支付、识别身份、保护个人数据、银行账户管理,甚至出入管制区域……如今,技术已经成熟,能够通过指纹、声音、虹膜来辨识身份,而且迅速、简单、安全无差错、费用低廉,这一前景听上去是不是无比诱人?
2016年,生物密钥市场估值为45亿美元,其中90%以上份额为指纹所占据,2017年卖出的手机里,使用指纹锁的超过一半。今年4月,法国里爾的一家商业中心与银行合作,首次测试指纹支付。此外,包括法国汇丰银行在内的多家银行允许用户通过最新款iPhone上的指纹传感器TouchID来进入个人账户。可以说,2017年,是生物密钥的应用元年。
而且,大众对这一时尚趋之若鹜:一项针对超过14000名欧洲人进行的调查显示,有三分之二的人希望使用生物密钥来完成支付,81%的人认为指纹认证是最安全的手段。
大错特错!科学家和黑客如今都十分肯定:盗用指纹根本不是难事,原因简单至极——相机画质日新月异的进步。
“拍照时别再摆出表示胜利的V字手势了。”日本国立情报学研究所教授越前功的警告可能令你发笑。然而他专门就此课题所做的研究表明,指纹被盗的威胁真实存在。“在距离对象5。4米处用一台2000万像素的相机拍摄,我们就能从照片上复制出指纹来。用iPhone5的话,只要距离在30厘米内也都是小菜一碟。”而且,像素还会不断提高。越前功表示:“只需制作一只硅胶或其他材料的假手指,贴上偷来的指纹,就可以轻松骗过市场上所有的传感器。”看似万无一失的技术方案竟如此脆弱。
更不可思议的是,在社交网络上,人人都自觉自愿地展示自己宝贵的生物特征信息。
“网络盗用的威胁真实存在。”法国南巴黎电信学院教授伯纳黛特·多利齐评价道,“用一张Facebook照片骗过脸部识别软件已经不是天方夜谭。”那么指纹呢?“目前社交网络上显示的照片都压缩得很小,但它们的分辨率呈指数级提升,想必很快就能在网上找到任何人的指纹。”越前功解释道。
漏洞不止这一个。“手机本身就很容易被黑客入侵。”美国密歇根大学教授阿尼尔·贾恩介绍道,“在手指放上传感器,而指纹尚未加密存入手机这一瞬间,一个简单的恶意软件就能够捕获指纹。”另外,生物信息数据库也不够可靠。谁负责存储信息以及安全?2015年6月,有超过500万美国人的指纹信息在美国一家就业指导中心遭遇黑客袭击时被盗。密码口令被盗还能更改,可指纹却只有一个……
这些不尽如人意之处,无疑使生物特征密钥的所谓安全性打了几分折扣……研究者提出数个方案来改善现状,但这些方案非常烦琐,违背了生物特征识别旨在方便迅捷的初衷。
既然生物特征密钥既不安全也不方便,那不就走进死胡同了吗?身份与安全公司工程师樊尚辩护道:“从人类工程学、成本和安全角度来看,它的好处毋庸置疑,只要能将某个物件或密码记忆和生物特征密钥结合起来。对于优化某些行政操作,如识别、定位逃犯、核查避难申请者,其优势仍极为显著。”
所以,我们在删除可恶的密码前,最好再等上一等。密码作为纯想象的产物,只存在于思维,还不会那么快退出历史舞台。