威胁,至少你可以立刻修改密码。倡导者应该帮助人们安装和熟练使用密码管理器。⚪️