问生物特征扫描比多因素认证更安全吗？

EN

生物特征识别技术可以作为身份验证或身份识别，但不能同时进行。

根据维基百科的说法，视网膜扫描精确到大约百万分之一，这意味着今天地球上大约有7,000个人将在视网膜扫描中被识别为你。假设不需要进一步的身份验证，这些人员将在一个(错误)步骤中作为您进行标识和身份验证。

但是，如果再加上外部识别步骤，生物鉴别就成为第二个因素。通常，身份识别是通过标识徽章(“您拥有的东西”)来完成的，而身份验证则通过生物识别(“through”)进行。因此，这确实是真正的双因素认证。

这从本质上比纸牌和密码要好，因为有三个因素，“你知道的东西”是最容易伪造的。

因此，假设使用某种标记进行标识(这在生物认证安装中非常典型，但在这里没有明确说明)，那么这个问题的措辞很糟糕，但至少有正确的想法。相反，假设眼睛扫描作为识别和身份验证都是单独的，那么答案3将是正确的。

无论哪种方式，这个问题都需要澄清。它仅指身份验证，甚至没有任何关于标识的信息；但这是评估系统安全性的绝对关键因素，在这里肯定会产生影响。这是留给读者猜测的内容，作者的头脑，这是糟糕的形式，在书写标准化的测试。

我认为你在这里有两个问题：

1. 学习指南提供的答案在技术上正确吗？
2. 这个样本问题有没有可能没有明确的答案，而且是个糟糕的问题？

关于您的第一个问题，我认为您有一个有效的论点，即智能卡/ PIN至少提供了与生物鉴别器同等的安全性。但这在一定程度上取决于两种系统的实现方式。

智能卡是否只是将静态值与PIN一起存储到身份验证系统？或者它是否包含一个受保护的私钥，它只在直接接收到正确的PIN (意味着auth系统永远不知道PIN)时才签署一次挑战？“眼睛扫描”(视网膜、虹膜还是其他？)从图像中捕获足够多的数据点来表示大量可能的模式？眼睛生物识别系统是否配置了适当的准确性，以拒绝接近，但不是准确的读数(错误接受率)？

但是考试指南没有提供任何这些信息，因此期望你对哪一个是最好的做出一个相当不知情的决定。这就引出了第二个问题。

我不确定这是否是你的第一次技术认证，但预计会感到沮丧。为了评估你对各种主题的知识，你会在没有一个清晰答案的真正的考试中遇到这样的问题。他们可能依赖于你的知识，考试创建者的具体指导，这可能会发表在他们的官方学习指南或辅助材料。

但是，你可能会被留在试图反向工程的问题作者的无文件的看法，导致他们选择一个答案而不是另一个。换句话说，即使你自己不同意，是否有一个答案，从一个角度来看，可能是显而易见的？

一些测试机构投入了大量的时间和精力来确保他们的问题在行业共识和心理健康方面都有很好的基础。但我们的行业也有很多问题需要回答，首先是“嗯，这取决于.”一些测试组织试图简化这种复杂性，以扩展他们的问题库，并在假装有一个明确的答案时对我们不利。

几年前，我参加过Security+考试并通过了7+考试，我的经验是，他们被纳入了后一组。所以，祝你好运，尽量不要在这个过程中太过沮丧！

我认为问题中有一个未公开的假设:军事设施将在入口处有一个警卫。我所知道的对生物识别系统的每一次攻击都假设是一个没有保护或受到破坏的扫描器。如果有一个守卫站在门口，确保你使用的是眼球(不是挖出的眼球，没有照片，没有用虚拟扫描仪代替真实的扫描仪等等)，那么生物识别扫描是一种合理的技术。

在这种情况下，一张智能卡可以被偷，一个密码可以从受害者身上被打出来，但是你不可能骗过守卫让你使用别人的眼球。