最近有新闻指拍照用 YA 手势有机会把自己的指纹资料外泄,惹来一些恐慌。其实有部分信息安全新闻纯粹只是在实验室等限定环境下才能实现,因此未必需要太恐慌。不过指纹的确算不上是十分安全的生物辨识方式,现在愈来愈多生物辨识登入技术出现,甚至不用任何生物特征也可以。
不用怕 YA 手势自拍啦、需要太多因素配合
日本产经新闻早前报导引述日本国立情报研究所发现,指如果人们在离镜头 3 米距离内拍照时,最好不要用 YA 手势,因为现在的拍摄设备能拍摄极高像素,YA 手势会暴露食指的指纹,放大的话能有足够的精细度被读取复制,可用来破解指纹辨别的安全系统。
不过这次的日本研究其实比较“实验室”,因为需要很多因素配合才能真的达到。例如照片昼素要够高、解像度清晰、光线也要充足,一张在室内派对的手机自拍照,实在很难相信也能做到同样效果。而 Unwire.pro 之前报导过的,如利用散热孔和电磁波破解加密、外送隔空窃取电脑密钥都只是实验室验证,要在真实里做到非常困难。
因此笔者并不担心举 YA 手势有什么安全隐忧,比较起来,笔者拒绝 YA 手势只是因为担心自己会看起来像成龙。
指纹其实一早已非安全的认证方式
其实今天已能在很多领域使用指纹辨别来代替密码登入,尤其手机也开始内建指纹辨别设备后,不少银行程序、支付工具、手机钱包也开始支持。随着指纹保安应用愈普及,像这类有关指纹辨别安全性的报导也愈受到消费者留意。
事实上指纹并非那么高等级的辨别方式,但由于是最方便快速的方式,因此才能普及到不同层面。打从 iPhone 支持 Touch ID 开始就已经有人破解,2013 年德国知名黑客 Starbug 更只用了 30 小时就破解了 Touch ID,他当时更直言“Touch ID 只是增加了便利性而不是安全性”。
指纹在 19 世纪末开始被警察作为辨别罪犯的方式,以当时技术来说已是相当先进,而且因为犯罪大多需要用上双手,因此指纹作为这种生物辨识方式仍被很广泛应用。但这并不代表指纹是一种好的辨识方式,有些人会天生指纹较浅而难识别,亦有因“富贵手”等问题而导致指纹较难读取,更别提技术上能偷取及伪冒指纹。
生物识别既要安全、更要效率和成本
目前较普及又能取代指纹的生物识别技术,包括脸容、语音、掌纹、虹膜等,即使同样也是伸出手指,除了指纹之外亦可以识别手指的静脉分布。例如日立就推出一款只需把 4 只手指对着镜头就能静脉认证的技术,由于静脉认证必须有血液流动,因此就不用怕拿着照片也能伪冒的问题。
事实上生物辨识技术并非只看安全性,也必须考虑认证速度、成本等问题。最能准确辨别的当然是 DNA,但想想也知道不可能把它内置到手机里(起码目前技术啦),而且技术也做不到快速的识别。要实用化的话,就必须在现有硬件或技术下做到,因此像日立那种能用现有手机就做到的便相当有意思。
例如最近中国春运开始,广州火车站引入了人脸识别的自助验票闸口,以杜绝黄牛车票。以前人手验票速度较低,而引入人脸识别就有助快速疏导旅客。日本也有案例是利用人脸识别来取代传统的演唱会印刷门票,不仅验票速度提升也有助杜绝黄牛票。
多重因素认证更安全、但难免麻烦消费者
其实大多数资讯保安专家都认同,并没有哪一种辨识技术是绝对破解不了的,因此专家都推荐双重身份认证(Two factors Authentication)。简单点说就是除了密码之外多使用一个验证方式,来使登入者身份较为可靠,例如使用两重密码,或是使用短信密码,当然生物特征也可以是其中一环。
类似的技术已经被 Google 和 Microsoft 等大型网上服务供应商采用,他们辨别的方式是登入者的位置、设备、操作平台等,例如香港人很少会在俄罗斯登入,如果在陌生地点用陌生设备登入就需要强制作多一重认证,而这其实算是一种针对“设备特征”的辨别技术。
但双重身份认证难免会有消费者感到麻烦,若消费者觉得麻烦而拒绝使用,绝对只是本末倒置。因此更加终极的认证方式也出现了,那就是使用者习惯辨别。这既是生物特征但又毋须掌握消费者哪一身体部位的特征,因为它其实是靠掌握使用者的一些难以察觉的个人习惯而辨别,包括输入密码的速度、力度、间隔等,极难模仿。
辨识使用者输入习惯、密码外泄也骇不了
笔者在新加坡就曾访问一家做使用者习惯辨别的初创公司 Solus,主要提供技术给银行和政府机构。使用者只需像平常般输入一组密码就可以了,但系统背后会记录登入时的输入密码的速度、力度、间隔等习惯。在会场向笔者展示时甚至把密码贴在桌面任看也无妨,因为没有人能模仿到输入习惯,就算密码外泄也登入不了。
据 Solus 表示全球已有 50 家银行机构采用,平均一年处理 15 亿笔登入。厉害的是不管在手机还是桌面电脑也能有相同效果。而 Solus 本身亦有研发如随机位置的密码键盘、利用双眼位置大小距离等特征的生物辨识的技术,系统会利用多重技术计算每次登入的分数,符合输入习惯和双眼特征才准许登入。
比起指纹、虹膜、人脸之类,输入习惯不涉及任何个人身体特征,换言之也不会储存任何敏感资料,甚至不会记录登入者的地理位置,其实是相当能令消费者安心的技术,隐私问题较少。不过就像保安专家建议一样,最好不要尽信一种验证方式,多重验证仍是最可靠的保安方式。
(本文由 Unwire Pro授权转载)