瞭望东方周刊张燕2017-09-21

  十多年前,有句从强盗嘴里说出的电影台词曾经脍炙人口:“IC、IP、IQ卡,统统告诉我密码。”这句话甚至一度盖过抢劫行业“此山是我开,此树是我栽”的风头。

  但时代的发展有时会用黑色幽默的方式破坏当初的语境,比如当前在山里栽树的往往被称作环保主义者,而还在用卡输密码的也和当年的电影一样过时了。现在,指纹、瞳孔或者声音等生物密钥越来越普遍——从打开手机锁屏状态的方式,就能看出这个趋势。

  相比密码和口令,生物密钥目前似乎成了保护个人数据资料的更优之选。如指纹识别技术的应用无处不在,手机、门禁、密码验证、打卡机,几乎都有指纹识别。而支付宝,也称将启用刷脸这种人脸识别技术。

  选择哪种生物密钥更安全?


  各显神通

  先进技术一出现,先尝螃蟹的一般是金融业。

  在金融领域,生物密钥使用更广泛。自2016年3月起,日本永旺银行的ATM机仅凭指纹就可进行交易。用户能够快捷取出现金,十分方便。无需银行卡和密码,仅凭指纹等生物特征认证操作ATM,这在日资银行中尚属首次。客户进行交易时,将事前录入指纹的两根手指在ATM专用终端上扫描,可进行存取款、转账和账户余额查询操作。取款和转账的上限为100万日元。18岁以上的用户可申请利用,儿童因为发育会造成手指大小变化而被排除在外。

  永旺银行认为,使用指纹识别不仅可以提高便利性,还可防止盗窃银行卡等犯罪行为。

  指纹认证技术不止在日本使用,波兰银行BPH和Getin Bank已引入高科技自动柜员机,通过扫描客户指尖独一无二的静脉信息来识别他们。该系统被认为比简单的指纹识别更加可靠。

  当然,金融业也并非只盯住指纹密钥。比如爱尔兰联合银行已使用语音识别技术。因为该银行曾出现一个十分常见、成本又高的问题:有人总是忘记密码。银行的服务台有6名全职员工,专门负责处理每年多达16万次的索取新密码的请求。

  现在员工可以在一天中的任何时间重置密码,而无需在电话上排队等候3分钟之久:他们的电话能立刻得到答复。这种巨大的转变是配备语音生物测定系统的结果,该系统能识别打电话者的声音。

  现在已有越来越多的公司开始使用语音生物测定系统,爱尔兰联合银行只是其中之一。然而,该系统的用途不仅仅是帮助员工修改密码,越来越多的金融服务公司开始使用这种系统打击欺诈行为。

  在爱尔兰联合银行,总公司的1万名员工可以通过拨打一个号码并重复一些词语,在该系统进行注册。生物测定系统能够从中捕捉到一种“语音痕迹”:即打电话者声音独有特征的数字表象。而后重置密码就能自动完成。银行在此方面的投资迅速取得了回报:服务台在重置员工密码工作上花费的时间明显减少。此外,声音生物测定系统不仅可以用于帮助员工找回密码,还被金融服务公司用于鉴定客户身份,甚至生成一种声音数字签名。

  除指纹和语音外,人脸识别也派上了大用场。日本计划在举办东京奥运会和残奥会的2020年之前,在全国主要机场引进通过机械识别人脸、进而确认身份的系统,原则上将推进日本人出入境审查的无人化。此举将提高审查的效率,同时重点配置应对大幅增加的访日游客的入境审查官,有助于缩短审查等待时间,同时强化反恐对策。

  面部识别的原理是将护照内置的IC芯片中记录的面部照片数据,与审查窗口摄像机拍摄的面部图像进行比对,如果确认为同一人,即允许通过自动门。据悉,英国和澳大利亚等国已经引进这项技术。


  生物密钥并非绝对安全

  面部识别、指纹和声音密钥等生物密钥技术使用的同时,也存在一些信息泄露的安全隐患。

  在各种特工电影里,早就总结出了突破指纹密码的整套教程,如简单粗暴地打晕对手后直接将其手指摁上去;在门把手等处用胶带收集指纹。

  而在数码照片像素越来越大的时代,这套教程又出了增订版:看着对方摆出剪刀手拍照的照片,就有办法复制指纹。

  一些日本科学家警告称,在社交媒体上展示V字剪刀手可能会让黑客得到银行账号的访问权。东京国立情报学研究所的研究人员利用现成设备,在最远三米的距离拍摄了一些指尖,然后用生成的图片骗过了一个指纹识别系统。

  这项研究预示着,未来任何事物——甚至是你的身体本身——都无法避免你的身份遭盗用,这对蓬勃发展的生物识别安全产业构成了威胁。

  东京国立情报学研究所教授越前功说:“随着相机分辨率不断提高,为指纹或虹膜等较小物体成像正成为可能。一旦你将它们分享到社交网络上,它们就会传播出去。与密码不同,你无法更改你的手指,因此它是你必须保护的信息。”

  东京国立情报学研究所的这项工作,是研究人员首次展示的完整链条:从拍摄指尖到重构可欺骗扫描仪的指纹。此前已发生过多起利用硅膜制成的假指纹骗过边检扫描、非法进入日本的案件,同样显示了这种技术如何被利用。越前功和同事们拍摄照片所使用的相机是一款2000万像素的佳能数码相机。他说,这种技术要求良好的光照条件,且要聚焦于指尖,因此一般的自拍照并不会面临风险。然而,随着相机分辨率不断提高,这种状况很快会发生改变。

  如果自拍导致生物密钥失窃,那么就是得不偿失了。但有时生物密钥流出并非个人原因,政府的信息库也可能被攻陷。

  美国政府人事管理局两年前曾公布消息称,通过网络攻击盗取美国联邦政府雇员个人信息的黑客,盗取了约560万份指纹信息。被盗取指纹信息的,除了政府雇员之外,还包括签约企业的员工等。


  密码大战

  开手机要密码,网上邮件要密码,开电脑也要密码,人们的日常生活被各种各样的密码占据。密码设置越多、设置得越复杂,就越记不住。而要走简单的路子,如选生日等作密码,又容易被其他人猜到。还有些人使用最简单的数字排列,结果有好多人的密码相同,也很容易被破解。

  美国一项研究指出,在广泛使用的密码中,几乎一半左右的专业人士仅仅用几分钟就破译了。因此一场密码设置和盗窃之间的大战正在无形的网络空间中展开。

  美国洛杉矶每年召开的“黑帽大会”是著名的国际信息安全精英大会,前中情局资深探员柯弗·布莱克曾在“黑帽大会”上表示,盗窃与反盗窃的网络信息中,世界“密码大战”的规模和范围日益扩大,正显露出潜在的灾难性后果。

  具有唯一性的生物密钥在这场密码大战中被寄予厚望,不过现在看同样有破绽。

  黑客与用户之间的下一个战场很可能会是生物密钥,如拇指纹、虹膜或语音。目前黑客很少利用生物特征来绕过手机安全屏障,因为还有很多更容易的突破方式。不过这种情况很可能会改变。问题是,如果有人的密码被他人知道,可以很快换一个密码,但是一旦生物特征信息被获取,就无计可施了,生物密钥无法更改,是“终极个人信息”。

  为了更好地保护这种“终极个人信息”,人工智能也加入了这场密码大战。美国的一个项目就聚焦于打造出一套人工智能方案,从而以自动化方式检测欺骗性指纹、面部图像以及虹膜。研究人员不仅要识别出伪造的假肢型拇指、打印出用其他方式构建的图像,还要“教导”人工智能预测前所未有的攻击方式。

  从这个角度看,生物密码大战才刚刚开始。

瞭望东方周刊 总第 707 期