尽管密码的泄漏事件已经十分常见,对多数人来说,便利性仍旧远高于安全性的考量,这也是为什么这么多年来「123456」仍旧是最受欢迎的密码之一。但是黑客入侵的情况这么常见,究竟该如何保障密码安全呢?
用生物辨识技术取代密码
其实答案非常简单,那就是完全舍弃密码。
彭博社报导,随着生物辨识技术不断进步,越来越多的企业选择采取相关做法来避免泄漏风险,部分公司采用指纹扫描,一些则使用像 Amazon Echo 或 Google Home 的语音辨识,脸部辨识技术也开始受到关注。
雅虎(Yahoo)产品管理副总裁 Dylan Casey 表示,雅虎打算彻底杀死密码。「将来人们回忆起过去,发现竟然需要输入大小写字母、数字及特殊符号,来创造将近 10 位数的代码来辨别使用者,应该会觉得十分好笑。」
但该如何说服人们舍弃习惯的密码系统,改采用生物辨识呢?雅虎在 2015 年 3 月就开始进行了一些尝试,来减少用户需要记住密码来登入电子邮件的服务,用户可以透过简讯向手机发送随机的一次性密码,来避免密码泄漏的危险。
雅虎在这之后又扩大了功能,用户只需要用手机确认登入是被允许的就好,由于现在许多智能手机都具有生物辨识功能,这种方法比起简讯更加安全,因为它不仅要求持有手机,更需要用户解锁才能进行。
original="http://imgs.technews.cn/wp-content/uploads/2017/05/7358288104_d799016f6f_z.jpg" data-image-enhancer="larger than third of 645" />
(Source :Flickr/Alexander Baxevanis CC BY 2.0)
指纹、脸部、语音辨识
类似这样的系统已经逐渐开始出现。苹果(Apple)在 2013 年将指纹扫描功能置入 iPhone,之后更拓展到 MacBook 系列中。微软也开始让在智能手机上使用 Outlook、Skype、Xbox 的用户,可以选择用指纹扫描进行登入。
微软身份辨识部产品负责人 Alex Simons 表示,到 2017 年 10~11 月左右,用户只需要携带手机,就能够用指纹辨识系统来登入你的 Windows 10 个人电脑。
做为最需要重视安全的产业之一,一些银行也开始采用了最先进的辨识技术。英国巴克莱银行(Barclays Bank)在 2014 年先向较为富有的客户提供语音辨识的方案,2016 年开始一般用户也能够选择加入。
巴克莱银行东南亚联络中心的 Simon Separghan 表示,银行透过记录和分析不同的声音、语调、音调及讲话速度来进行语音辨识,目前正努力将同样的技术运用到行动银行 App 上。根据了解,包含汇丰、花旗、桑坦德银行也已经开始提供相关语音辨识服务。
脸部辨识也开始变的普遍,英国骏懋银行(Lloyds Bank)日前就宣布,将开始尝试使用微软的「Windows Hello」技术,让用户能够透过电脑视讯镜头来进行脸部辨识,进而登入到所属的网络帐户中。
生物辨识真的完全安全?
只是,这些新技术真的就比密码安全,能够完全避免黑客的入侵吗?巴克莱的 Separghan 对此感到非常乐观,他表示自从采用相关技术后,银行还没有发现任何违规行为。「我们相信语音就像指纹一样独特,无论是模仿还是录音,系统都有能力检测出来。」
但 ABI 调研机构的数位安全总监 Michela Menting 就不敢这么肯定。Menting 表示,透过人工智能(AI),人或许可以复制任何人的声音,也能够伪装成其他人。
(Source:Flickr/elhombredenegro CC BY 2.0)
Menting 的顾虑是有原因的。2017 年 4 月时,加拿大蒙特娄一家 AI 新创公司发布了语音合成工具「Lyrebird」,开发者表示只需要 60 秒的录音,就能够复制任何人的声音。在发布的声音样本中,Lyrebird 模仿了欧巴马、希拉里、柯林顿和总统特朗普的声音。
开发者之一的 Alexandre de Brébisson 表示,公司的目标是希望提高语音合成的功能,并不是有什么坏打算,「但如果 Lyrebird 的技术可以骗过语音辨识系统,我们也不会感到太过惊讶。」
脸部辨识技术也有着相同的担忧。尽管微软表示,Windows Hello 技术是使用红外线感测器来记录脸部特征,透过镜头拍照后进行辨识,不可能会被愚弄,但在 3 月时,使用 Windows Hello 技术的三星 Galaxy S8 就被发现有安全漏洞,靠着一张相片就能解锁手机。
比尔盖兹在 13 年前曾经预言密码将会死亡,但或许这天永远也不会来到,因为人们总是习惯用老方法,对于新科技并不全然接受,为了避免与客户疏远,银行也只是提供选择、而不是全然更动。
尽管生物感测技术和相关软件可能更便宜也更有保障,ABI 调研机构的 Menting 认为密码在认证战争中,不会很快败下阵来,「密码可能还有 50 年以上的寿命,就像是有线电话一样。」