Yubico将推出生物识别实体安全密钥

安全密钥开发商Yubico预告,即将发布带有生物识别功能的安全密钥YubiKey Bio,而这将是Yubico第一个集成生物识别功能的产品,目前支持FIDO的YubiKey Bio正在私人预览阶段。官方提到,他们一直在考虑要将生物识别技术,应用在安全密钥中,但是即便想法很简单,但是直到硬件和生态系统能够支持,这项集成才可能发生。

YubiKey Bio搭载指纹传感器,在使用时会要求用户注册指纹,以便之后进行身份识别,部分FIDO2使用场景,用户可以配置YubiKey Bio,同时要求指纹和PIN码进行双重验证,YubiKey Bio目前可以在任何支持FIDO U2F、FIDO2或WebAuthn的服务或是平台上使用。如同YubiKey 5系列一样,当该服务支持FIDO2,且使用安全密钥常驻凭证,YubiKey Bio就可以实现无密码体验。

Yubico提到,使用生物识别和指纹传感器,进行用户身份验证的概念,已经存在数十年,而最终在智能手机上,达到普遍可用的程度,驱使用户接受的理由,并非仅是安全性而是方便性。要在安全密钥集成生物识别的挑战之一,便是要能够提供跨平台的支持,使用户获得一致且良好的用户体验,就像使用笔记本、平板电脑或是智能手机等设备,内置的生物识别传感器一样。

由于现在FIDO2已经支持广泛的生物识别类型,包括指纹以及脸部识别,因此已经能够在不同的终端用户设备上,提供无缝的身份验证体验。官方提到,在智能手机上,指纹认证是系统中的一部分,因此结合屏幕指示以及明确的用户接口,用户在移动设备上设置和管理指纹锁定,成为一件简单且主动的事,但YubiKey必须能够跨平台运行,因此面对的情况完全不同,再加上指纹传感器会因为皮肤水分和温度不同,而影响扫描的效果。

为了减少指纹传感器可用性问题带来的影响,PIN码成为YubiKey Bio指纹识别的替代身份验证方法,YubiKey Bio会默认使用生物识别,但是当出现问题,便允许用户输入PIN码,类似iPhone的指纹解锁体验,官方强调,对于用户需要每天进行系统认证的场景,YubiKey Bio能够提供方便性,让验证变得更方便简单,但是对于非经常性的身份验证,YubiKey Bio则无法增加太多的便利性。

虽然指纹识别已经发展很长一段时间,但是仍存在安全风险,攻击者可能窃取用户的指纹,以骗过指纹识别系统。除此之外,生物识别系统的安全威胁,还包括设备处理生物特征的方式,为了避免生物识别组件的漏洞,可能破坏核心安全性,因此YubiKey将生物识别子系统,和密钥核心功能切割开来,确保密钥核心安全。

YubiKey会在专用的安全组件中处理生物特征,并且加密安全组件与YubiKey软件间的通信,避免窃听与重送攻击。Yubico强调,目前所有的指纹传感器,都容易受到高品质的指纹照片欺骗,不过因为绝大多数潜在的攻击者,都无法物理上靠近受害者,也就无法实际取用设备,再加上他们特别挑选的YubiKey Bio组件,大大增加攻击者要骗过指纹传感器的难度。