密码很容易被盗,那么与我们自身生理特征紧密相关的指纹、虹膜、人脸图像会不会更安全呢?并不会。而且这些生物识别信息由于保持了一种静态稳定性,盗了一次还可反复使用,比密码更糟呢。
你要如何向电脑证明自己的身份?
当然,你可以设置一个密码,这是你和电脑共享的小秘密。但是密码是很不保险的,非常容易被盗取,无论是网络钓鱼诈骗还是数据泄露,亦或是别人通过社交引擎人肉之后猜出你的秘密,反正想要通过获取密码冒充你的身份是挺简单的一件事。
不过在今天,你经常会被要求提供一些相对密码来说更根本且更难被模仿的识别标志:一些只有你知道别人不知道的东西。比方说你的指纹,你可以依靠指纹解锁手机,登入电脑,打开银行账户。就像其他的生物信息一样,你的指纹是独一无二的,因此当你把大拇指按在读取器上,你的电脑当然知道你就是那个需要登入账户的正主。
你的大拇指可比密码要靠谱的多了,但是这并不代表简单地依靠指纹就能标志出你的独家身份。在 2014 年,黑客侵入了联邦人事管理局的计算机系统,盗走了超过 2200 万美国人的敏感的个人信息数据——其中包括了 560 万人的指纹。
这批数据似乎并没有在黑市中现身,但是如果它们被出售或者泄露出来,就会很容易被用来对付那些被窃取了数据的受害者。去年,两位密歇根州立大学的研究者使用喷墨打印机和特种纸张进行了指纹扫描打印,并且将它们制成了以假乱真可骗过智能手机的 3D 指纹膜,这一切的成本花不到 500 美元。
即便不采用有组织黑客的攻击,想要收集别人的指纹也有的是办法。东京国立信息研究院的研究者们可以基于一个人比出和平手势的照片重建他的指纹,即使被拍摄者离镜头有九英尺远也没问题。「只要你在社交网站上分享过露出指纹的照片,它们就不再是个秘密了。」
人脸识别就更容易被黑客窃取了。乔治城大学的一项研究发现,50% 的美国人的人脸形象都至少留存在一个警方人脸识别数据库里,有些来源于驾驶证上的照片,有些则是警方拍摄的犯人脸部照片。但对于黑客来说根本没必要侵入数据库去获取这些人脸照片,从 Facebook 或者 Google 图片下载,或者是直接从街头抓取都是更简便快捷的方法。
人脸识别图像与指纹一样是可以被仿造的。去年北卡罗纳大学的研究人员通过一个人的 Facebook 照片为其头部进行了 3D 建模,在此基础上创建了一个可变换不同角度、十分逼真的人脸识别图像,该图像已经能够在 4、5 个面部识别工具的测试中以假乱真。
其实生物识别技术的根本问题在于它们无法像密码一样被重置。如果你的一个指纹图形被窃取了,没什么大不了,你还有其他 9 个手指的备份。但是如果你双手十指的指纹都被盗了该怎么办呢,要知道有不少执法部门的数据库中都需要你录入双手十指的指纹,如果这些信息失窃了,你就不可能再有多余的手指作为替代了。虹膜识别与人脸识别的道理也是一样的,它们不像那些可以时时变换的密码,除非你要在脸上动些手脚或者去整容。
「如果边境巡逻队,你的开户银行以及你的手机都能够收集你的指纹数据,那么只要其中一个环节的指纹数据泄露了出去被加以仿造,那么你的指纹数据基本上就失去了可用性。」加州大学伯克利分校网络安全中心的主任 Betsy Cooper 解释道。
更为重要的是,不像你心血来潮就换一次密码,指纹和人脸识别这两种被广泛运用的生物识别信息即使随着时间的推移也保持了相当的稳定性。密歇根州的生物识别技术研究小组在一项针对自动人脸识别系统的研究中,针对 18000 名犯罪者的将近 15 万张犯人脸部照片进行了核查,这些犯人的最近照片与他们的首次拍照至少都相隔了 5 年。研究者们发现使用一个没有进行过数据更新的现成软件对这些最早拍摄于十年前的人脸照片进行识别,准确率居然也达到了 98%。在人脸识别领域中甚至还出现了可以识别出整容前与整容后同一张人脸的软件。
密歇根州的这一研究室同时还发现指纹也与人脸图像一样具有相同的稳定性,这一次他们核查了被密歇根州警方在 5 年中逮捕的 15000 人的指纹数据库。结果显示在实际使用中,一个 12 岁孩子的指纹几乎能够 100% 的匹配上他成年后的指纹。在另一项实验中,该研究团队发现婴儿的指纹在大约 1 岁之后就开始稳定下来。
(不是所有的生物识别信息都能保持不变,比如怀孕就会改变女性的视网膜血管模式,这一改变会影响视网膜扫描仪的判断。)
为了克服指纹、虹膜、人脸这些静态参考物中存在的安全风险,一些研究已经开始转向那些多变的生物识别技术。在 2013 年,加州大学伯克利分校的一个研究小组提出了一个颇具未来感的「思维秘钥」,该技术结合了三个要素:一些只有你知道的信息,你大脑的形式,你的脑部特征(用 EEG 传感器测量你的脑电波)。使用「思维秘钥」进行身份验证的时候,你需要穿着测量脑电波的传感器去想你自己秘钥,这个秘钥可以是任何事物,一支歌,一句话,或者是一个脑海中的形象。这种思维过程本身是绝不能被仿造的,它是你的大脑在思考时呈现出来的电波信号。
即使别人能够弄清楚你在想什么,他们也无法模仿你的「思维秘钥」,因为每个人在思考同一事物时大脑的反应也是各不相同。黑客也许能够通过一个钓鱼方案攻入系统,比如诱骗你去想自己设置的秘钥,然后再捕获你的脑电波,之后重放脑电波去骗过身份验证系统。但是你不会坐以待毙,你可以随时改变思维秘钥中所设想的那个事物。
于此同时加州伯克利的研究者们还在探索如何利用类似「基因魔剪」(CRISPR)的系统去将可变的秘钥嵌入到人类的 DNA 中。有了这些可变的生物识别信息如脑电波和遗传基因,你就能拥有一种可靠的证明自己身份的方式,即使你十指指纹都被盗了十几遍,也没有什么可担心了。
文章来源:the ATLANTIC,TECH2IPO / 创见阿尔法虎编译,首发于创见