生物識(shí)別安全性令人擔(dān)憂做好數(shù)據(jù)安全是關(guān)鍵

自從蘋果開創(chuàng)性地使用了指紋識(shí)別，生物識(shí)別這種更加安全的密碼系統(tǒng)便被帶入了大家的視線。越來越多的生物識(shí)別技術(shù)被發(fā)現(xiàn)并想辦法應(yīng)用到實(shí)際中，但對(duì)于其安全性仍存在隱憂。

如今，人們對(duì)信息安全越來越重視，而保障信息安全最常用的方法就是密碼。

多樣生物識(shí)別，開解解鎖新視界

如今，指紋識(shí)別已經(jīng)成為解鎖手機(jī)、驗(yàn)證身份的一種流行方式。隨著生物識(shí)別技術(shù)的不斷進(jìn)步，除了常見的指紋識(shí)別之外，人們身上越來越多的生物特征加入了“密碼”的行列。

根據(jù)英國《每日郵報(bào)》報(bào)道，近日，德國一個(gè)研究團(tuán)隊(duì)開發(fā)出了一套依靠頭骨進(jìn)行生物識(shí)別的技術(shù)。它利用一個(gè)類似頭盔的設(shè)備，通過骨傳導(dǎo)揚(yáng)聲器將超聲波信號(hào)發(fā)射到佩戴者的頭骨周圍。佩帶者佩戴的設(shè)備會(huì)記錄下頭骨對(duì)于超聲波的震動(dòng)反饋，憑借這一數(shù)據(jù)來驗(yàn)證身份。與指紋解鎖相比，這個(gè)技術(shù)的復(fù)制難度顯然要大得多。

據(jù)報(bào)道，研究人員邀請(qǐng)了10人進(jìn)行測(cè)試，識(shí)別準(zhǔn)確度為97%。目前，這項(xiàng)技術(shù)還存在一些問題，比如雜亂的背景音、用戶體重的增減等因素都可能干擾或影響頭骨音的震動(dòng)頻率，不過，這已經(jīng)為生物識(shí)別提供了新的可能性。

耳朵也可以充當(dāng)密碼。此前，日本一家公司聯(lián)合長(zhǎng)岡技術(shù)科學(xué)大學(xué)共同研究出了一種通過匹配聲音在耳道中的共振頻譜來進(jìn)行生物識(shí)別的技術(shù)。每個(gè)人的耳道形狀都不同。耳道識(shí)別技術(shù)以微型入耳式耳塞為載體，向配戴者的耳道發(fā)出聲波，再通過耳機(jī)端接受反射回來的聲波進(jìn)行身份驗(yàn)證。該公司表示：“這項(xiàng)技術(shù)不需要通過識(shí)別設(shè)備掃描身體，它通過自然的方式進(jìn)行持續(xù)識(shí)別，甚至在運(yùn)動(dòng)和工作的時(shí)候，也只需佩戴具備內(nèi)置麥克風(fēng)的耳機(jī)即可。”不僅方便，而且識(shí)別時(shí)間僅需1秒，準(zhǔn)確率達(dá)到99%。該公司有望在2018年將相關(guān)產(chǎn)品推向市場(chǎng)。

如今，越來越多的個(gè)人數(shù)據(jù)被置于云端進(jìn)行存儲(chǔ)和管理。信息安全成為人們關(guān)注的問題。近年來，生物密碼開始慢慢取代極易偽造和丟失的傳統(tǒng)密碼。指紋識(shí)別不必贅述，人臉識(shí)別、虹膜識(shí)別、聲音識(shí)別、靜脈識(shí)別等多種方法都有廣泛的應(yīng)用。隨著科學(xué)技術(shù)的進(jìn)一步發(fā)展和相關(guān)領(lǐng)域研究的深入，安全性更高、更加便捷的生物識(shí)別技術(shù)也在逐漸興起。也許在不久的將來，我們就只需要將手機(jī)靠近頭部或帶上耳機(jī)就能夠解鎖手機(jī)。

生物識(shí)別安全性仍令人擔(dān)憂

與傳統(tǒng)密碼相比，生物識(shí)別安全系統(tǒng)的設(shè)計(jì)思路就是讓用戶使用明顯的身體特征——例如指紋、虹膜或心跳率——來證明自己的身份。這種功能在當(dāng)前的很多設(shè)備中都很常見。例如，蘋果iPhone允許用戶通過指紋來授權(quán)某項(xiàng)支付活動(dòng)。

生物識(shí)別安全功能的好處就是這些身體特征很難復(fù)制，而且用戶也不用費(fèi)神記住它們。這與傳統(tǒng)的密碼加密方法形成了鮮明的對(duì)比。黑客之所以能夠輕易地破解密碼，是因?yàn)楹芏嘤脩羧栽谑褂梅浅：?jiǎn)單的密碼，例如“12345”，而且還因?yàn)楹诳徒栌昧藦?qiáng)大的電腦來猜測(cè)和測(cè)試密碼。

可惜的是，生物數(shù)據(jù)也是可以被黑客竊取的?，F(xiàn)在，已有很多竊取用戶生物數(shù)據(jù)的安全入侵事件發(fā)生。例如，在2015年，美國聯(lián)邦政府人事管理辦公室保存的560萬個(gè)員工的指紋數(shù)據(jù)就被黑客盜走了。

更糟糕的是，在生物數(shù)據(jù)失竊后，它會(huì)造成永久性的危害。在數(shù)據(jù)失竊后，你可以更改你的密碼，但是你卻無法更改你的指紋。

現(xiàn)在，越來越多的組織（包括公司和政府機(jī)構(gòu)）都在建立員工的生物特征數(shù)據(jù)庫，以方便識(shí)別他們的身份。但是，這樣的數(shù)據(jù)庫會(huì)將員工置于非常危險(xiǎn)的境地，因?yàn)檫@些數(shù)據(jù)庫有被黑客竊取的風(fēng)險(xiǎn)。

普華永道國際會(huì)計(jì)事務(wù)所（PricewaterhouseCoopers）發(fā)布的一份最新報(bào)告指出，不同國家擁有非常不同的針對(duì)生物數(shù)據(jù)收集和傳播的隱私法。任何擁有這些數(shù)據(jù)的公司——不管是直接擁有的，還是通過第三方云計(jì)算服務(wù)提供商間接擁有的——相當(dāng)于走進(jìn)了一個(gè)“雷區(qū)”：如果被發(fā)現(xiàn)不正當(dāng)使用這些數(shù)據(jù)，或者這些數(shù)據(jù)被黑客竊走，那么這些公司就會(huì)遭到法律起訴，給自己惹上無窮無盡的麻煩。

但是，生物識(shí)別安全系統(tǒng)的這些風(fēng)險(xiǎn)也不是不可以防范的。現(xiàn)在，人們?cè)絹碓揭庾R(shí)到公司保護(hù)員工生物數(shù)據(jù)的方法就是在一開始就不持有這些敏感的信息。PwC公司的報(bào)告建議，公司應(yīng)該將這些生物數(shù)據(jù)只保存在用戶本人的設(shè)備上，而不是集中保存到公司的服務(wù)器上。

在實(shí)踐中，用戶可以將一個(gè)或多個(gè)生物特征（例如大拇指指紋和語音信息）保存到個(gè)人的手機(jī)或電腦上。然后，當(dāng)用戶在第三方服務(wù)如PayPal支付服務(wù)或其他網(wǎng)站上處理業(yè)務(wù)的時(shí)候，這些服務(wù)或網(wǎng)站就會(huì)與他或她的個(gè)人設(shè)備交換確認(rèn)信息，從而確認(rèn)身份。

例如，iPhone上的蘋果支付服務(wù)ApplePay就是這樣工作的。蘋果實(shí)際上不會(huì)將用戶的大拇指指紋復(fù)印件發(fā)給送商戶，相反，它只提供一次性的確認(rèn)信息來授權(quán)此次支付活動(dòng)。類似的支付認(rèn)證授權(quán)方法已通過FIDO協(xié)議標(biāo)準(zhǔn)化了。FIDO協(xié)議是科技和金融行業(yè)中的設(shè)備制造商和公司共同簽署的安全協(xié)議。

隨著政府和公司開始采用生物識(shí)別安全系統(tǒng)，它們起碼應(yīng)該抵擋住將員工生物數(shù)據(jù)集中保存在統(tǒng)一數(shù)據(jù)庫中的誘惑，從而避免讓員工暴露在比傳統(tǒng)密碼更大的危險(xiǎn)之中。