指紋解鎖安全嗎：盜指紋與盜密碼一樣簡單

密碼很容易被盜，那么與我們自身生理特征緊密相關的指紋、虹膜、人臉圖像會不會更安全呢？并不會。而且這些生物識別信息由于保持了一種靜態穩定性，盜了一次還可反復使用，比密碼更糟呢。

你要如何向電腦證明自己的身份？

當然，你可以設置一個密碼，這是你和電腦共享的小秘密。但是密碼是很不保險的，非常容易被盜取，無論是網絡釣魚詐騙還是數據泄露，亦或是別人通過社交引擎人肉之后猜出你的秘密，反正想要通過獲取密碼冒充你的身份是挺簡單的一件事。

不過在今天，你經常會被要求提供一些相對密碼來說更根本且更難被模仿的識別標志：一些只有你知道別人不知道的東西。比方說你的指紋，你可以依靠指紋解鎖手機，登入電腦，打開銀行賬戶。就像其他的生物信息一樣，你的指紋是獨一無二的，因此當你把大拇指按在讀取器上，你的電腦當然知道你就是那個需要登入賬戶的正主。

你的大拇指可比密碼要靠譜的多了，但是這并不代表簡單地依靠指紋就能標志出你的獨家身份。在 2014 年，黑客侵入了聯邦人事管理局的計算機系統，盜走了超過 2200 萬美國人的敏感的個人信息數據——其中包括了 560 萬人的指紋。

這批數據似乎并沒有在黑市中現身，但是如果它們被出售或者泄露出來，就會很容易被用來對付那些被竊取了數據的受害者。去年，兩位密歇根州立大學的研究者使用噴墨打印機和特種紙張進行了指紋掃描打印，并且將它們制成了以假亂真可騙過智能手機的 3D 指紋膜，這一切的成本花不到 500 美元。

即便不采用有組織黑客的攻擊，想要收集別人的指紋也有的是辦法。東京國立信息研究院的研究者們可以基于一個人比出和平手勢的照片重建他的指紋，即使被拍攝者離鏡頭有九英尺遠也沒問題。「只要你在社交網站上分享過露出指紋的照片，它們就不再是個秘密了。」

人臉識別就更容易被黑客竊取了。喬治城大學的一項研究發現，50% 的美國人的人臉形象都至少留存在一個警方人臉識別數據庫里，有些來源于駕駛證上的照片，有些則是警方拍攝的犯人臉部照片。但對于黑客來說根本沒必要侵入數據庫去獲取這些人臉照片，從 非死book 或者 Google 圖片下載，或者是直接從街頭抓取都是更簡便快捷的方法。

人臉識別圖像與指紋一樣是可以被仿造的。去年北卡羅納大學的研究人員通過一個人的 非死book 照片為其頭部進行了 3D 建模，在此基礎上創建了一個可變換不同角度、十分逼真的人臉識別圖像，該圖像已經能夠在 4、5 個面部識別工具的測試中以假亂真。

其實生物識別技術的根本問題在于它們無法像密碼一樣被重置。如果你的一個指紋圖形被竊取了，沒什么大不了，你還有其他 9 個手指的備份。但是如果你雙手十指的指紋都被盜了該怎么辦呢，要知道有不少執法部門的數據庫中都需要你錄入雙手十指的指紋，如果這些信息失竊了，你就不可能再有多余的手指作為替代了。虹膜識別與人臉識別的道理也是一樣的，它們不像那些可以時時變換的密碼，除非你要在臉上動些手腳或者去整容。

「如果邊境巡邏隊，你的開戶銀行以及你的手機都能夠收集你的指紋數據，那么只要其中一個環節的指紋數據泄露了出去被加以仿造，那么你的指紋數據基本上就失去了可用性。」加州大學伯克利分校網絡安全中心的主任 Betsy Cooper 解釋道。

更為重要的是，不像你心血來潮就換一次密碼，指紋和人臉識別這兩種被廣泛運用的生物識別信息即使隨著時間的推移也保持了相當的穩定性。密歇根州的生物識別技術研究小組在一項針對自動人臉識別系統的研究中，針對 18000 名犯罪者的將近 15 萬張犯人臉部照片進行了核查，這些犯人的最近照片與他們的首次拍照至少都相隔了 5 年。研究者們發現使用一個沒有進行過數據更新的現成軟件對這些最早拍攝于十年前的人臉照片進行識別，準確率居然也達到了 98%。在人臉識別領域中甚至還出現了可以識別出整容前與整容后同一張人臉的軟件。

密歇根州的這一研究室同時還發現指紋也與人臉圖像一樣具有相同的穩定性，這一次他們核查了被密歇根州警方在 5 年中逮捕的 15000 人的指紋數據庫。結果顯示在實際使用中，一個 12 歲孩子的指紋幾乎能夠 100% 的匹配上他成年后的指紋。在另一項實驗中，該研究團隊發現嬰兒的指紋在大約 1 歲之后就開始穩定下來。

（不是所有的生物識別信息都能保持不變，比如懷孕就會改變女性的視網膜血管模式，這一改變會影響視網膜掃描儀的判斷。）

為了克服指紋、虹膜、人臉這些靜態參考物中存在的安全風險，一些研究已經開始轉向那些多變的生物識別技術。在 2013 年，加州大學伯克利分校的一個研究小組提出了一個頗具未來感的「思維秘鑰」，該技術結合了三個要素：一些只有你知道的信息，你大腦的形式，你的腦部特征（用 EEG 傳感器測量你的腦電波）。使用「思維秘鑰」進行身份驗證的時候，你需要穿著測量腦電波的傳感器去想你自己秘鑰，這個秘鑰可以是任何事物，一支歌，一句話，或者是一個腦海中的形象。這種思維過程本身是絕不能被仿造的，它是你的大腦在思考時呈現出來的電波信號。

即使別人能夠弄清楚你在想什么，他們也無法模仿你的「思維秘鑰」，因為每個人在思考同一事物時大腦的反應也是各不相同。黑客也許能夠通過一個釣魚方案攻入系統，比如誘騙你去想自己設置的秘鑰，然后再捕獲你的腦電波，之后重放腦電波去騙過身份驗證系統。但是你不會坐以待斃，你可以隨時改變思維秘鑰中所設想的那個事物。

于此同時加州伯克利的研究者們還在探索如何利用類似「基因魔剪」（CRISPR）的系統去將可變的秘鑰嵌入到人類的 DNA 中。有了這些可變的生物識別信息如腦電波和遺傳基因，你就能擁有一種可靠的證明自己身份的方式，即使你十指指紋都被盜了十幾遍，也沒有什么可擔心了。

文章來源：the ATLANTIC，TECH2IPO / 創見阿爾法虎編譯，首發于創見

來自: tech2ipo.com