关于生物特征认证和密码也存在类似的误解。虽然生物特征认证并非完全不受攻击（就像航空旅行并非完全无风险一样），但基于 FIDO2 的生物特征认证比传统密码安全得多。 

让我们消除一些常见的误解，并探讨为什么对生物特征认证的担忧（就像对飞行的恐惧一样）可能是没有根据的。 

生物特征识别、验证和身份验证基础知识

生物识别技术在身份管理的各个方面发挥着至关重要的作用。为了避免混淆，让我们澄清一下不同但相互关联的概念：

身份识别 会询问“你是谁？”生物特征识别将生物特征与执法或安全机构使用的存储信息数据库进行比较。

身份验证 会询问“您真的是您声称的那个人吗？”身份验证是通过生物识别技术确保所声称的身份与现实相符。它通常在开设新账户时使用。

身份验证会询问：“这与您的身份证相符吗？”身份验证的一个例子是使用活体检测进行自拍照，以确认您的真实面孔与驾照上的照片相符。

身份验证会询问“您真的是在尝试登录吗？”身份验证用于确认尝试访问帐户的人是合法所有者。

当我们谈论网络安全中的生物特征认证时，我们主要关注的是最后一个问题：“这是真正的账户所有者吗？”使用生物识别技术有助于我们确保登录请求来自真实用户，而不是使用 deepfakes 等技术的复杂模仿者。

什么是 FIDO2？

FIDO2 是一种开放式身份验证标准，可使用公钥加密技术实现 无密码登录在线服务。这种去中心化的身份验证模型使用公钥-私钥对，通过硬件密钥、万能钥匙和生物识别 等现有方法验证用户身份 。 

在 FIDO2 登录场景中，用户的设备（例如 iPhone）持有一个私钥，该私钥与他们想要访问的服务（例如 Apple iCloud）持有的公钥相匹配。绝大多数网络浏览器（包括移动设备专用的浏览器）都  与该标准兼容。

误解 1：基于人工智能的深度伪造可以轻松地在网上冒充您，并且网络犯罪分子正在积极窃取生物特征数据来创建它们。

虽然人工智能和深度伪造技术的兴起引发了人们对生物特征存储和隐私的合理担忧，但生物特征技术的创新不断提高潜在欺诈者的门槛。

尽管用肉眼识别深度伪造越来越困难，但制作它们并不一定需要存储的生物特征数据。事实上，大多数深度伪造都是使用用户自己在社交媒体上分享的公开内容制作的。 

对于启用 FIDO2 的生物特征认证而言，深度伪造带来的不断演变的威胁并不那么严重，因为生物特征认证不会存储或传输您的实际生物特征数据。

相反，它使用面部或指纹来解锁私钥。威胁行为者唯一可能获取您的生物特征数据的方式就是破坏您设备上的协处理器或 TPM（可信平台模块）。

这基本上是不可能的，成功获取数据点而不是您的面部图像或指纹扫描。

然而，对生物特征数据被盗的担忧仍然存在。2023年泛美人寿保险集团 (Pan-American Life Insurance Group) 数据泄露事件凸显了在非身份验证场景中加强生物特征数据安全性的必要性。

虽然利用原始指纹欺骗生物特征硬件是可能的，但这种情况很少见。这主要是因为在基于 FIDO2 的身份验证中，如果没有配对设备，指纹就毫无用处。

最终，大多数威胁行为者更喜欢简单的社会工程策略，而不是与生物特征扫描仪正面交锋——尽管未来的深度伪造可能需要更严格的方法。

误解2：生物特征信息用于追踪和监控人们的数字生活和现实生活。

人们普遍担心网络犯罪分子、政府或公司会使用生物识别技术进行广泛跟踪，尤其是考虑到通过社交媒体和公共监控收集数据的普遍性。然而，现代身份验证协议遵循一套完全不同的原则。

正如我们之前所讨论的，基于 FIDO2 的身份验证可确保您的生物特征数据永远不会离开设备。

它永远不会传输到服务器，因此任何人都无法拦截或观察它。甚至 您 也无法访问这些数据，因为它仅用于解锁您的私钥。 

如果您访问的服务受到威胁行为者或政府机构的攻击，攻击者仍然无法使用生物特征认证中传达的信息来追踪您，因为：

您的私钥会签署质询并将其发送回服务。服务看不到您的生物特征数据；它只知道您拥有正确的私钥。

即使攻击者能够窃取您手机上的生物特征数据，他们也无法利用这些数据做任何事情。您的智能手机会根据数据点（而不是图像）检查您的指纹或面部扫描。

告诉手机您是否符合生物特征匹配的数据点无法通过逆向工程来生成面部或指纹图像。这是一种单向转换。

许多国家和司法管辖区都实施了严格的数据隐私法，例如欧洲的GDPR和加利福尼亚州的CPRA。这些法规对生物特征数据的收集、处理和存储施加了严格的限制。

根据设计，FIDO2 可以避开（并遵守）许多此类法规，因为生物特征数据仅保留在您的设备上。

这就是为什么区分生物识别身份验证和生物识别技术的其他应用如此重要的原因。

虽然 FIDO2 身份验证可以保护您的隐私，但生物识别技术的其他用途（例如公共场所的面部识别）确实引起了合理的担忧。

但重要的是要认识到使用指纹登录并不是奥威尔式阴谋的一部分。

误解3：生物识别技术的部署成本很高，因此用户不愿意采用。

“但人为因素呢？添加生物特征认证对于极少数采用该技术的用户来说成本太高。”这是董事会和 IT 部门都提出的问题——但这个问题相当不公平，因为根据 Experian 的 2024 年欺诈预测，85% 的消费者认为物理生物特征识别是他们遇到的最安全的身份验证方法。

与此同时，只有 32% 的公司实际上 提供 生物特征认证。那么，为什么犹豫不决呢？

有些担忧是可以理解的。与密码不同，你不能简单地重置指纹或面部。再加上明显的复杂性、明显的用户阻力和潜在的采用障碍，你肯定会犹豫不决。但现实情况却大不相同。

由于每个用户的口袋里都放着一台功能强大的生物识别扫描仪，而且已经建立了许多支持生物识别的身份验证生态系统，因此集成该技术从未如此简单或便宜。

教育是让更多客户（和公司）接受这种新生物识别模式的关键。根据 2023 年 FIDO 在线身份验证晴雨表报告，生物识别等无密码解决方案为用户节省了大量时间并减少了摩擦，同时提高了安全性。

用户需要明白，生物识别并不可怕，反而因其增强的安全性而受到赞赏。 

传统密码不安全且使用起来很麻烦。根据2023 年《福布斯顾问》报告，网络犯罪分子在过去一年内窃取了 46% 美国人的密码。

另一方面，基于 FIDO2 标准并可以利用生物识别技术的密钥正在提高身份验证安全性和易用性的标准。

Google 的 2023 安全博客指出，“密钥最初旨在为用户提供更简单、更安全的身份验证体验，到目前为止，事实证明该技术比密码更简单、更快捷。”

密码的身份验证成功率通常低于 14%，但使用本地密钥的身份验证成功率超过 63%。Google 还指出了密钥的速度有多快：传统密码 登录所需的时间是传统密码的两倍 。

生物识别身份验证并非无懈可击。但借助 FIDO2，公司可以从降低拥有成本、缩短价值实现时间以及减少客户摩擦中获益。

对于用户来说，数字看起来也不错：不再有忘记密码的情况，更少的安全事故，以及更高的生产力。虽然对生物识别的误解会继续流传，但事实是，生物识别是实现更顺畅、更安全的身份验证的途径。