安全密鑰開發(fā)商Yubico預告，即將發(fā)布帶有生物識別功能的安全密鑰YubiKey Bio，而這將是Yubico第一個集成生物識別功能的產品，目前支持FIDO的YubiKey Bio正在私人預覽階段。官方提到，他們一直在考慮要將生物識別技術，應用在安全密鑰中，但是即便想法很簡單，但是直到硬件和生態(tài)系統(tǒng)能夠支持，這項集成才可能發(fā)生。

YubiKey Bio搭載指紋傳感器，在使用時會要求用戶注冊指紋，以便之后進行身份識別，部分FIDO2使用場景，用戶可以配置YubiKey Bio，同時要求指紋和PIN碼進行雙重驗證，YubiKey Bio目前可以在任何支持FIDO U2F、FIDO2或WebAuthn的服務或是平臺上使用。如同YubiKey 5系列一樣，當該服務支持FIDO2，且使用安全密鑰常駐憑證，YubiKey Bio就可以實現(xiàn)無密碼體驗。

Yubico提到，使用生物識別和指紋傳感器，進行用戶身份驗證的概念，已經(jīng)存在數(shù)十年，而最終在智能手機上，達到普遍可用的程度，驅使用戶接受的理由，并非僅是安全性而是方便性。要在安全密鑰集成生物識別的挑戰(zhàn)之一，便是要能夠提供跨平臺的支持，使用戶獲得一致且良好的用戶體驗，就像使用筆記本、平板電腦或是智能手機等設備，內置的生物識別傳感器一樣。

由于現(xiàn)在FIDO2已經(jīng)支持廣泛的生物識別類型，包括指紋以及臉部識別，因此已經(jīng)能夠在不同的終端用戶設備上，提供無縫的身份驗證體驗。官方提到，在智能手機上，指紋認證是系統(tǒng)中的一部分，因此結合屏幕指示以及明確的用戶接口，用戶在移動設備上設置和管理指紋鎖定，成為一件簡單且主動的事，但YubiKey必須能夠跨平臺運行，因此面對的情況完全不同，再加上指紋傳感器會因為皮膚水分和溫度不同，而影響掃描的效果。

為了減少指紋傳感器可用性問題帶來的影響，PIN碼成為YubiKey Bio指紋識別的替代身份驗證方法，YubiKey Bio會默認使用生物識別，但是當出現(xiàn)問題，便允許用戶輸入PIN碼，類似iPhone的指紋解鎖體驗，官方強調，對于用戶需要每天進行系統(tǒng)認證的場景，YubiKey Bio能夠提供方便性，讓驗證變得更方便簡單，但是對于非經(jīng)常性的身份驗證，YubiKey Bio則無法增加太多的便利性。

雖然指紋識別已經(jīng)發(fā)展很長一段時間，但是仍存在安全風險，攻擊者可能竊取用戶的指紋，以騙過指紋識別系統(tǒng)。除此之外，生物識別系統(tǒng)的安全威脅，還包括設備處理生物特征的方式，為了避免生物識別組件的漏洞，可能破壞核心安全性，因此YubiKey將生物識別子系統(tǒng)，和密鑰核心功能切割開來，確保密鑰核心安全。

YubiKey會在專用的安全組件中處理生物特征，并且加密安全組件與YubiKey軟件間的通信，避免竊聽與重送攻擊。Yubico強調，目前所有的指紋傳感器，都容易受到高品質的指紋照片欺騙，不過因為絕大多數(shù)潛在的攻擊者，都無法物理上靠近受害者，也就無法實際取用設備，再加上他們特別挑選的YubiKey Bio組件，大大增加攻擊者要騙過指紋傳感器的難度。
責任編輯：YYX