生物識別安全性令人擔憂(yōu)做好數據安全是關(guān)鍵

自從蘋(píng)果開(kāi)創(chuàng )性地使用了指紋識別，生物識別這種更加安全的密碼系統便被帶入了大家的視線(xiàn)。越來(lái)越多的生物識別技術(shù)被發(fā)現并想辦法應用到實(shí)際中，但對于其安全性仍存在隱憂(yōu)。

如今，人們對信息安全越來(lái)越重視，而保障信息安全最常用的方法就是密碼。

多樣生物識別，開(kāi)解解鎖新視界

如今，指紋識別已經(jīng)成為解鎖手機、驗證身份的一種流行方式。隨著(zhù)生物識別技術(shù)的不斷進(jìn)步，除了常見(jiàn)的指紋識別之外，人們身上越來(lái)越多的生物特征加入了“密碼”的行列。

根據英國《每日郵報》報道，近日，德國一個(gè)研究團隊開(kāi)發(fā)出了一套依靠頭骨進(jìn)行生物識別的技術(shù)。它利用一個(gè)類(lèi)似頭盔的設備，通過(guò)骨傳導揚聲器將超聲波信號發(fā)射到佩戴者的頭骨周?chē)?。佩帶者佩戴的設備會(huì )記錄下頭骨對于超聲波的震動(dòng)反饋，憑借這一數據來(lái)驗證身份。與指紋解鎖相比，這個(gè)技術(shù)的復制難度顯然要大得多。

據報道，研究人員邀請了10人進(jìn)行測試，識別準確度為97%。目前，這項技術(shù)還存在一些問(wèn)題，比如雜亂的背景音、用戶(hù)體重的增減等因素都可能干擾或影響頭骨音的震動(dòng)頻率，不過(guò)，這已經(jīng)為生物識別提供了新的可能性。

耳朵也可以充當密碼。此前，日本一家公司聯(lián)合長(cháng)岡技術(shù)科學(xué)大學(xué)共同研究出了一種通過(guò)匹配聲音在耳道中的共振頻譜來(lái)進(jìn)行生物識別的技術(shù)。每個(gè)人的耳道形狀都不同。耳道識別技術(shù)以微型入耳式耳塞為載體，向配戴者的耳道發(fā)出聲波，再通過(guò)耳機端接受反射回來(lái)的聲波進(jìn)行身份驗證。該公司表示：“這項技術(shù)不需要通過(guò)識別設備掃描身體，它通過(guò)自然的方式進(jìn)行持續識別，甚至在運動(dòng)和工作的時(shí)候，也只需佩戴具備內置麥克風(fēng)的耳機即可?！辈粌H方便，而且識別時(shí)間僅需1秒，準確率達到99%。該公司有望在2018年將相關(guān)產(chǎn)品推向市場(chǎng)。

如今，越來(lái)越多的個(gè)人數據被置于云端進(jìn)行存儲和管理。信息安全成為人們關(guān)注的問(wèn)題。近年來(lái)，生物密碼開(kāi)始慢慢取代極易偽造和丟失的傳統密碼。指紋識別不必贅述，人臉識別、虹膜識別、聲音識別、靜脈識別等多種方法都有廣泛的應用。隨著(zhù)科學(xué)技術(shù)的進(jìn)一步發(fā)展和相關(guān)領(lǐng)域研究的深入，安全性更高、更加便捷的生物識別技術(shù)也在逐漸興起。也許在不久的將來(lái)，我們就只需要將手機靠近頭部或帶上耳機就能夠解鎖手機。

生物識別安全性仍令人擔憂(yōu)

與傳統密碼相比，生物識別安全系統的設計思路就是讓用戶(hù)使用明顯的身體特征——例如指紋、虹膜或心跳率——來(lái)證明自己的身份。這種功能在當前的很多設備中都很常見(jiàn)。例如，蘋(píng)果iPhone允許用戶(hù)通過(guò)指紋來(lái)授權某項支付活動(dòng)。

生物識別安全功能的好處就是這些身體特征很難復制，而且用戶(hù)也不用費神記住它們。這與傳統的密碼加密方法形成了鮮明的對比。黑客之所以能夠輕易地破解密碼，是因為很多用戶(hù)仍在使用非常簡(jiǎn)單的密碼，例如“12345”，而且還因為黑客借用了強大的電腦來(lái)猜測和測試密碼。

可惜的是，生物數據也是可以被黑客竊取的?，F在，已有很多竊取用戶(hù)生物數據的安全入侵事件發(fā)生。例如，在2015年，美國聯(lián)邦政府人事管理辦公室保存的560萬(wàn)個(gè)員工的指紋數據就被黑客盜走了。

更糟糕的是，在生物數據失竊后，它會(huì )造成永久性的危害。在數據失竊后，你可以更改你的密碼，但是你卻無(wú)法更改你的指紋。

現在，越來(lái)越多的組織（包括公司和政府機構）都在建立員工的生物特征數據庫，以方便識別他們的身份。但是，這樣的數據庫會(huì )將員工置于非常危險的境地，因為這些數據庫有被黑客竊取的風(fēng)險。

普華永道國際會(huì )計事務(wù)所（PricewaterhouseCoopers）發(fā)布的一份最新報告指出，不同國家擁有非常不同的針對生物數據收集和傳播的隱私法。任何擁有這些數據的公司——不管是直接擁有的，還是通過(guò)第三方云計算服務(wù)提供商間接擁有的——相當于走進(jìn)了一個(gè)“雷區”：如果被發(fā)現不正當使用這些數據，或者這些數據被黑客竊走，那么這些公司就會(huì )遭到法律起訴，給自己惹上無(wú)窮無(wú)盡的麻煩。

但是，生物識別安全系統的這些風(fēng)險也不是不可以防范的?，F在，人們越來(lái)越意識到公司保護員工生物數據的方法就是在一開(kāi)始就不持有這些敏感的信息。PwC公司的報告建議，公司應該將這些生物數據只保存在用戶(hù)本人的設備上，而不是集中保存到公司的服務(wù)器上。

在實(shí)踐中，用戶(hù)可以將一個(gè)或多個(gè)生物特征（例如大拇指指紋和語(yǔ)音信息）保存到個(gè)人的手機或電腦上。然后，當用戶(hù)在第三方服務(wù)如PayPal支付服務(wù)或其他網(wǎng)站上處理業(yè)務(wù)的時(shí)候，這些服務(wù)或網(wǎng)站就會(huì )與他或她的個(gè)人設備交換確認信息，從而確認身份。

例如，iPhone上的蘋(píng)果支付服務(wù)ApplePay就是這樣工作的。蘋(píng)果實(shí)際上不會(huì )將用戶(hù)的大拇指指紋復印件發(fā)給送商戶(hù)，相反，它只提供一次性的確認信息來(lái)授權此次支付活動(dòng)。類(lèi)似的支付認證授權方法已通過(guò)FIDO協(xié)議標準化了。FIDO協(xié)議是科技和金融行業(yè)中的設備制造商和公司共同簽署的安全協(xié)議。

隨著(zhù)政府和公司開(kāi)始采用生物識別安全系統，它們起碼應該抵擋住將員工生物數據集中保存在統一數據庫中的誘惑，從而避免讓員工暴露在比傳統密碼更大的危險之中。