6月20日国际报道 在数年之前,人们认为生物特征识别技术的实现是一个很确定的事情。但是,随着时间的快速推移,到目前为止,由于生物特征识别技术本身在这几年留下了不好的名声,因此许多公司都不愿意使用这种技术。
多年以来,用户们一直在抱怨密码问题。因为他们不得不设置密码,然后又重新设置密码,忘掉原来的密码,记住新的密码,用密码来麻烦那些技术支持服务操作人员,将密
码写在他们的桌面即时贴上并粘贴在他们的显示器旁边,尽管有无数的来自IT部门员工的安全警告,但是他们仍然还是故意使用那些非常容易记住的密码。
如果从安全的角度来考虑问题,很容易理解为什么必须要使用密码。但是,大多数的用户都不愿意去记密码,更不愿意对不同的系统使用不同的密码。
然而,现在可以为他们提供另外一种可供选择的方法,用户不需要携带多个不同的密码。对于那些远程用户的认证,使用一次密码生成的硬件令牌如RSA 的安全ID(SecureID),已经成为一种非常普及的替代方法,但是,通常说来,这种方法只是一种作为位于密码之上的第二层安全来部署的,而不是作为密码的替代方法来实现的。
曾经认为智能卡(Smartcards)技术将可能让认证世界变得非常简单,但是这种曾经让人狂热追捧的技术现在成了一种让人感到厌倦的技术,目前已经退到了次要位置。曾经认为,在2003年和04年,公开密钥基础设施(一种通过挑战和应答方式来进行加密和认证的框架)将会随处可见,但是由于客户缺乏兴趣和解决方案的复杂性,导致这种技术目前已经退到一种与认证世界不相干的局面。
要想在用户认证策略方面发生引人注目的变化,即使是出现一个比如今正在使用的选项更容易并且更具有实践性替代方案,也还需要很长一段时间。其中一个替代方案就是生物特征识别技术,这种技术的思想来源于早期的科幻作品,但是如果它想要让各个企业相信生物特征识别技术是替代目前这种让人厌烦的密码技术的可行方案的话,它还要为之付出艰苦的努力。
当然,虽然如此,还是有一些单位部署了这种技术:例如,最常见的场合是数据中心。在那些保存有敏感数据的房间门口经常会使用指纹几何识别设备,通过扫描来者的指纹来确定是否让这个人进入该房间。Disney乐园也采用了这种技术,他们通过这种技术来识别持有季票卡的人是否确实是其本人。一些政府部门正在展开激烈的讨论:他们讨论的内容包括使用面部识别技术以及指纹扫描技术是否能够在实践中更好的识别游客。长期以来,财政机构一直在使用这种生物特征识别技术来保证他们那些迷宫似的敏感区域的安全。也许因此会有人告诉我们,大多数公司都拒绝讨论他们目前在使用哪些安全技术或者没有使用哪些安全技术。
通过比较国际生物特征识别集团(IBG)2000到2005年的市场报告和2003年到2008年的市场报告(他们是根据美国市场上生物特征识别技术部署的情况分析得到这两份报告的),我们认为生物特征识别技术的部署情况远低于人们原来的期望。在2000年,IBG 预测全世界范围内的生物特征识别技术的财政收入将从2000年的3.994 亿美元上升到2005年的19亿美元,他们认为私营企业部署这种生物特征识别技术的财政收入将在2003年超过政府部门在这方面的投入。IBG 认为,在2005年,生物特征识别技术在PC领域以及网络访问方面的销售额将达到 4.23亿美元。
去年,属于少数派的观察者Frost & Sullivan坚持认为,在2003年,全球市场上的生物特征识别技术的财政收入为3.033 亿美元——但是时间才过去一个月,IBG 认为,2003年世界范围内的生物特征识别技术的财政收入已经达到了7.19亿美元,比该集团对2003年的预测值低 20%。
这两个公司都对生物特征识别技术未来的前景非常看好,IBG 认为在2004年这种技术的财政收入将达到12亿美元,而Frost & Sullivan 则预测在2009年这种技术的财政收入将达到35亿美元,这些预测在很大程度上将依赖于需要使用生物特征识别技术的边界控制项目。
在2000年IDC 给出的预测中,它认为指纹扫描技术(到目前为止,这是一种很容易实现而且能够让大家都能够接受的生物特征识别形式)在2005年的价值将能够达到6.56亿美元。然而,针对指纹扫描技术的销售,IBG 自己在2004年的乐观估计数字是3.5 亿美元,该集团给出的数字从一个侧面反应出这些数字增长的障碍在于缺少生物特征识别技术的标准以及在全世界范围内推动这种技术的速度开始减缓。
" 虽然这种技术让人激动,并且有潜在的实用性,但是,生物特征识别技术还不具备成为企业有效选择或者作为普通认证方式的补充的条件。"META 集团的分析师们在去年的一份报告中指出。" 生物特征识别技术想要广泛被接受,还需要解决相应的精确度、标准、一体化以及成为这个领域的领路人等方面的问题。我们预计在2005年末或者2006年的早些时候,我们能够看到政府部门以及零售投资部门都鼓励将这种技术作为一种可行的选项。"
生物特征识别技术在商业上取得成功困难吗?
正是由于现在所面临的这些困难,阻碍了这些本应该爆炸式增长的市场,如果这种替代密码的方案是一个很容易实现的商业案例的话,那么公司可能会考虑使用这种技术。
如果不使用这种技术的话,想一想目前的密码方案给IT部门带来了多么沉重的负担。每个用户都有一个密码,甚至有的人可能有好几个密码,一般说来,所有的密码每个月或者每两个月就必须更换一次。
和大多数人一样,用户们常常会忘记他们的密码,因此必须打电话给技术支持部门让他们给重新设置一个密码。仅仅考虑由此带来的劳动力的损失的话,Gartner 估计,重新设置每个密码所花费的成本在51美元到147 美元之间,或者说每个用户每年的成本大约在400 美元到 600 美元之间。Gartner 的研究估计,在那些需要技术支持的电话中,大约有20%到50%的电话都是用户需要重新设置他们的密码而打的电话。
换句话说,在一个中等大小大约有500 个用户的企业环境中,仅仅用于用户的密码更新一项,企业每年大约需要花费250000 美元。在大多数的公司中都不会提供这些数字,因为这些数字都包含在所有的技术支持费用中了,但是如果把这些费用从技术费用单列出来,你就会发现这是很大的一笔费用。
定期更新密码这个问题也是企业常常容易忽略的一个安全风险,因为通过电话认证的方式需要技术支持操作人员确信一点,那就是在电话中和他们建立连接的这个人确实是他们想要和他说话的那个人。对于通过电话建立连接这一事实,虽然许多公司都有明确的规定,但是,这种手工过程留下了一个很大的潜在的安全漏洞,这个漏洞很容易就会被有不良企图的人所利用。
现在,考虑使用这种使用生物特征识别技术的替代方案:如果在每个桌面安装一个USB 口的指纹扫描器需要75澳圆,在同样的环境中一次性投资需要37500 澳圆。用户几乎不可能忘记他们的指纹,而且对那些指纹已经加密保存在磁盘数据库的桌面系统和笔记本电脑来说,可以很容易实现访问控制的配置。
网络应用程序也可以用同样的方式来保证其安全性,使用扫描得到的指纹可以产生一个很长而且是唯一的字符串,对于那些试图犯罪的人来说,猜解这种字符串比猜解那些简单的只包括文字和数字的密码的过程要难的多。
大量的成本昂贵的与密码相关的技术支持电话数量几乎降低到了0 ,而用户得到他们需要的应用程序的速度要比原来快的多。特别是那些敏感应用程序,可以得到两层甚至是更多层次的保护,对于那些需要密码并且每天都需要访问的系统来说,消除了烦杂的密码认证过程可以为企业节约了大量的资金。
功能强大的USB 扫描器不是引入指纹扫描技术的唯一方式,当然这种形式的认证也并不是现在所仅有的生物特征识别技术的实现形式,但是这是唯一的可以降低成本的方式,也是唯一的使得生物特征识别技术可以存活于各种工作场合的认证选项。多年以来,鼠标、键盘以及各种不同模式的PDA 如惠普的iPaq都提供了内置的指纹扫描装置;也有少数的笔记本电脑制造商跟随这个潮流,提供了相似的功能。为了实现他们自身的利益,IBM 在去年末也发行了它的第一款内置指纹扫描装置的笔记本电脑。
对于那些考虑引入生物特征识别认证技术的公司来说,在他们进行下一次桌面电脑升级的时候,那些已经广泛使用的指纹扫描器设备是值得他们考虑的。在我们上面所讨论的成本计算等式范围内,小幅增加成本使得这些设备具有生物特征识别能力,从而可以采用这种替代密码的方案。总体说来,这种方案要比原有的密码方案潜在的节约成本。
最大的症结所在
虽然这种技术工作的很好,并且存在着大量的商业机会,但是,目前在公司的信息化战略中,要使用生物特征识别还存在着很多的困难,这对那些认为从基于密码的安全向基于生物特征识别技术转移势在必行的人来说,简直是一种讽刺。
大多数公司之所以不愿意使用这种技术,其原因是很明显的。很显然,人们对生物特征识别技术的信心是一个关键问题:总体说来,尽管这种技术有很强大的性能,但是消费者的信心还是被偶然的研究发现击跨,如臭名昭著的" 讨厌的手指" (这是一种迷惑指纹扫描器的方法),这种方法可以悄悄收集每天的使用者的指纹,然后利用这些指纹制造用于识别的伪造指纹。
生物特征识别技术提供商可以通过增加传感器的方法来防止这种欺骗——例如,使用传感器来检测手指上血液的流动。然而,任何声称安全的技术都有可能被攻克,也可能从根本上被破坏,特别是在这种技术还没有确定其危险等级的时候。面对生物特征识别技术这种未知的安全风险前景,虽然知道密码解决方案的成本非常昂贵,但是大多数的公司还是强忍痛苦选择了密码解决方案,并且还在承受密码系统所带来的高额费用。
之所以会造成这种延迟,一部分原因可能是由于已经建立的对生物特征识别技术的概念所造成的:几年前,分析师们认为生物特征识别技术的成功与否将与相关的技术如智能卡和公开密钥基础设施绑定在一起,他们认为将会使用这些技术来保证生物特征识别技术签名的安全,而扫描得到的图像将与这些信息进行比较。然而,随着公开密钥基础设施和智能卡成为企业级安全中的一个小小注脚,生物特征识别技术也从这种联合中感受到了痛苦。
" 有很多公司正在排队加入到使用生物特征识别技术的行列中来,但是,此时此刻他们正在非常仔细的分析成本效益比、功能以及产品的价格," 前国务大臣也是私有化的倡导者Terry Aulich,如今也是生物特征识别技术学会中本地生物特征识别技术中心中杰出的项目经理和战略咨询人员。" 正如客户需要检查他们的需求一样,这个行业已经做好了起飞的准备,但是我认为,它仍然不会脱离其他行业类似的模式:人们会采取更现实的做法。"
另外一个遭受挫折的主要原因并且这也是一直困扰生物特征识别技术的一个问题就是:用户对这种技术的认知度。也许IT经理非常欣赏指纹扫描技术的优点,但是,无论使用用户的手指来进行身份识别具有何等的简易性,可能仍然有许多用户愿意继续与密码做斗争。
由于不确定人们对生物特征识别技术不信任的根源,因此关于误用生物特征识别技术标识符的争论仍然带有一定的不确定性。" 这是一种文化方面的问题," Aulich表示," 从某种程度上说,人们常常会把生物特征识别技术(如指纹)与犯罪控制联系在一起,而这种概念在人们的脑海中根深蒂固。"
与固有的不信任相并列的另一个问题是,看起来任何使用生物特征识别技术的政府部门都好像在试图收集尽可能多的个人信息,这是这种技术注定要解决的问题。关于在护照中使用生物特征识别技术识别符的讨论结论是:看起来美国政府将采取强硬措施使用带有生物特征识别技术标记的护照。这已经引起了人们对隐私的担忧,人们担心关于技术的讨论将会更进一步的隐藏所有的有用信息的讨论。
无论使用生物特征识别技术是否会导致违反隐私方面的法规,与这种技术本身没有关系;虽然从理论上来讲,就像现在公司内部强制使用基于密码的访问一样,公司内部要求使用生物特征识别技术来进行访问控制也是正当的,但是由于员工对这项技术的负面理解,使得那些试图引入这项技术的公司会遭到了员工的反抗。
" 对此实施变革管理需要考虑一些因素。" 生物特征识别技术集成商Biometrix 的总裁Ted Dunstone表示。对于采用生物特征识别技术的公司,他建议采取缓慢而稳健的实现方法,从只对常用的应用程序采取生物特征识别技术认证逐渐过渡到对更为敏感的应用程序的多层认证实现方式。
" 如果你跑到公司中,坚持人们应该使用这种技术,人们自然会对这种技术有一种内在的怨恨。在将这种技术引入到工作人员中间的过程中,你不能采取强制措施来实现你的目的;你会发现,在使用的过程中将会有各种各样的说法,但是你只需要给用户们演示,让他们知道使用这种技术要比他们输入密码容易的多。"
有些公司会发现,某种类型的生物特征识别技术要比其他技术更容易接受;一般说来,如果某种技术的使用对用户的干涉越少,用户接受的可能性就越大。正是由于这个原因,语音识别提供商正在享受他们的成功,因为他们只需要在现存的语音识别应用程序(如在实现机票预定以及其他需要电话交互的呼叫中心系统中)增加基于模式的语音认证模块就可以完成他们的工作。
由于每天都需要用到电话,而如今网络语音电话已经随处可见,因此这种语音认证技术可能是生物特征识别技术中对用户干涉最少的技术 ——对于那些需要通过电话确认远程工作人员身份或者客户身份的企业来说,这是一种非常有价值的技术。
" 生物特征识别技术在语音方面的应用是相当成功的。" 一个语音系统方面的专家 Clive Summerfield表示,正是他创立并且在销售Syrinx 语音系统(Syrinx Speech Systems),如今他正准备用他目前的资产3sh 投身于生物特征识别技术。
" 让呼叫中心的操作员询问呼叫者的个人信息是在浪费时间,同时还会让客户感到灰心,这对呼叫中心来说是一个巨大的安全漏洞,因为呼叫中心代理通过这种方式可以得到有关的个人信息并且有可能用这些信息为自己谋取利益。"Summerfield表示。
" 通过使用语音生物特征识别技术,你可以实现一个双重认证系统,在这个系统中双方都使用你所知道的一些信息——比如你的名字或者地址——以及你的语音特征。这样以一来,你不仅成倍的增加了认证的可信度,而且同时还可以让你的电话网络做好了让其他人访问的准备。
当然,没有用户的同意,即使是引入了其他的生物特征识别技术,也无法完成这种工作。认识到这种事实后,生物特征识别技术协会的企业成员为了能够在不同的企业内使用生物特征识别技术而收集和使用生物特征识别技术信息,他们已经开始从事正规化的守则方面的工作。
目前,在联邦隐私委员会同意评估反对联邦隐私法的请求之前,对于那些对引入生物特征识别技术有兴趣的公司来说,无论他们是将这种技术用于识别员工还是用于识别他的客户,这个法律的引入(有望于在今年中期推出)都将为他们提供一个更为一致性的策略目标。
建立一个谨慎管理的程序将使得企业能够证明他们一直遵守守则,从长远观点来看,Aulich希望用行动鼓励公司考虑采用生物特征识别技术。" 大量的组织在引入的新技术或者新程序以及这些技术或者程序提供的新服务的时候,需要努力设法确信他们已经系统的评估过所存在的隐私问题。"
" 目前,对于生物特征识别技术还没有一个真正的基准,而我认为这个守则将使得这些公司、普通的公众以及政府代理机构对这些生物特征识别技术感到很舒适。这个法令将给他们提供一个工作的基准,并且有一个程序可以帮助他们系统的评估这些技术是否涉及隐私问题。 "
让生物特征识别技术更易用
与几年前相比,目前的生物特征识别技术更可靠而且更为通俗易懂。现在这种技术已经丧失了它原有的科幻概念,并且已经找到了前进的路线,但是这将依赖于那些愿意使用这种技术的各个不同的公司的意愿。公开他们的使用过程,让其他人学习他们的经验。
随着时间的推移,整个趋势是实现全面的身份管理架构,而将生物特征识别技术作为认证技术的元素之一,将会找到适合自己的实现速度。这个趋势是基于身份管理的理念的,在这个领域的一个相对较新的而且醒目的广告用语已经唤醒了早期在认证方面的努力,这些元素包括远程用户认证、公开密钥、基于策略的访问控制、集成目录服务以及其他元素。
META集团最近的一次分析说明,在未来的几年中,身份架构将被紧紧集成到应用程序中,然后到2007年时在市场上将不再是一个独立的产品,作为用户生命周期管理系统将与其他IT操作功能更为接近。随着这样的身份管理变得越来越普及而且变得越来越标准化,生物特征识别技术还有另外一个方面的优点,那就是作为许多终端用户认证技术之一能够集成到联合身份管理系统之中。
随着生物特征识别技术提供商在不断的标准化他们生产的生物特征识别技术认证设备的接口,将会有更多的集成工作要做。在这个领域, BioAPI联盟(bioapi.org)为了实现这些生物特征识别技术设备和公司的安全架构接口之间的标准化,它已经联合了大约90个提供商。
通过在2000年后半年公开的BioAPI 1.0,已经基本完成了硬件接口的标准化工作,最近的一个对v1.1版本的更新以及相应的国际化版本是 v2.0;然而,将符合BioAPI标准的设备应用到公司的认证框架中仍然需要做很多工作。
对于生物特征识别技术的倡导者来说,这种技术缓慢的发展进程仍然给他们带来了很大的挫伤。生物特征识别技术作为认证技术中的一种常见形式,虽然指纹扫描技术在逐步扩大它的使用范围,表明行业仍然支持这种技术继续尝试,但是目前仍然还不清楚怎样才能够彻底地驱散公司对这种技术的担心。
虽然有很多公司继续考虑在有限地范围内使用生物特征识别技术,但是目前大多数公司将继续观望政府部门运行的生物特征识别技术项目的进展。
尽管他们有雄心壮志,这样的项目(最初只是专注于边界控制)将只是生物特征识别技术在大范围内使用的一个试验,通过这些试验可以说明这种技术离真正的实用还有多大的距离,并且为那些希望重新实现用户认证的企业的未来规划提供一个框架。" 我认为,对大多数人来说,生物特征识别技术不可能很快就会在大多数公司中实现,除非那些引入生物特征识别技术的商业案例已经非常明显,并且对大多数人来说,这种技术是一种不可避免的技术。" Dunstone表示。
" 生物特征识别技术降低了企业的成本,同时公司相应的威胁和警告等级却提高了,但是我认为,要想在大多数公司中见到这种技术,那么至少还需要5 年的时间。"
应用生物特征识别技术其他关键点
在讨论安全性的时候,生物特征识别技术具有非常明显的优点,但是在你决定采用这种技术之前,你还需要考虑一些问题:
评估你的安全风险。和所有的安全技术一样,各种不同形式的生物特征识别技术都有风险。你必须熟悉它所存在的安全风险以及它所提供的优点,特别要清楚的是,与现有的认证方式相比它存在哪些优势和缺陷。
价格如何,安全性如何?从价格上来说,指纹扫描器大大降低了它的价格,但是其他形式的生物特征识别技术的价格仍然相当昂贵。评估一下这种技术可能使用的成本是否与你所要保护的信息的价值是否相当,然后你就能够判断出是否值得你增加额外的投资(通常情况下都是这样的)。
估计你目前的成本。也许你从来没有考虑过这方面的因素,但是为员工维护密码可能会给你增加很大的负担。请与呼叫中心的经理联系,以便得到一些明确的统计数据,看一看在响应变更密码请求方面花费了多少时间,并且估计一下如果采用生物特征识别技术将可能在你的企业中会增加多少成本。
考虑一个分段实现方案。你没有必要在整个企业内同时采用生物特征识别技术;在你大范围使用这种技术之前,确定自己已经在一个很小的用户群体中经过测试,并且要通过这种测试发现可能存在的任何问题。让人们慢慢丢弃他们的密码要比强制他们突然停止做那些他们已经做习惯了的事情。分层实现的安全模式甚至可能比一个全新的安全模式要好。没有必要将生物特征识别技术视为一种全新的密码替代方案,考虑仍然保留密码,并且允许用户继续使用非常容易记住的密码。
获得物理上的安全性。生物特征识别技术不仅仅用于保证系统访问的安全;许多公司使用昂贵的指纹几何扫描器或者iris扫描器作为超强力量的门锁,从而在物理上保证企业敏感部位的安全,但是对于那些普通系统的访问仍然采取密码的方式。
尊重他们的隐私。指纹和其他的扫描设备只是产生一串数字,但是,呵呵,这串数字的意义是什么,一直是大家争论的焦点。使用生物特征识别技术来保证安全并没有超出你的权利范围,但是确信在推出规划之前,要确信包含了哪些用户、涉及到哪些法律、企业以及技术代表,这样可以让他们在后来无话可说。
在雷达的下面还是有很多优势的。每种类型的生物特征识别技术都有自己的干扰级别。也许你会发现员工在认证过程中具有较高程度的干扰现象而停滞不前,但是通过在电话上引入一个无干扰的语音认证系统你仍然可以获得很多优势。这对于认证客户以及确认员工(比如该员工通过内部电话要求技术支持为其更改密码)的身份是非常有用的。
最后能够实现单点登录吗?使用这种不可否认的认证技术最大的优势在于能够实现单点登录(SSO),在这种安全设置中,通过一次挑战 - 应答认证,就足可以为员工提供所有各种不同的应用程序的访问权限。与密码相比较而言,生物特征识别技术是一种非常适合SSO 的技术——所以,现在这种情况可能是让单点登录成为现实的一个机会。
规划生物特征识别技术。多年以前,可靠的指纹扫描技术就变得已经可以使用了,并且,从鼠标到键盘以及PDA ,所有的东西都可以使用它。然而,大多数公司的IT购买者都忽视了生物特征识别技术,这种技术很少投入到实用中去,除非他们存在这样的需求。由于那些具备指纹扫描能力的设备的价格只比那些普通设备高一点点,因此,你在下一次更新硬件的时候就可以考虑使用这种普遍存在的生物特征识别技术。一旦硬件到位了,相应的应用也就会随之而来。
译自zdnet.com.au