如今,面孔、指紋、虹膜,甚至聲紋、靜脈等生物特征正逐漸替代數(shù)字、英文組成的傳統(tǒng)密碼,成為人們日常生活中的常用密碼。
然而,縱然生物識別特征具有唯一性和可辨別性,但依然有人試圖尋找其中的漏洞。那么,何謂生物識別技術?面對挑戰(zhàn),生物識別技術安全性如何保證?
如今,面孔、指紋、虹膜,甚至聲紋、靜脈等生物特征正逐漸替代數(shù)字、英文組成的傳統(tǒng)密碼,成為人們日常生活中的常用密碼。
然而,縱然生物識別特征具有唯一性和可辨別性,但依然有人試圖尋找其中的漏洞。那么,何謂生物識別技術?面對挑戰(zhàn),生物識別技術安全性如何保證?
優(yōu)勢更為明顯
在智能手機系統(tǒng)中,蘋果與安卓占據(jù)了絕大部分份額,前者在推出Apple Pay時就推出了指紋支付;后者也在今年5月將面部識別技術應用到支付服務Android Pay中。
“生物識別具有三個特征,首先是唯一性,即每個人都獨有的特性,其次是穩(wěn)定性,或者相對穩(wěn)定性。這讓生物特征與其他鑰匙、密碼、磁卡等容易丟失或容易忘記的東西不同,因為每個人都是通行證,只要生物特征不變,那就能順利采集。”阿里巴巴集團安全部生物識別團隊高級算法專家王炎解釋說。
所以,相比較傳統(tǒng)的密碼,生物識別技術在一定程度上確實更加安全,眾所周知,傳統(tǒng)的密碼存在遺忘、丟失、被盜、可被暴力破解等不利因素,而人的生物特征則一般不存在這些問題,“而且在認證速度上,常用的生物識別技術通常在1~3秒內即可完成,極大地提高了便利性。”中科院計算技術研究所副研究員翟立東表示。
“生物識別技術確實比現(xiàn)在的普通文本密碼要安全得多,但也有其局限。”西安電子科技大學軟件學院教授高海昌在接受《中國科學報》記者采訪時表示,“不論哪一種生物特征,都需要專用的設備進行識別。”
這些設備包括攝像頭、指紋識別儀、紅外掃描儀等,而這就限制了其普及范圍,因為很多終端機并不配備這類設備。“好在智能手機上一般都有攝像頭和指紋識別儀,越來越多的用戶選擇使用這些生物特征識別替代傳統(tǒng)的文本密碼。這對提高整個社會的用戶使用安全性來說是好事。”高海昌表示,“文本密碼的優(yōu)點是部署和使用比較簡單,不需要專用設備,使用成本低。劣勢就是很不安全,在現(xiàn)在的字典攻擊、撞庫攻擊和暴力攻擊面前很脆弱。”
為了保證安全,一些網(wǎng)絡運營商和電商也推出了生物識別認證,比如騰訊旗下的微信于2015年開始使用聲紋鎖;一些銀行App也推出了聲紋鎖技術;京東在旗下的無人超市安裝了人臉識別系統(tǒng);刷臉才能進超市,并可刷臉支付;阿里巴巴也針對網(wǎng)絡賣家和買家開啟了“實人認證”。
魔高一尺,道高一丈
隨著生物識別技術越來越多地參與到在線身份核驗和交易中,不法分子也開動腦筋尋空子。
以人臉識別為例,有些不法分子會對人臉識別系統(tǒng)進行攻擊,比如,利用照片或者視頻在鏡頭前播放,或者佩戴3D打印面具以欺騙人臉識別系統(tǒng);而針對聲紋鎖,他們用回放錄音或者聲音模擬器來擾亂。“針對前者,我們可以采用人臉活體識別技術來防止攻擊,針對后者則可以隨機指定用戶的說話內容并加上聲音活體識別技術來防范。”王炎表示。
實人認證是阿里巴巴針對過程身份核驗和認證而推出的一項技術,包括有效證件權威核驗、生物識別以及大數(shù)據(jù)風控識別,其中生物識別用來驗證使用者與有效證件、權威數(shù)據(jù)庫里的對應照片是否為同一個人。
這與火車站的人臉識別等功能技術核心有類似,但也不同。因為火車站是有人值守的,但淘寶賣家來自天南海北,絕大部分只能通過網(wǎng)絡進行遠程認證,但由用戶手機獲取的人臉照片是否為真實的賣家本人就需要進一步判斷了。
“我們通過活體檢測技術,判斷鏡頭前面是真實的人而非照片、視頻或者其他面具,判斷的過程可以包括讓用戶完成隨機指定的交互動作等,技術上則通過深度學習等算法來進行綜合判斷。之后我們還會基于阿里巴巴的大數(shù)據(jù)風控,來判斷此人的風險程度如何。”王炎表示。
另外,用戶在進行人臉識別過程中的姿態(tài)、光照、遮擋、圖片清晰度等都會影響到效果;從人自身的變化看,從小到老會發(fā)生變化,識別變化比較困難。但隨著深度學習技術的快速發(fā)展,這些識別困難已得到了較好的解決。
高海昌也表示,生物特征識別的技術在不斷進步,其安全性和魯棒性也都在逐漸提高。早期的人臉識別系統(tǒng)可以輕易通過照片欺騙,但是現(xiàn)在最新的人臉識別技術已經(jīng)加入了眨眼等動態(tài)識別技術,很難被欺騙,“尤其是近兩年深度學習技術應用到生物特征識別領域后,安全性和魯棒性得到極大提升,被廣泛應用到了一些重要的領域,如金融、移動支付、門禁系統(tǒng)等”。
“就便捷性而言,生物識別技術在某些場景下確實有優(yōu)勢,比如在移動支付時,指紋識別明顯比圖案、短信等更加快速便捷;在冬天寒冷的戶外,虹膜解鎖手機相比其他方案就顯得更加方便等。”翟立東坦言。
技術仍需完善
領域的拓寬讓生物識別數(shù)據(jù)變得更豐富,更有利于機器的深度學習,從而更方便地解鎖和保障安全。
“但,到底生物識別技術安全還是傳統(tǒng)密碼更安全,還要看具體的應用場景和需求。比如,現(xiàn)在市面上已經(jīng)有各種可復制指紋的方法和工具,很容易就可獲取和復制目標對象的指紋信息,在這種情況下,反而不如定期更換密碼來得安全。”翟立東認為,“就未來趨勢來看,仍然要在安全性和便捷性上做好平衡,對于安全要求高的場景,要在保證安全的前提下盡可能提升便捷性,帶給用戶更好的使用體驗。”
高海昌認為,目前還不能說哪種技術更優(yōu)秀。比如現(xiàn)在的SSD固態(tài)硬盤相比較于傳統(tǒng)的機械硬盤,具有全方面壓倒性的優(yōu)勢。但為什么這么多年還沒有取代機械硬盤,最主要因素就是價格。
“營造未來的網(wǎng)絡安全環(huán)境,不僅需要進一步提升生物特征識別技術優(yōu)勢。另外,還需要從網(wǎng)絡基礎架構、操作系統(tǒng)和數(shù)據(jù)庫等方面進行安全性的持續(xù)改進。”高海昌說。
