生物密鑰安全嗎

張燕

十多年前，有句從強(qiáng)盜嘴里說出的電影臺詞曾經(jīng)膾炙人口：“IC、IP、IQ卡，統(tǒng)統(tǒng)告訴我密碼?！边@句話甚至一度蓋過搶劫行業(yè)“此山是我開，此樹是我栽”的風(fēng)頭。

但時代的發(fā)展有時會用黑色幽默的方式破壞當(dāng)初的語境，比如當(dāng)前在山里栽樹的往往被稱作環(huán)保主義者，而還在用卡輸密碼的也和當(dāng)年的電影一樣過時了?，F(xiàn)在，指紋、瞳孔或者聲音等生物密鑰越來越普遍——從打開手機(jī)鎖屏狀態(tài)的方式，就能看出這個趨勢。

相比密碼和口令，生物密鑰目前似乎成了保護(hù)個人數(shù)據(jù)資料的更優(yōu)之選。如指紋識別技術(shù)的應(yīng)用無處不在，手機(jī)、門禁、密碼驗證、打卡機(jī)，幾乎都有指紋識別。而支付寶，也稱將啟用刷臉這種人臉識別技術(shù)。

選擇哪種生物密鑰更安全？

各顯神通

先進(jìn)技術(shù)一出現(xiàn)，先嘗螃蟹的一般是金融業(yè)。

在金融領(lǐng)域，生物密鑰使用更廣泛。自2016年3月起，日本永旺銀行的ATM機(jī)僅憑指紋就可進(jìn)行交易。用戶能夠快捷取出現(xiàn)金，十分方便。無需銀行卡和密碼，僅憑指紋等生物特征認(rèn)證操作ATM，這在日資銀行中尚屬首次?？蛻暨M(jìn)行交易時，將事前錄入指紋的兩根手指在ATM專用終端上掃描，可進(jìn)行存取款、轉(zhuǎn)賬和賬戶余額查詢操作。取款和轉(zhuǎn)賬的上限為100萬日元。18歲以上的用戶可申請利用，兒童因為發(fā)育會造成手指大小變化而被排除在外。

永旺銀行認(rèn)為，使用指紋識別不僅可以提高便利性，還可防止盜竊銀行卡等犯罪行為。

指紋認(rèn)證技術(shù)不止在日本使用，波蘭銀行BPH和Getin Bank已引入高科技自動柜員機(jī)，通過掃描客戶指尖獨一無二的靜脈信息來識別他們。該系統(tǒng)被認(rèn)為比簡單的指紋識別更加可靠。

當(dāng)然，金融業(yè)也并非只盯住指紋密鑰。比如愛爾蘭聯(lián)合銀行已使用語音識別技術(shù)。因為該銀行曾出現(xiàn)一個十分常見、成本又高的問題：有人總是忘記密碼。銀行的服務(wù)臺有6名全職員工，專門負(fù)責(zé)處理每年多達(dá)16萬次的索取新密碼的請求。

現(xiàn)在員工可以在一天中的任何時間重置密碼，而無需在電話上排隊等候3分鐘之久：他們的電話能立刻得到答復(fù)。這種巨大的轉(zhuǎn)變是配備語音生物測定系統(tǒng)的結(jié)果，該系統(tǒng)能識別打電話者的聲音。

現(xiàn)在已有越來越多的公司開始使用語音生物測定系統(tǒng)，愛爾蘭聯(lián)合銀行只是其中之一。然而，該系統(tǒng)的用途不僅僅是幫助員工修改密碼，越來越多的金融服務(wù)公司開始使用這種系統(tǒng)打擊欺詐行為。

在愛爾蘭聯(lián)合銀行，總公司的1萬名員工可以通過撥打一個號碼并重復(fù)一些詞語，在該系統(tǒng)進(jìn)行注冊。生物測定系統(tǒng)能夠從中捕捉到一種“語音痕跡”：即打電話者聲音獨有特征的數(shù)字表象。而后重置密碼就能自動完成。銀行在此方面的投資迅速取得了回報：服務(wù)臺在重置員工密碼工作上花費的時間明顯減少。此外，聲音生物測定系統(tǒng)不僅可以用于幫助員工找回密碼，還被金融服務(wù)公司用于鑒定客戶身份，甚至生成一種聲音數(shù)字簽名。

除指紋和語音外，人臉識別也派上了大用場。日本計劃在舉辦東京奧運會和殘奧會的2020年之前，在全國主要機(jī)場引進(jìn)通過機(jī)械識別人臉、進(jìn)而確認(rèn)身份的系統(tǒng)，原則上將推進(jìn)日本人出入境審查的無人化。此舉將提高審查的效率，同時重點配置應(yīng)對大幅增加的訪日游客的入境審查官，有助于縮短審查等待時間，同時強(qiáng)化反恐對策。

面部識別的原理是將護(hù)照內(nèi)置的IC芯片中記錄的面部照片數(shù)據(jù)，與審查窗口攝像機(jī)拍攝的面部圖像進(jìn)行比對，如果確認(rèn)為同一人，即允許通過自動門。據(jù)悉，英國和澳大利亞等國已經(jīng)引進(jìn)這項技術(shù)。

生物密鑰并非絕對安全

面部識別、指紋和聲音密鑰等生物密鑰技術(shù)使用的同時，也存在一些信息泄露的安全隱患。

在各種特工電影里，早就總結(jié)出了突破指紋密碼的整套教程，如簡單粗暴地打暈對手后直接將其手指摁上去;在門把手等處用膠帶收集指紋。

而在數(shù)碼照片像素越來越大的時代，這套教程又出了增訂版：看著對方擺出剪刀手拍照的照片，就有辦法復(fù)制指紋。

一些日本科學(xué)家警告稱，在社交媒體上展示V字剪刀手可能會讓黑客得到銀行賬號的訪問權(quán)。東京國立情報學(xué)研究所的研究人員利用現(xiàn)成設(shè)備，在最遠(yuǎn)三米的距離拍攝了一些指尖，然后用生成的圖片騙過了一個指紋識別系統(tǒng)。

這項研究預(yù)示著，未來任何事物——甚至是你的身體本身——都無法避免你的身份遭盜用，這對蓬勃發(fā)展的生物識別安全產(chǎn)業(yè)構(gòu)成了威脅。

東京國立情報學(xué)研究所教授越前功說：“隨著相機(jī)分辨率不斷提高，為指紋或虹膜等較小物體成像正成為可能。一旦你將它們分享到社交網(wǎng)絡(luò)上，它們就會傳播出去。與密碼不同，你無法更改你的手指，因此它是你必須保護(hù)的信息?！?/p>

東京國立情報學(xué)研究所的這項工作，是研究人員首次展示的完整鏈條：從拍攝指尖到重構(gòu)可欺騙掃描儀的指紋。此前已發(fā)生過多起利用硅膜制成的假指紋騙過邊檢掃描、非法進(jìn)入日本的案件，同樣顯示了這種技術(shù)如何被利用。越前功和同事們拍攝照片所使用的相機(jī)是一款2000萬像素的佳能數(shù)碼相機(jī)。他說，這種技術(shù)要求良好的光照條件，且要聚焦于指尖，因此一般的自拍照并不會面臨風(fēng)險。然而，隨著相機(jī)分辨率不斷提高，這種狀況很快會發(fā)生改變。

如果自拍導(dǎo)致生物密鑰失竊，那么就是得不償失了。但有時生物密鑰流出并非個人原因，政府的信息庫也可能被攻陷。

美國政府人事管理局兩年前曾公布消息稱，通過網(wǎng)絡(luò)攻擊盜取美國聯(lián)邦政府雇員個人信息的黑客，盜取了約560萬份指紋信息。被盜取指紋信息的，除了政府雇員之外，還包括簽約企業(yè)的員工等。

密碼大戰(zhàn)

開手機(jī)要密碼，網(wǎng)上郵件要密碼，開電腦也要密碼，人們的日常生活被各種各樣的密碼占據(jù)。密碼設(shè)置越多、設(shè)置得越復(fù)雜，就越記不住。而要走簡單的路子，如選生日等作密碼，又容易被其他人猜到。還有些人使用最簡單的數(shù)字排列，結(jié)果有好多人的密碼相同，也很容易被破解。

美國一項研究指出，在廣泛使用的密碼中，幾乎一半左右的專業(yè)人士僅僅用幾分鐘就破譯了。因此一場密碼設(shè)置和盜竊之間的大戰(zhàn)正在無形的網(wǎng)絡(luò)空間中展開。

美國洛杉磯每年召開的“黑帽大會”是著名的國際信息安全精英大會，前中情局資深探員柯弗·布萊克曾在“黑帽大會”上表示，盜竊與反盜竊的網(wǎng)絡(luò)信息中，世界“密碼大戰(zhàn)”的規(guī)模和范圍日益擴(kuò)大，正顯露出潛在的災(zāi)難性后果。

具有唯一性的生物密鑰在這場密碼大戰(zhàn)中被寄予厚望，不過現(xiàn)在看同樣有破綻。

黑客與用戶之間的下一個戰(zhàn)場很可能會是生物密鑰，如拇指紋、虹膜或語音。目前黑客很少利用生物特征來繞過手機(jī)安全屏障，因為還有很多更容易的突破方式。不過這種情況很可能會改變。問題是，如果有人的密碼被他人知道，可以很快換一個密碼，但是一旦生物特征信息被獲取，就無計可施了，生物密鑰無法更改，是“終極個人信息”。

為了更好地保護(hù)這種“終極個人信息”，人工智能也加入了這場密碼大戰(zhàn)。美國的一個項目就聚焦于打造出一套人工智能方案，從而以自動化方式檢測欺騙性指紋、面部圖像以及虹膜。研究人員不僅要識別出偽造的假肢型拇指、打印出用其他方式構(gòu)建的圖像，還要“教導(dǎo)”人工智能預(yù)測前所未有的攻擊方式。

從這個角度看，生物密碼大戰(zhàn)才剛剛開始。endprint