用戶即密碼

陳紀(jì)英

還有比數(shù)字密碼更保險(xiǎn)的嗎？

為了更安全，人們?cè)诓粩鄰?fù)雜化密碼：數(shù)字、大小字母、下劃線、八位以上等等。有的人，在不同的網(wǎng)站要有不同的賬戶和密碼。

以工行銀行卡為例，它有網(wǎng)銀密碼，數(shù)字移動(dòng)證書密碼，這很容易記混，也可能因?yàn)檫B續(xù)多次輸錯(cuò)密碼，導(dǎo)致銀行卡被凍結(jié)。

如此考驗(yàn)記憶能力、用戶體驗(yàn)不好的數(shù)字密碼，真的絕對(duì)安全么？答案當(dāng)然是否定的，當(dāng)中國(guó)最大的在線旅游服務(wù)公司攜程網(wǎng)宕機(jī)之后，用戶擔(dān)心其信用卡信息會(huì)泄露。

那些一流的黑客，還有安全專家們相信，數(shù)字密碼即將過時(shí)了。那么，取代它的是什么？

生物識(shí)別

就在攜程網(wǎng)站癱瘓的同時(shí)，谷歌開發(fā)者大會(huì)在美國(guó)如期舉行，最引入注目的亮點(diǎn)就是谷歌主導(dǎo)的安卓系統(tǒng)推出了官方的指紋識(shí)別功能，Android Pay兼容于三星、摩托等廠家的指紋識(shí)別技術(shù)，同時(shí)也將會(huì)更加的安全，更具有普適性。

其實(shí)，早在2014年，蘋果就推出了指紋識(shí)別的手機(jī)，在那之后，指紋識(shí)別功能逐漸成為手機(jī)行業(yè)的新風(fēng)尚。

斗象科技聯(lián)合創(chuàng)始人兼COO謝忱，作為白帽黑客，深諳黑客圈的秘密，他公司旗下的Freebuf.com是國(guó)內(nèi)最大的安全社區(qū)和新媒體。根據(jù)謝忱解釋，指紋識(shí)別的本質(zhì)，在于通過設(shè)備端（例如手機(jī)或者平板電腦）輸入指紋腳本，然后為用戶建設(shè)一個(gè)全球唯一的指紋ID。此后，無論是在何時(shí)何地使用這臺(tái)設(shè)備，無論使用任何應(yīng)用或者瀏覽任何網(wǎng)頁(yè)，指紋ID都可以識(shí)別這臺(tái)設(shè)備。

比起數(shù)字密碼，指紋識(shí)別應(yīng)該安全很多。而且，相比一長(zhǎng)串考驗(yàn)記憶力的數(shù)字密碼來說，指紋識(shí)別更為簡(jiǎn)單易用。但是，指紋識(shí)別同樣也不是絕對(duì)安全的。

去年12月，黑客網(wǎng)絡(luò)混沌電腦俱樂部的會(huì)員Jan Krissler宣稱，他僅僅使用一套商業(yè)軟件和幾張照片，就復(fù)制出德國(guó)國(guó)防部長(zhǎng)馮德萊恩的指紋。

就在此前兩個(gè)月，馮德萊恩發(fā)表演講時(shí)，Jan Krissler使用一部普通相機(jī)，從不同角度拍攝，抓捕到了馮德萊恩的手指照片。之后，克里斯勒使用一張?zhí)貙懙闹讣y照，再利用一套商用軟件，復(fù)制出了馮德萊恩的指紋。

此后，研究人員發(fā)現(xiàn)，隨著類似指紋掃描儀等機(jī)器的技術(shù)提升，一些假指紋可以成功欺騙iPhone5s手機(jī)。但是，蘋果也在提高其指紋識(shí)別技術(shù)，因此，如果假指紋要想成功欺騙iPhone6，則必須非常清晰、比例準(zhǔn)確、所放的位置也要準(zhǔn)確，此外還要足夠厚。因此，對(duì)于一般的惡意網(wǎng)絡(luò)攻擊者來說，難度很大。

除了指紋識(shí)別，生物識(shí)別的技術(shù)還包括人臉識(shí)別、虹膜識(shí)別等等。過去，這些技術(shù)只在科幻電影一閃而過，或者蝸居在冷清的實(shí)驗(yàn)室里，但是現(xiàn)在，借助各種智能終端的普及，這些技術(shù)走出了實(shí)驗(yàn)室。

今年3月，微軟宣布Windows 10將引入生物識(shí)別認(rèn)證，指紋、虹膜和臉可以代替密碼。

微軟的系列產(chǎn)品比如Windows Hello，不僅僅適用于個(gè)人，也適用于政府、國(guó)防、金融、醫(yī)療保健和其他組織等。微軟方面聲稱，其誤識(shí)率在十萬分之一以下，“照片和自拍騙不了Windows Hello。”

不過，盡管技術(shù)已經(jīng)逐漸成熟，但是數(shù)字密碼之所以仍然占據(jù)主流地位，關(guān)鍵的制約因素依然是硬件。

以Windows Hello為例，其需要匹配的專業(yè)硬件，包括指紋讀取器、紅外傳感器和其他生物傳感器等。因此，用戶必須有這些專門的硬件，同時(shí)還有Windows 10系統(tǒng)，才能正常使用所有功能。再以指紋識(shí)別為例，目前，仍然只有蘋果手機(jī)，以及三星和華為的部分高端手機(jī)，才提供指紋識(shí)別的功能。

而華為方面告訴《中國(guó)新聞周刊》，指紋識(shí)別技術(shù)之所以沒有普及到所有手機(jī)，是考慮到成本因素，“雖然這個(gè)傳感器本身不是很貴，但現(xiàn)在，很多中低端智能手機(jī)基本上沒啥利潤(rùn)了。”

由于硬件普及的滯后，考慮到用戶體驗(yàn)的穩(wěn)定性，因此很多應(yīng)用并不會(huì)快速普及指紋識(shí)別的功能。

大數(shù)據(jù)的立體防控

除了生物識(shí)別技術(shù)的引進(jìn)，另一重防控體系則依賴于大數(shù)據(jù)。

由于每個(gè)網(wǎng)民都是多個(gè)網(wǎng)站和移動(dòng)端應(yīng)用的用戶，其個(gè)人信息也呈碎片化分散于多個(gè)地方，而狡猾的黑客，可以從招聘網(wǎng)站找到就業(yè)信息，在婚戀網(wǎng)站找到家庭信息、情感狀況，再通過購(gòu)票網(wǎng)站找身份證，最后把這些信息全部拼湊在一起，關(guān)聯(lián)起來盜取用戶的賬號(hào)和密碼。

在侵入端，黑客運(yùn)用大數(shù)據(jù)的技術(shù)已經(jīng)相當(dāng)嫻熟;而在防守端，互聯(lián)網(wǎng)公司之間可以共同合作，比如A網(wǎng)站獲得所有攻擊者IP地址，B網(wǎng)站也有這些信息，通過建立共享平臺(tái)，共享數(shù)據(jù)庫(kù)，勾畫出黑客的入侵蹤跡和攻擊手段，可以給這個(gè)IP打上惡意的標(biāo)簽，然后進(jìn)行共同防御和定點(diǎn)打擊。

除了跨網(wǎng)站和跨應(yīng)用的合作，公司內(nèi)部亦可以利用大數(shù)據(jù)來識(shí)別黑客，以支付寶為例，“盜走了密碼也盜不走錢”。

過去只出現(xiàn)在科幻片中的生物識(shí)別，未來將逐漸取代數(shù)字密碼。圖/GETTY 圖片編輯/董潔旭

網(wǎng)民們之所以擔(dān)心賬戶被盜，第一是擔(dān)心隱私泄漏，第二則擔(dān)心錢財(cái)丟失，而對(duì)于旨在牟利的黑客們來說，互聯(lián)網(wǎng)金融賬戶無疑是重點(diǎn)攻擊對(duì)象。而對(duì)于所有的金融賬戶來說，能否防止盜走錢財(cái)才是安全防控是否成功的核心。

支付寶風(fēng)控大腦的核心邏輯是“認(rèn)人，而不只是識(shí)別數(shù)字密碼”。具體來說，風(fēng)控大腦會(huì)根據(jù)一些維度來對(duì)用戶行為進(jìn)行判斷并打分。打分高，說明風(fēng)險(xiǎn)系數(shù)比較高。打分因素則包括：賬戶、設(shè)備、位置、行為、關(guān)系、偏好等因素，每一個(gè)大類里面都會(huì)包含很多細(xì)分策略，而這樣的策略總計(jì)有10000條左右。不過，風(fēng)控大腦運(yùn)算這些復(fù)雜策略的時(shí)間很快，平均為0.15秒，所以前端用戶基本上是毫無感知。

以行為維度為例，每個(gè)人觸控手機(jī)屏幕的方式不同，而手機(jī)上是有很多傳感器的，所以可以通過指壓、接觸面積、重力變化、連續(xù)間隔時(shí)間等，幫助判斷是否主人操作。

再比如，關(guān)系維度。黑客在獲取用戶密碼之后，要把錢轉(zhuǎn)移到另一個(gè)賬戶。如果第二個(gè)賬戶和用戶從未有過資金往來，和用戶的朋友們也沒有過資金往來，風(fēng)控大腦就會(huì)提高警覺，而如果這個(gè)賬戶曾經(jīng)有過不良記錄，或者和黑名單賬戶有過某些交集，風(fēng)控大腦很可能就會(huì)攔截此次轉(zhuǎn)賬，然后要求二次驗(yàn)證。

其實(shí)，不僅僅是支付寶，包括騰訊的微信賬戶等，同樣會(huì)對(duì)可疑行為進(jìn)校驗(yàn)。

目前，短信校驗(yàn)（短信驗(yàn)證碼）是最常見的，不過，以后這種校檢方式也會(huì)被逐步取代，更多不易被泄露或者截取、安全性更高的校驗(yàn)方式將會(huì)出現(xiàn)。

比如，當(dāng)你在新的設(shè)備登陸微信時(shí)，微信會(huì)判定此次登陸行為異常，要求你在一堆頭像中選出微信好友。再比如說，“別輸入短信校驗(yàn)碼了，來刷個(gè)臉吧。”

螞蟻金服高級(jí)安全策略專家馮力國(guó)認(rèn)為，互聯(lián)網(wǎng)公司將通過生物識(shí)別和大數(shù)據(jù)的方式來保證安全。而用戶需要做的事情可以最少，甚至有一天，用戶壓根可以不需要記住數(shù)字字母密碼，用戶本人就成為密碼本身了。只有這樣，安全可靠和用戶體驗(yàn)這對(duì)矛盾體，才能同時(shí)被兼顧。

謝忱則告訴《中國(guó)新聞周刊》：“攻防之間是永遠(yuǎn)不停息地對(duì)抗博弈，防守也在不斷進(jìn)步。”

然后謝忱補(bǔ)充說，黑客的攻擊對(duì)企業(yè)來說并非壞事，企業(yè)會(huì)提高安全意識(shí)，修補(bǔ)安全漏洞。

僅以攜程為例，這家公司過去一年，斷斷續(xù)續(xù)出現(xiàn)了多起安全事故，而最近的這次事故，導(dǎo)致其系統(tǒng)癱瘓達(dá)到12個(gè)小時(shí)之久，而每個(gè)小時(shí)的損失可能高達(dá)百萬美元。

“這次教訓(xùn)蠻大的，我們內(nèi)部也在反思，再不能出現(xiàn)這種錯(cuò)誤了。”攜程內(nèi)部人士告訴《中國(guó)新聞周刊》。