我们希望通过密码让隐私和财务更安全,但密码也常常让我们陷入完全相反的境地。为了降低密码被盗的风险,我们总是被建议设定足够长的密码,越复杂越好。这些密码通常包含大写或小写字母、数字以及各种符号,在可能的情况下,数字尽量少。对不同的账户,同一个密码不建议重复使用,而且最好经常变更密码。可是,即使是安全专家自己,恐怕也没有这样好的记忆力吧!
本月初,美国科普作家 David Pogue 在著名科普杂志《科学美国人》上发表的题为 Passwords Are on the Way Out, and It's about Time 的文章受到广泛关注,作者用幽默生动的语言描述了大家为密码所困时的复杂心情,并提到了几种较新的生物识别技术,包括指纹识别、虹膜识别、语音识别以及面部识别等。
下面,我们来简单介绍几种密码管理工具以及这几种生物识别技术在智能识别和隐私管理等方面的应用。借助第三方工具“管理”密码。目前主流的密码管理工具包括 1Password 和 Dashlane,这类软件可以替用户记住和输入复杂冗长的密码。1Password 是应用较多的通用型密码管理工具,其在密码安全保护方面设计卓越,赢得广泛赞誉。
而 Dashlane 是新近出现的密码管理工具,2015 年推出第一个安卓版本。Dashlane 迭代迅速,2016 年已经升级至第四个版本。和 1Password 相比,Dashlane 最大的优势在于其 Password changer 可以自动在许多网站上更换新密码,免除了密码修改之苦。其他相对小众的密码管理工具有 Lastpass 等。
但是类似于 1Password 和 Dashlane 这样的密码管理工具大部分是收费的,而且不适用于所有的网络账户。所以,对于大部分公众而言,这类软件的普及度相对较低。更糟糕的是,所谓的密码也并不总是安全可靠的,在日常生活中我们经常能看到密码被盗或者某公司的服务器遭到黑客攻击的报道。游戏巨头育碧公司就曾承认,公司的数据库遭到破坏,并建议用户立即更改密码。
而最近,全球最大的职业社交网站 LinkedIn 的一次网络安全事故导致了超过 60 亿经过加密的密码泄露。看起来,似乎到了跟密码说再见的时候了!
生物识别技术“加持”后密码时代。那么,在后密码时代,有什么办法可以解决这一问题呢?答案是基于个体特征的生物识别技术。事实上,生物识别早已不是什么新鲜事物,在众多科幻和高科技电影中,各种炫酷的生物识别技术让人印象深刻,比如步态识别、基因鉴别等。
我们每个人都具有独一无二的生物特征,比如指纹和虹膜,可以作为身份验证的手段,生物识别技术正是建立在这些特征的基础上。它的优势在于不需要记住一长串的文本,安全简单。有了生物识别,我们就不用担心密码被盗或者对着“您输入的密码不正确”而焦躁不安了。
现在,智能手机、平板电脑都有指纹识别功能,而且越来越普遍,这对我们登录各类机器和账户非常有用。但是指纹识别也存在一些问题,比如某些人或某些群体的指纹特征少,难以成像。指纹识别最大的问题还是安全问题,因为指纹可以通过手术或一些有创手段得以改变或破坏,而且每一次使用指纹时都会在指纹采集头上留下用户的指纹印痕,这些指纹痕迹存在被某些别有用心的人复制和利用的可能性。
相比指纹识别,虹膜扫描是一类比较新的生物识别技术,其概念的提出到现在不超过 30 年,而指纹识别用于身份鉴定已经超过 130 年。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分,其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等细节特征。而且虹膜自胎儿发育阶段形成后,在整个生命历程中将保持不变。这些特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。
中科院自动化所模式识别国家重点实验室是世界上少数几个掌握虹膜识别核心算法的单位之一,该实验室研究人员通过在矿山苛刻的环境下使用这一技术,证明了中国的虹膜识别技术不管是在识别速度、设备稳定性以及解决矿工黑脸等问题上,都处于世界领先水平。但虹膜扫描也不是完美的,目前仍存在一定的局限性。
比如一些虹膜扫描仪需要通过追踪阅读时瞳孔的变化,来避免被眼睛(虹膜)的照片所欺瞒;另一方面,装备有虹膜识别的设备要实现小型化,成本较高。
语音识别也一样,每个人的声音都具有独特的音高、音色和频率,这可以成为一把密钥。我们的手机和一些数码产品都装备有麦克风,使得这项技术能够被广泛采用。一些人可能担心某些别有用心的人会通过录音来蒙蔽系统,可是只要用户被要求读的句子每次都不一样,这个问题就不会发生。然而,如果背景噪音太大或者不小心得了喉炎,那么,和所有其他生物识别安全系统一样,它还需要一个后备系统来以防万一。
最佳范例:Windows Hello。关于生物识别的应用,Win10 系统中的 Windows Hello 功能给出了很好的范例。在今年 3 月份的 Build 大会上,微软正式宣布将为 Edge 浏览器引入一项全新的安全技术,即基于生物识别技术的 Windows Hello 登录。它实际是一种生物特征授权方式,用户自身就是解锁 Windows、访问网站的密钥。
Windows Hello 包括面部识别、虹膜扫描、指纹认证三种加密验证方式,由于这三种生物特征在每个人身上都具有唯一性,相比于容易被忘记和破解的密码,操作更加方便,安全性也大大提升。这样,用户的服务器上不需要储存任何密码,用户只需要面对着摄像头或者摸一下识别器,就能立刻被 Windows hello 所识别,不给黑客可乘之机。
此外,通过使用红外技术,相机可以在各种光照条件下识别用户的脸或虹膜,因此也不可能被照片或 3D 打印模型糊弄。Windows Hello 的识别速度非常快,不仅可以用于网页登录,而且还能用于移动支付。
按计划,微软将在今年夏季正式推送的 Win10 年度更新中正式为用户提供 Windows Hello 功能,但是尚不确定微软是否会为该功能添加除 Edge 浏览器以外的第三方浏览器支持,众多的微软迷们是不是迫不及待了呢?
不难发现,密码的概念已经被打破了,新的技术可以安全便捷地满足大家的需求。然而,以为从此就可以一劳永逸了?还不行,我们还是需要对我们的隐私保持警惕,因为这还会带来新的问题,比如生物识别扫描的数据库由谁管理?