我们希望通过密码让隐私和财务更安全,但密码也常常让我们陷入完全相反的境地。
“嘟嘟嘟,嘟嘟嘟”一阵急促的电话铃声叫醒了睡梦中的小王。
“小王,你最近很缺钱吗?怎么突然在微信上跟我借钱?”电话那端是好久没联系的大学同学,小王一头雾水。
接着小王又接到了一些好友和同事的电话,发现大家都收到自己借钱的消息。他赶紧登录微信,可微信密码已被人改过了,无论怎么试都登不上去。后来,找回了微信账号的小王通过微信朋友圈发布了一则消息“朋友们,万一哪天我微信向你们借钱,千万不要借给我哦,一定要电话确认。”
上面的场景是发生在武汉王先生身上的真实事件,虽然所幸没有朋友上当,但密码被盗的经历着实让王先生冒了一身冷汗。在我们日常生活中,密码正在全方位接管我们的生活,类似这样的事件屡见不鲜。我们希望通过密码让隐私和财务更安全,但密码也常常让我们陷入完全相反的境地。
为了降低密码被盗的风险,我们总是被建议设定足够长的密码,越复杂越好。这些密码通常包含大写或小写字母、数字以及各种符号,在可能的情况下,数字尽量的少。对不同的账户,同一个密码不建议重复使用,而且最好经常变更密码。可是,即使是安全专家他们自己,恐怕也没有这样好的记忆力吧!
本月初,美国科普作家David Pogue在著名科普杂志《科学美国人》上发表的题为“Passwords Are on the Way Out, and It's about Time”的文章[1]受到广泛关注,作者用幽默生动的语言描述了大家为密码所困时的复杂心情,并提到了几种较新的生物识别技术,包括指纹识别、虹膜识别、语音识别以及面部识别等。
下面,我们来简单介绍几种密码管理工具以及这几种生物识别技术在智能识别和隐私管理等方面的应用。
借助第三方工具“管理”密码
目前主流的密码管理工具包括1Password和Dashlane,这类软件可以替用户记住和输入复杂冗长的密码。1Password是应用较多的通用型密码管理工具,其在密码安全保护方面设计卓越,赢得广泛赞誉。而Dashlane是新近出现的密码管理工具,2015年推出第一个安卓版本,Dashlane迭代迅速,2016年已经升级至第四个版本。和1Password相比,Dashlane最大的优势在于其Password changer可以自动在许多网站上更换新密码,免除了密码修改之苦。其他相对小众的密码管理工具还有Lastpass等。
但是类似于1Password和Dashlane这样的密码管理工具大部分是收费的,而且不适用于所有的网络账户。所以,对于大部分公众而言,这类软件的普及度相对较低。
更糟糕的是,所谓的密码也并不总是安全可靠的,在日常生活中我们经常能看到密码被盗或者某公司的服务器遭到黑客攻击的报道。游戏巨头育碧公司就曾承认,公司的数据库遭到破坏,并建议用户立即更改密码。而最近,全球最大的职业社交网站LinkedIn的一次网络安全事故导致了超过60亿经过加密的密码泄露。看起来,似乎到了跟密码说再见的时候了!
生物识别技术“加持”后密码时代
那么,在后密码时代,有什么办法可以解决这一问题呢?
答案是基于个体特征的生物识别技术。事实上,生物识别早已不是什么新鲜事物,在众多科幻和高科技电影中,各种炫酷的生物识别技术让人印象深刻,比如步态识别、基因鉴别等。
我们每个人都具有独一无二的生物特征,比如指纹和虹膜,可以作为身份验证的手段,生物识别技术正是建立在这些特征的基础上。它的优势在于不需要记住一长串的文本,安全简单。有了生物识别,我们就不用担心密码被盗或者对着“您输入的密码不正确”而焦躁不安了。
现在,智能手机、平板电脑都有指纹识别功能,而且越来越普遍,这对我们登录各类机器和账户非常有用。但是指纹识别也存在一些问题,比如某些人或某些群体的指纹特征少,难以成像。指纹识别最大的问题还是安全问题,因为指纹可以通过手术或一些有创手段得以改变或破坏,而且每一次使用指纹时都会在指纹采集头上留下用户的指纹印痕,这些指纹痕迹存在被某些别有用心的人复制和利用的可能性。
相比指纹识别,虹膜扫描是一类比较新的生物识别技术,其概念的提出到现在不超过30年,而指纹识别用于身份鉴定已经超过130年。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分,其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等细节特征。而且虹膜自胎儿发育阶段形成后,在整个生命历程中将保持不变。这些特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。中科院自动化所模式识别国家重点实验室是世界上少数几个掌握虹膜识别核心算法的单位之一,该实验室研究人员通过在矿山苛刻的环境下使用这一技术,证明了中国的虹膜识别技术不管是在识别速度、设备稳定性以及解决矿工黑脸等问题上,都处于世界领先水平。但虹膜扫描也不是完美的,目前仍存在一定的局限性。比如一些虹膜扫描仪需要通过追踪阅读时瞳孔的变化,来避免被被眼睛(虹膜)的照片所欺瞒;另一方面,装备有虹膜识别的设备要实现小型化,成本较高。
语音识别也一样,每个人的声音都具有独特的音高、音色和频率,这可以成为一把密钥。我们的手机和一些数码产品都装备有麦克风,使得这项技术能够被广泛采用。一些人可能担心某些别有用心的人会通过录音来蒙蔽系统,可是只要用户被要求读的句子每次都不一样,这个问题就不会发生。然而,如果背景噪音太大或者不小心得了喉炎,那么,和所有其他生物识别安全系统一样,它还需要一个后备系统来以防万一。
最佳范例:WindowsHello
关于生物识别的应用,Win10系统中的WindowsHello功能给出了很好的范例。在今年3月份的Build大会上,微软正式宣布将为Edge浏览器引入一项全新的安全技术,即基于生物识别技术的WindowsHello登录。它实际是一种生物特征授权方式,用户自身就是解锁Windows、访问网站的密钥。
Windows Hello包括面部识别、虹膜扫描、指纹认证三种加密验证方式,由于这三种生物特征在每个人身上都具有唯一性,相比于容易被忘记和破解的密码,操作更加方便,安全性也大大提升。这样,用户的服务器上不需要储存任何密码,用户只需要面对着摄像头或者摸一下识别器,就能立刻被Windows hello所识别,不给黑客可乘之机。此外,通过使用红外技术,相机可以在各种光照条件下识别用户的脸或虹膜,因此也不可能被照片或3D打印模型糊弄。
Windows Hello的识别速度非常快,不仅可以用于网页登录,而且还能用于移动支付。按计划,微软将在今年夏季正式推送的Windows 10年度更新中正式为用户提供Windows Hello功能,但是尚不确定微软是否会为该功能添加除Edge浏览器以外的第三方浏览器支持,众多的微软迷们是不是迫不及待了呢?
不难发现,密码的概念已经被打破了,新的技术可以安全便捷地满足大家的需求。然而,以为就此就可以一劳永逸了?还不行,我们还是需要对我们的隐私保持警惕,因为这还会带来新的问题,比如生物识别扫描的数据库由谁管理?
作者:中科院上海生命科学研究院神经科学研究所所 蒋梦萍
中科院上海生命科学研究院营养科学研究所 熊 全
参考文献:
1、Pogue D.,Passwords Are on the Way Out, and It's about Time, Scientific American(《科学美国人》),2016年8月1日,原文链接:
http://www.scientificamerican.com/article/passwords-are-on-the-way-out-and-it-s-about-time/