门卫:你是谁?
访客:我是XX部门的新员工XXX。
放行
门卫 :你是谁?
访客:我是XX部门的新员工XXX。
门卫 :请出示你的证件。
访客亮出工(狗)牌,放行。
这是我刚入职时,部门前辈给举的例子,为了说明鉴别和识别的区别。从上例可以看出,鉴别比识别多了一个证明你是你的步骤。一个区别,安全性提高88%。
身份鉴别包含身份标识(姓名)+鉴别信息(证件)。
如果证件忘带了呢?你可以这么和门卫大爷说:
我知道XX领导的分机号是XXXX。
大爷迅速对比记忆和通讯录,放行。
你也可以这么和大爷说:
我今天工牌没带,但是前两天录了指纹,我们不是指纹打卡上下班吗,我打个卡给你看看。
滴,验证通过。放行。
以上三种鉴别方式分别对应:
类型1:你知道什么(XX领导的分机号,通用鉴别信息密码,也属于你知道的东西)
类型2: 你拥有什么(工牌、身份证、门禁卡等证件)
类型3: 你是什么(指纹、声纹、虹膜、脸部形状等生物信息)
从1到3,保护力度逐渐增强,攻击难度增大。再大一点就是双因素鉴别:以上3选2的组合。
密码是最常用的鉴别方式,也最容易被攻击。常见的密码攻击包括暴力攻击 、字典攻击、生日攻击 、彩虹表攻击、社会工程以及上述的结合。总之会有不怀好意的人尝试各种方法破解你的密码,登录你的账户,然后做不怀好意的事。
很多网站要求用户设置密码复杂度(8位以上,大小写字母、数字、特殊字符的组合),还要定期更换,安全系数是提高了,但是太复杂了脑子记不住,记在备忘录里也是不安全的,怎么办呢?此处有一条实用建议:
使用密码短语。
比如:番茄酸酸甜甜真好吃→fqssttzhc,对你有特殊含义,但是既没包含名字也没生日,长但是好记,别人又不容易猜到。再稍加变形,部分字母大写,结尾加上感叹号 →FqssttZhC!
再不容易被破解的密码也不能一套走天下,否则一个被破解,全员皆裸奔。针对不同应用,变形如下:
变形1:夏天的番茄酸酸甜甜真好吃→xtdfqssttzhc
变形2:冬天的番茄寡淡无味→dtdfqgdww
变形3:这是马爸爸的专属番茄 →zsmbbdzsfq
说到哪了,针对类型2: 你拥有什么(工牌、身份证、门禁卡等证件)有哪些攻击手段和防护方式。盗取?复制?办假证?我不能瞎说,跳到类型3,生物信息。
生物特征鉴别的主要问题不在于被破解的难度,而是它的识别率。(一般都说生物识别,而不是生物鉴别,此处识别指系统接受正确生物特征的程度,非前文的识别和鉴别的区别)
手指磨损打不上卡,刷脸识别不了,甚至有同事刷脸跳出我的名字。
正确的识别不了,是错误拒绝FRR(False Rejection Rate);无效的身份认证通过或者识别错人,是错误接受FAR(False Acceptance Rate)。
错误接受的风险大于错误拒绝(宁可错杀一千,不可放过一个),识别端越敏感,错误拒绝率越高,错误接受率越低。风险是降低了,体验太差,反过来也是如此。所以要调啊调,调到FAR=FRR的某个点,这个点就是CER(Crossover Error Rate)交叉错误率。
本篇完,欢迎关注后续「你到哪里去」。
