“先生,请出示身份证,并将视线对准电脑前的摄像头。”一位酒店前台服务员正在向入住者耐心地讲解入住手续,包括顾客的面孔等信息与后台数据相连。随后,入住者掏出手机,用指纹解锁进入移动支付界面……
如今,面孔、指纹、虹膜,甚至声纹、静脉等生物特征正逐渐替代数字、英文组成的传统密码,成为人们日常生活中的常用密码。
然而,纵然生物识别特征具有唯一性和可辨别性,但依然有人试图寻找其中的漏洞。那么,何谓生物识别技术?面对挑战,生物识别技术安全性如何保证?
优势更为明显
在智能手机系统中,苹果与安卓占据了绝大部分份额,前者在推出Apple Pay时就推出了指纹支付;后者也在今年5月将面部识别技术应用到支付服务Android Pay中。
“生物识别具有三个特征,首先是唯一性,即每个人都独有的特性,其次是稳定性,或者相对稳定性。这让生物特征与其他钥匙、密码、磁卡等容易丢失或容易忘记的东西不同,因为每个人都是通行证,只要生物特征不变,那就能顺利采集。”阿里巴巴集团安全部生物识别团队高级算法专家王炎解释说。
所以,相比较传统的密码,生物识别技术在一定程度上确实更加安全,众所周知,传统的密码存在遗忘、丢失、被盗、可被暴力破解等不利因素,而人的生物特征则一般不存在这些问题,“而且在认证速度上,常用的生物识别技术通常在1~3秒内即可完成,极大地提高了便利性。”中科院计算技术研究所副研究员翟立东表示。
“生物识别技术确实比现在的普通文本密码要安全得多,但也有其局限。”西安电子科技大学软件学院教授高海昌在接受《中国科学报》记者采访时表示,“不论哪一种生物特征,都需要专用的设备进行识别。”
这些设备包括摄像头、指纹识别仪、红外扫描仪等,而这就限制了其普及范围,因为很多终端机并不配备这类设备。“好在智能手机上一般都有摄像头和指纹识别仪,越来越多的用户选择使用这些生物特征识别替代传统的文本密码。这对提高整个社会的用户使用安全性来说是好事。”高海昌表示,“文本密码的优点是部署和使用比较简单,不需要专用设备,使用成本低。劣势就是很不安全,在现在的字典攻击、撞库攻击和暴力攻击面前很脆弱。”
为了保证安全,一些网络运营商和电商也推出了生物识别认证,比如腾讯旗下的微信于2015年开始使用声纹锁;一些银行App也推出了声纹锁技术;京东在旗下的无人超市安装了人脸识别系统;刷脸才能进超市,并可刷脸支付;阿里巴巴也针对网络卖家和买家开启了“实人认证”。
魔高一尺,道高一丈
随着生物识别技术越来越多地参与到在线身份核验和交易中,不法分子也开动脑筋寻空子。
以人脸识别为例,有些不法分子会对人脸识别系统进行攻击,比如,利用照片或者视频在镜头前播放,或者佩戴3D打印面具以欺骗人脸识别系统;而针对声纹锁,他们用回放录音或者声音模拟器来扰乱。“针对前者,我们可以采用人脸活体识别技术来防止攻击,针对后者则可以随机指定用户的说话内容并加上声音活体识别技术来防范。”王炎表示。
实人认证是阿里巴巴针对过程身份核验和认证而推出的一项技术,包括有效证件权威核验、生物识别以及大数据风控识别,其中生物识别用来验证使用者与有效证件、权威数据库里的对应照片是否为同一个人。
这与火车站的人脸识别等功能技术核心有类似,但也不同。因为火车站是有人值守的,但淘宝卖家来自天南海北,绝大部分只能通过网络进行远程认证,但由用户手机获取的人脸照片是否为真实的卖家本人就需要进一步判断了。
“我们通过活体检测技术,判断镜头前面是真实的人而非照片、视频或者其他面具,判断的过程可以包括让用户完成随机指定的交互动作等,技术上则通过深度学习等算法来进行综合判断。之后我们还会基于阿里巴巴的大数据风控,来判断此人的风险程度如何。”王炎表示。
另外,用户在进行人脸识别过程中的姿态、光照、遮挡、图片清晰度等都会影响到效果;从人自身的变化看,从小到老会发生变化,识别变化比较困难。但随着深度学习技术的快速发展,这些识别困难已得到了较好的解决。
高海昌也表示,生物特征识别的技术在不断进步,其安全性和鲁棒性也都在逐渐提高。早期的人脸识别系统可以轻易通过照片欺骗,但是现在最新的人脸识别技术已经加入了眨眼等动态识别技术,很难被欺骗,“尤其是近两年深度学习技术应用到生物特征识别领域后,安全性和鲁棒性得到极大提升,被广泛应用到了一些重要的领域,如金融、移动支付、门禁系统等”。
“就便捷性而言,生物识别技术在某些场景下确实有优势,比如在移动支付时,指纹识别明显比图案、短信等更加快速便捷;在冬天寒冷的户外,虹膜解锁手机相比其他方案就显得更加方便等。”翟立东坦言。
技术仍需完善
领域的拓宽让生物识别数据变得更丰富,更有利于机器的深度学习,从而更方便地解锁和保障安全。
“但,到底生物识别技术安全还是传统密码更安全,还要看具体的应用场景和需求。比如,现在市面上已经有各种可复制指纹的方法和工具,很容易就可获取和复制目标对象的指纹信息,在这种情况下,反而不如定期更换密码来得安全。”翟立东认为,“就未来趋势来看,仍然要在安全性和便捷性上做好平衡,对于安全要求高的场景,要在保证安全的前提下尽可能提升便捷性,带给用户更好的使用体验。”
高海昌认为,目前还不能说哪种技术更优秀。比如现在的SSD固态硬盘相比较于传统的机械硬盘,具有全方面压倒性的优势。但为什么这么多年还没有取代机械硬盘,最主要因素就是价格。
“营造未来的网络安全环境,不仅需要进一步提升生物特征识别技术优势。另外,还需要从网络基础架构、操作系统和数据库等方面进行安全性的持续改进。”高海昌说。