问使用移动电话的远程生物鉴别

EN

生物识别技术不应用于直接的远程认证。它有两个主要缺陷：

• 它必须以明文存储，或者至少在服务器上使用可逆加密--已经多次讨论为什么不可能存储指纹的散列，主要是因为捕获者每次所看到的可能略有不同。
• 如果受到损害，它不能被撤销。

因此，如果一台服务器有一张指纹图像来验证你的身份，如果有人设法获得了一张指纹图像(从服务器、护照、啤酒杯等)。他将能够代表您进行身份验证，而您唯一能做的就是找到另一种身份验证方法。

正确的方法(在这是微软的一页上描述)是在本地系统(例如移动电话)上拥有一个私钥，并且该密钥由您的指纹在本地保护。但是，即使在这种情况下，所有的都存储在移动电话(*)(私钥和指纹图像的可逆形式)上，所以如果它被偷了，您必须立即要求服务器撤销当前的密钥。好的一点是，由于密钥是一个与指纹无关的不对称密钥，您可以很容易地撤销它，并创建一个新的在新手机上使用的密钥。

(*)这意味着手机可以用指纹解锁，你没有多因素认证系统，但只有你拥有的东西。

尽管如此，为了保护本地设备的安全，指纹可能不如好密码安全，因为它可能存在于您的护照和您使用过的最后一个玻璃上，但肯定比普通的指纹更安全，至少您永远不要忘记它.

生物识别系统比语音系统更安全(我亲自尝试过欺骗语音认证)，但我认为更大的问题将是使它可以访问。

目前，支持生物识别认证的硬件还没有出现在许多手机上。尤其是中档的。

在印度、孟加拉国等国家，一般用户甚至是临界数量的用户需要数年的时间才能接触到这类手机，因此技术才能成为一种规范。