生物識(shí)別來(lái)襲，密碼將死？

我們的日常生活已經(jīng)無(wú)法離開密碼。無(wú)論是銀行賬號(hào)、手機(jī)、平板、郵箱，還是購(gòu)物網(wǎng)站、論壇、社交網(wǎng)絡(luò)，都需要密碼解鎖和登陸。我們費(fèi)勁心神想出各種各樣盡可能難破解的強(qiáng)勁密碼，并努力記住它們。然而，數(shù)量繁多的密碼常常讓我們糊涂不已，不時(shí)懷疑自己的記憶力。為了減輕大腦負(fù)擔(dān)，不少人在所有賬號(hào)上都使用同樣的密碼，最受歡迎的是昵稱、生日或門牌號(hào)。但在這種情況下，一個(gè)密碼不慎泄露就意味著多個(gè)領(lǐng)域面臨信息曝光、錢財(cái)被盜的危險(xiǎn)。近年來(lái)發(fā)生的一波又一波密碼泄露事件給人們敲響了警鐘。

發(fā)送手機(jī)驗(yàn)證碼是保護(hù)密碼安全的一種短期解決方案，但仍有明顯的安全漏洞，不是長(zhǎng)遠(yuǎn)之計(jì)，例如很多智能手機(jī)都能在鎖屏狀態(tài)顯示新信息的內(nèi)容。而生物密碼就是一種長(zhǎng)期的解決方案，是能夠代替有著原生缺陷的密碼大潮的魔力技術(shù)：身份識(shí)別不再依賴于字符密碼，而是基于人體的獨(dú)特不可變性，例如眼睛、聲音或臉。生物識(shí)別非常方便，因?yàn)橛脩糇陨砭褪墙怄iWindows、應(yīng)用程序、數(shù)據(jù)、網(wǎng)站和服務(wù)的密鑰，而且理論上一個(gè)人永遠(yuǎn)不會(huì)丟失或忘記自己的指紋、臉或虹膜。

所有生物識(shí)別技術(shù)都遵循同樣的模式。為了根據(jù)生物特征識(shí)別一個(gè)人的身份，必須先存入目標(biāo)人信息，以便系統(tǒng)和掃描到的人體信息作比對(duì)。借助感應(yīng)器或掃描儀獲取虹膜或指紋信息后，利用電腦程序?qū)⑦@些信息轉(zhuǎn)化為人們能夠理解的數(shù)據(jù)，然后將之存儲(chǔ)在中央數(shù)據(jù)庫(kù)或是個(gè)人芯片上。

目前傳統(tǒng)密碼仍然占據(jù)主要地位，但生物識(shí)別技術(shù)在各高新領(lǐng)域的應(yīng)用已經(jīng)越來(lái)越廣泛。雖然生物識(shí)別技術(shù)潛力巨大，但昂貴的生物識(shí)別設(shè)備容易造成巨額開支，技術(shù)的不足使其仍然存在安全隱患，用戶的接受度也還有長(zhǎng)足發(fā)展空間。例如很多人都對(duì)需要接觸感應(yīng)的識(shí)別方法抱有衛(wèi)生上的疑慮（例如指紋識(shí)別），或者不愿光束照進(jìn)眼睛（例如虹膜掃描），或是認(rèn)為這侵害了個(gè)人隱私權(quán)（這些被儲(chǔ)存的信息會(huì)用來(lái)做什么？）。因此，如何在生物識(shí)別技術(shù)的安全性、便捷性和成本之間找到一個(gè)平衡點(diǎn)，仍是一個(gè)需要考慮的問(wèn)題。

指紋的秘密

理論上來(lái)說(shuō)，每個(gè)人都擁有獨(dú)一無(wú)二、終生不變的指紋，即使是同卵雙胞胎，其指紋也各不相同。因此長(zhǎng)期以來(lái)，指紋分析一直是一種標(biāo)準(zhǔn)的刑事偵查手段。

近十年來(lái)，指紋掃描儀在主流商業(yè)中也獲得了一席之地。和刑事偵查中的沾墨水指紋鑒定不同，要獲取電子指紋，只需將手指放在能讀取指紋信息的感應(yīng)器上。奧迪最新上市的A8汽車能夠通過(guò)指紋識(shí)別車主。加拿大和新加坡的一些機(jī)場(chǎng)已經(jīng)開始利用指紋為飛行?？吞峁┛焖俚菣C(jī)服務(wù)。一些大型歐洲博覽會(huì)的芯片卡門票也是帶指紋識(shí)別的，這樣可以避免一張入場(chǎng)周票給多人使用的情況發(fā)生。歐洲最著名的生物識(shí)別入場(chǎng)控制系統(tǒng)是意大利那不勒斯附近的Tarí珠寶中心，約5500名員工必須通過(guò)指紋識(shí)別才能進(jìn)入辦公場(chǎng)所。

隨著技術(shù)發(fā)展，指紋比對(duì)的精確度已經(jīng)得到了明顯改進(jìn)，費(fèi)用也已下降。但是指紋識(shí)別有其固有的問(wèn)題，最明顯的就是手指燒傷和切傷等傷口的影響，此外臟污、墨水、油、防曬霜甚至潤(rùn)膚露都可能干擾指紋識(shí)別。

此外，在目前還發(fā)展得不夠完善的指紋識(shí)別系統(tǒng)中，僅需一個(gè)攝像頭就可竊取身份。如果擁有某個(gè)政治家的一張手部照片，要復(fù)制其指紋信息并不是難事。德國(guó)國(guó)防部長(zhǎng)烏爾蘇拉·范德萊恩有一雙漂亮的手，說(shuō)話時(shí)常常伴隨著手勢(shì)：攤開的手心，伸開的手指。從政治交流的角度來(lái)看，這些動(dòng)作毫無(wú)問(wèn)題，而且顯得她富有行動(dòng)力，干勁十足。但是柏林科學(xué)家彥·克里斯勒表示，考慮到個(gè)人安全，這位部長(zhǎng)還是應(yīng)該拽緊拳頭。如果黑客攻擊了某人的智能手機(jī)相機(jī)，只需這人短暫地接觸一下屏幕，即可獲取這只手指的圖像。此外，我們太容易留下自己的指紋信息。2008年，克里斯勒曾以時(shí)任內(nèi)政部長(zhǎng)沃爾夫?qū)に芬敛祭諡槔故救绾卧诓灰俗⒁獾那闆r下，輕易提取、復(fù)制其留在一個(gè)玻璃杯上的指紋。更加難以控制的是，指紋識(shí)別有時(shí)甚至可能帶來(lái)人身傷害，例如在劫犯的強(qiáng)迫下按下指印，甚至被切下手指。

聲音密碼

聲音識(shí)別似乎非常適合智能手機(jī)。它能處理人類聲音，并給聲音降噪。但是聲音識(shí)別系統(tǒng)目前仍然很難忽略環(huán)境因素的影響，交通噪音、談話、電視、音樂(lè)和其他聲音都會(huì)降低其精確性，感冒或咳嗽的用戶也可能被鎖在外面。而且聲音識(shí)別有時(shí)非常不實(shí)用：想想一個(gè)人在公交車或地鐵上朝著自己的手機(jī)大吼，試圖解鎖它的情景吧！

聲波紋也能如同密碼一樣被竊取。“世界頭號(hào)黑客”凱文·米特尼克曾引誘一家財(cái)經(jīng)公司CEO說(shuō)出從零到九的數(shù)字，并利用它們通過(guò)了銀行聲控系統(tǒng)。此外，聲音數(shù)據(jù)本身也能泄露一個(gè)人的性別和國(guó)籍信息，甚至年齡和情緒狀態(tài)。目前的聲音識(shí)別發(fā)展致力于解決這些問(wèn)題。

人臉識(shí)別

人臉識(shí)別是生物識(shí)別技術(shù)的另一種常見形式，也可應(yīng)用于消費(fèi)電子產(chǎn)品，因?yàn)閹缀跛惺謾C(jī)和平板都已經(jīng)配有高分辨率的攝像頭。該技術(shù)基于記錄臉上各部位的大小、形狀和距離來(lái)實(shí)現(xiàn)，例如眼睛、下巴、鼻子和顴骨，有些系統(tǒng)還會(huì)考慮皺紋和痣等因素。目前主要應(yīng)用在數(shù)碼相機(jī)的人臉自動(dòng)對(duì)焦和笑臉快門技術(shù)，人臉識(shí)別門禁系統(tǒng)，電子護(hù)照及身份證等身份識(shí)別，信用卡網(wǎng)絡(luò)支付等領(lǐng)域。

人臉識(shí)別的難度在于，光照、眼鏡、笑容、鬼臉甚至發(fā)型等都會(huì)對(duì)識(shí)別過(guò)程產(chǎn)生影響。即使是最好的人臉識(shí)別系統(tǒng)也得面對(duì)拍攝角度問(wèn)題，而且人們的臉可能隨著年齡、體重的變化，臉部受到傷害或接受醫(yī)療整形，而發(fā)生非常大的改變。因此在用戶配合的情況下，該技術(shù)可顯示出較高的識(shí)別精度，但是一旦用戶不配合，識(shí)別精度就會(huì)陡降?！皫啄昵?，我們的一款高檔人臉識(shí)別系統(tǒng)幾乎每次都無(wú)法識(shí)別出一位老工程師?！泵绹?guó)波士頓的一位安保人員這樣說(shuō)道，“為什么呢？因?yàn)樗雌饋?lái)就像個(gè)標(biāo)準(zhǔn)的瘋狂科學(xué)家，戴著厚厚的眼鏡，滿臉胡須?！?/p>

克里斯勒則表示，對(duì)于不少人臉識(shí)別軟件來(lái)說(shuō)，照片上的人臉也可能蒙混過(guò)關(guān)。例如人臉識(shí)別安全系統(tǒng)KeyLemon可通過(guò)識(shí)別人臉來(lái)解鎖電腦，但是一張分辨率達(dá)到1200dpi以上的照片就可以渾水摸魚，而黑客根本不需要自己拍攝這樣的照片，因?yàn)楹芏嗳硕紝⒆约旱恼掌蟼鞯搅司W(wǎng)上。例如對(duì)于德國(guó)總理安格拉·默克爾這樣的政治家來(lái)說(shuō)，網(wǎng)上有她足夠多的高分辨率的競(jìng)選海報(bào)。而在目前的人臉識(shí)別技術(shù)發(fā)展中，已經(jīng)增加了活體認(rèn)證模塊，致力于識(shí)別當(dāng)前是真人還是照片，視頻還是模型。

虹膜識(shí)別

虹膜識(shí)別是通過(guò)比對(duì)眼睛中的虹膜結(jié)構(gòu)（不是顏色）進(jìn)行身份識(shí)別，常常依賴紅外光的幫助。虹膜識(shí)別和指紋識(shí)別一樣獨(dú)特，而且一般來(lái)說(shuō)更加穩(wěn)定，錯(cuò)誤率更低，因?yàn)楹缒び卸噙_(dá)260個(gè)量化特征點(diǎn)，而指紋只有40個(gè)采樣點(diǎn)。

美國(guó)的Iridian公司掌握虹膜識(shí)別核心算法專利，是虹膜識(shí)別領(lǐng)域的技術(shù)開創(chuàng)者。這些專利到期后，這個(gè)領(lǐng)域又有了新發(fā)展。目前這項(xiàng)技術(shù)主要應(yīng)用在人力監(jiān)督領(lǐng)域，例如移民局或出入境護(hù)照檢查。阿姆斯特丹機(jī)場(chǎng)就裝備了一套虹膜識(shí)別系統(tǒng)，以確認(rèn)乘客身份，提供更安全、迅速的服務(wù)。而乘客也可憑借個(gè)人虹膜卡，不需要經(jīng)過(guò)護(hù)照檢查就可直接登機(jī)。阿聯(lián)酋對(duì)被驅(qū)逐出境的外國(guó)人進(jìn)行虹膜注冊(cè)，阻止其再次入境。而在阿富汗和巴基斯坦，聯(lián)合國(guó)使用虹膜識(shí)別系統(tǒng)鑒定難民身份，以防止同一個(gè)難民多次領(lǐng)取救濟(jì)品。

與此同時(shí)，虹膜識(shí)別在信息安全領(lǐng)域的應(yīng)用還比較有限。在識(shí)別過(guò)程中，必須盡可能將設(shè)備貼近臉，在合適的照明條件下保持靜止?fàn)顟B(tài)。大部分戴眼鏡的人都必須摘下眼鏡，隱形眼鏡也可能造成錯(cuò)誤的虹膜圖，服用藥物的人可能會(huì)因瞳孔擴(kuò)張或收縮導(dǎo)致虹膜變形。有些虹膜掃描儀已經(jīng)開始把生命跡象作為檢測(cè)前提了。然而到目前為止，在KeyLemon軟件前放一張照片，用筆在其眼睛前迅速擺動(dòng)一下，它也會(huì)認(rèn)為這是一個(gè)活人在眨眼。

心跳密碼

目前世界上已經(jīng)有多家銀行對(duì)通過(guò)生物數(shù)據(jù)驗(yàn)明身份進(jìn)行了嘗試：例如蘇格蘭皇家銀行和德意志銀行可以用指紋登錄賬戶;英國(guó)巴克萊銀行利用一種紅外線讀取設(shè)備，讀取手指中的靜脈結(jié)構(gòu);很多銀行的自動(dòng)取款機(jī)也支持不同類型的生物數(shù)據(jù)。然而一些數(shù)據(jù)保護(hù)人士批評(píng)這些方法的安全性沒(méi)有保障?！般y行是否知道您的賬戶情況，和是否擁有您的生物數(shù)據(jù)，是兩個(gè)完全不同的概念。”而且大部分銀行的IT基礎(chǔ)設(shè)施都過(guò)于陳舊，易出故障。

而英國(guó)哈利法克斯銀行投入約13.9億歐元的資金，將心跳作為生物識(shí)別新手段。目前，哈利法克斯銀行的這套心跳解鎖系統(tǒng)還處于概念驗(yàn)證階段，沒(méi)有正式上線。它主要利用加拿大Bionym公司推出的Nymi手環(huán)，通過(guò)內(nèi)置的傳感器監(jiān)測(cè)和采集用戶的心跳，并利用心電圖技術(shù)作為“開鎖鑰匙”。這意味著，在解鎖時(shí)用戶必須佩戴Nymi智能手環(huán)。這樣用戶在網(wǎng)上登錄自己的銀行賬戶時(shí)，感應(yīng)器就會(huì)自動(dòng)識(shí)別出他。據(jù)銀行稱，比起指紋識(shí)別和虹膜識(shí)別，心跳識(shí)別的錯(cuò)誤率更低。

對(duì)于心跳密碼是否真正可行，生物識(shí)別技術(shù)的發(fā)展是否會(huì)最終宣告密碼時(shí)代的終結(jié)，目前還無(wú)法下個(gè)定論，但是可以肯定的是，我們的身份認(rèn)證體系正變得越來(lái)越多元化，安全性、便捷度和成本控制都在不斷改善，多種識(shí)別手段互補(bǔ)將是未來(lái)安全認(rèn)證環(huán)節(jié)的主流。

[編譯自德國(guó)《時(shí)代周報(bào)》《明鏡在線》網(wǎng)站等媒體]