支付、識別身份、保護個人數據、銀行賬戶管理,甚至出入管制區域……如今,技術已經成熟,能夠通過指紋、聲音、虹膜來辨識身份,而且迅速、簡單、安全無差錯、費用低廉,這一前景聽上去是不是無比誘人?
2016年,生物密鑰市場估值為45億美元,其中90%以上份額為指紋所佔據,2017年賣出的手機裡,使用指紋鎖的超過一半。今年4月,法國裡爾的一家商業中心與銀行合作,首次測試指紋支付。此外,包括法國匯豐銀行在內的多家銀行允許用戶通過最新款iPhone上的指紋傳感器TouchID來進入個人賬戶。可以說,2017年,是生物密鑰的應用元年。
而且,大眾對這一時尚趨之若鶩:一項針對超過14000名歐洲人進行的調查顯示,有三分之二的人希望使用生物密鑰來完成支付,81%的人認為指紋認證是最安全的手段。
大錯特錯!科學家和黑客如今都十分肯定:盜用指紋根本不是難事,原因簡單至極——相機畫質日新月異的進步。
“拍照時別再擺出表示勝利的V字手勢了。”日本國立情報學研究所教授越前功的警告可能令你發笑。然而他專門就此課題所做的研究表明,指紋被盜的威脅真實存在。“在距離對象5.4米處用一臺2000萬像素的相機拍攝,我們就能從照片上覆製出指紋來。用iPhone5的話,只要距離在30釐米內也都是小菜一碟。”而且,像素還會不斷提高。越前功表示:“只需製作一隻硅膠或其他材料的假手指,貼上偷來的指紋,就可以輕鬆騙過市場上所有的傳感器。”看似萬無一失的技術方案竟如此脆弱。
更不可思議的是,在社交網絡上,人人都自覺自願地展示自己寶貴的生物特徵信息。
“網絡盜用的威脅真實存在。”法國南巴黎電信學院教授伯納黛特·多利齊評價道,“用一張Facebook照片騙過臉部識別軟件已經不是天方夜譚。”那麼指紋呢?“目前社交網絡上顯示的照片都壓縮得很小,但它們的分辨率呈指數級提升,想必很快就能在網上找到任何人的指紋。”越前功解釋道。
漏洞不止這一個。“手機本身就很容易被黑客入侵。”美國密歇根大學教授阿尼爾·賈恩介紹道,“在手指放上傳感器,而指紋尚未加密存入手機這一瞬間,一個簡單的惡意軟件就能夠捕獲指紋。”另外,生物信息數據庫也不夠可靠。誰負責存儲信息以及安全?2015年6月,有超過500萬美國人的指紋信息在美國一家就業指導中心遭遇黑客襲擊時被盜。密碼口令被盜還能更改,可指紋卻只有一個……
這些不盡如人意之處,無疑使生物特徵密鑰的所謂安全性打了幾分折扣……研究者提出數個方案來改善現狀,但這些方案非常煩瑣,違背了生物特徵識別旨在方便迅捷的初衷。
既然生物特徵密鑰既不安全也不方便,那不就走進死衚衕了嗎?身份與安全公司工程師樊尚辯護道:“從人類工程學、成本和安全角度來看,它的好處毋庸置疑,只要能將某個物件或密碼記憶和生物特徵密鑰結合起來。對於優化某些行政操作,如識別、定位逃犯、核查避難申請者,其優勢仍極為顯著。”
所以,我們在刪除可惡的密碼前,最好再等上一等。密碼作為純想象的產物,只存在於思維,還不會那麼快退出歷史舞臺。
閱讀更多 意林 的文章
