《大西洋月刊》近日發(fā)表文章�,稱(chēng)指紋識(shí)別�����、面部識(shí)別等身份驗(yàn)證方式仍然容易被黑客攻破���。如果黑客學(xué)會(huì)了如何模仿人類(lèi)身體的獨(dú)特特征��,科學(xué)家可能就會(huì)改用腦電波和基因組的方式來(lái)驗(yàn)證用戶身份了��。以下為原文內(nèi)容:
如何向一臺(tái)計(jì)算機(jī)證明你的身份����?
你可以使用密碼,這是你和計(jì)算機(jī)之間共享的秘密��。但密碼容易成為網(wǎng)絡(luò)釣魚(yú)���、黑客入侵等不法行為的獵物�����,有人要冒充你似乎并不太困難���。
如今,你常常需要使用比密碼更難以模仿的東西來(lái)驗(yàn)證身份——例如用指紋登錄智能手機(jī)�����、筆記本電腦和銀行帳戶�����。像其他生物特征數(shù)據(jù)一樣���,你的指紋是獨(dú)一無(wú)二的�����,所以當(dāng)你的拇指按上識(shí)別模塊時(shí)�����,計(jì)算機(jī)就會(huì)知道你是誰(shuí)�。
你的拇指不太可能像密碼那樣“泄露”,但這并不意味著用它來(lái)驗(yàn)證身份就可以高枕無(wú)憂�����。 2014年����,一些黑客入侵了美國(guó)政府部門(mén)的計(jì)算機(jī)系統(tǒng)�,獲取了2200萬(wàn)美國(guó)人的敏感個(gè)人資料,其中包括560萬(wàn)人的指紋����。
這些數(shù)據(jù)似乎并沒(méi)有出現(xiàn)在黑市上,但是如果它被賣(mài)掉或泄漏出去�,黑客要用它來(lái)對(duì)付受害者也會(huì)很容易。去年��,密歇根州立大學(xué)的一些研究人員使用噴墨打印機(jī)和特殊紙張,將高質(zhì)量的指紋掃描圖片制作成了3D指紋����,足以騙過(guò)智能手機(jī)的指紋讀取器——而他們使用的設(shè)備價(jià)格還不到500美元。
根本問(wèn)題:無(wú)法重置
另外一些網(wǎng)絡(luò)攻擊者則使用了其他方式來(lái)收集人們的指紋��。如果你在拍攝照片的時(shí)候比劃某些手勢(shì)�����,然后在社交媒體上分享這些照片�,就可能會(huì)面臨風(fēng)險(xiǎn)——東京國(guó)立信息學(xué)研究所的研究人員可以從九英尺外拍攝的手勢(shì)照片中重建用戶的指紋。
面部數(shù)據(jù)也容易受到黑客的攻擊��。喬治城大學(xué)的一項(xiàng)研究發(fā)現(xiàn)�,警方的面部識(shí)別數(shù)據(jù)庫(kù)涵蓋了全美國(guó)至少有50%的人,有些是駕駛執(zhí)照�,有些是登記照。但黑客并不一定需要入侵某個(gè)數(shù)據(jù)庫(kù)來(lái)收集臉部照片——照片可以從Facebook或Google Images上獲取�����,甚至可以直接在街上拍攝��。
而且黑客利用這些數(shù)據(jù)也不困難:去年�,北卡羅來(lái)納大學(xué)的研究人員使用一個(gè)Facebook用戶在該平臺(tái)上發(fā)布的照片構(gòu)建了一個(gè)頭像3D模型��,創(chuàng)造出一個(gè)栩栩如生的動(dòng)畫(huà)����。在他們測(cè)試的五個(gè)面部識(shí)別工具中��,有四個(gè)都被這個(gè)動(dòng)畫(huà)騙過(guò)�。
生物識(shí)別的根本問(wèn)題在于它們不能重置。如果你的一個(gè)指紋被泄露了��,那你還有另外幾個(gè)手指的指紋當(dāng)備份���。但如果十個(gè)指紋全部被泄露了(一些執(zhí)法數(shù)據(jù)庫(kù)就包含了所有十個(gè)手指的圖像)��,你是沒(méi)有辦法重置它的�。視網(wǎng)膜掃描識(shí)別以及臉部識(shí)別也是這樣���。密碼泄露了還可以修改,但這些東西是無(wú)法改變的�����,唯一的辦法可能就是割傷手指��,或者去做整容手術(shù)。
“如果邊境巡邏隊(duì)���、你的銀行和你的手機(jī)都在收集你的指紋數(shù)據(jù)�����,然后有一個(gè)黑客知道怎么利用這些信息�����,你基本上就無(wú)法再用指紋來(lái)驗(yàn)證身份了��,”加州大學(xué)伯克利分校長(zhǎng)期網(wǎng)絡(luò)安全中心的總監(jiān)庫(kù)伯(Betsy Cooper)說(shuō)�。
此外���,指紋和臉型作為生物特征識(shí)別最廣泛使用的兩種形式��,隨著時(shí)間的推移�,它們都保持著相當(dāng)穩(wěn)定的特性�。密歇根州生物識(shí)別研究小組開(kāi)展了一項(xiàng)自動(dòng)面部識(shí)別系統(tǒng)研究,調(diào)查了1.8萬(wàn)名罪犯的近15萬(wàn)張大頭照�,第一張照片和最后一張照片之間相隔至少5年。研究人員發(fā)現(xiàn)���,當(dāng)把罪犯的照片與10年前拍攝的照片相匹配時(shí)���,現(xiàn)成的軟件包仍可達(dá)到98%的準(zhǔn)確率����。甚至有一個(gè)研究領(lǐng)域���,是在研究面部軟件如何在整形手術(shù)前后識(shí)別出同一張臉來(lái)���。
密歇根州州立實(shí)驗(yàn)室也發(fā)現(xiàn),隨著時(shí)間的推移���,指紋圖譜也會(huì)保持很高的穩(wěn)定性�����。這項(xiàng)研究檢查了五年時(shí)間中密歇根州警察局逮捕的1.5萬(wàn)人的指紋數(shù)據(jù)庫(kù)���。結(jié)果表明�,對(duì)于12年前留下的指紋,匹配起來(lái)精度也接近100%�����。在另一項(xiàng)實(shí)驗(yàn)中,該團(tuán)隊(duì)發(fā)現(xiàn)��,兒童的指紋大約在1歲的時(shí)候就開(kāi)始變得穩(wěn)定�,至少在一年后仍然可以識(shí)別出來(lái)。(并非所有生物特征都會(huì)保持不變:懷孕可以改變女性視網(wǎng)膜的血管形態(tài)�����,讓視網(wǎng)膜掃描儀無(wú)法識(shí)別���。)
可變的生物識(shí)別技術(shù)
顯然�,指紋����、虹膜和臉部形狀識(shí)別都存在著安全隱患,為了解決這個(gè)問(wèn)題����,一些人開(kāi)始研究可變的生物識(shí)別技術(shù)。
2013年���,伯克利分校的研究人員提出了一個(gè)名為“passthoughts”(通關(guān)想法)的系統(tǒng)�����。這項(xiàng)技術(shù)把三個(gè)因素結(jié)合了起來(lái):你知道的東西(一個(gè)想法)���、你是誰(shuí)(你的大腦模式)和你擁有的東西(用于測(cè)量腦電波的EEG傳感器)���。要用它來(lái)驗(yàn)證身份,你需要在佩戴感應(yīng)器的時(shí)候想你的密鑰����。密鑰可以是一首歌、一個(gè)短語(yǔ)���,或者一個(gè)心理形象����。想法本身是不會(huì)被傳輸?shù)?mdash;—傳輸?shù)闹皇悄愕拇竽X在想它的時(shí)候所產(chǎn)生的電信號(hào)的數(shù)學(xué)表示�。
就算別人知道你想的是什么,他們也不能模仿你的“passthoughts”�,因?yàn)槊總€(gè)人對(duì)同一個(gè)東西的想法是不同的。黑客可能會(huì)通過(guò)使用網(wǎng)絡(luò)釣魚(yú)方案來(lái)攻擊這種系統(tǒng):欺騙你進(jìn)行思考來(lái)獲取你的腦波輸出��,然后重播它來(lái)進(jìn)行身份驗(yàn)證。但你可以改變“passthoughts”�����,對(duì)它進(jìn)行重置�。
有了利用腦電波或遺傳學(xué)的可變生物識(shí)別技術(shù)����,即使在你的指紋已經(jīng)完全泄露,你也有辦法來(lái)證明自己的身份��。
