我们在谈及生物密码时,总觉得它既高端又保险,还带有一层神秘感。但伴随着近年来系列生物识别技术在生活中应用,使得指纹识别、面部识别、虹膜识别等系列技术不在高高在上,变得与我们的生活息息相关。
对于生物识别技术,小编认为传统密码加密系统由于很容易被黑客破解,导致数据泄露事件频发,因而逐渐退出历史舞台了;但也引发了担忧,当成熟的生物识别技术开始以密码的形态潜入生活之中,即将取代传统密码识别的生物识别(如:指纹、面部、虹膜等)密码系统真的安全吗?大众又该用怎样的心理和措施去面对隐私数据信息的保护?
我们真的了解基于生物识别技术的生物密码?
信息安全因为涉及你我他切身利益越来越受重视,而保障信息安全最常用的方法就是密码;但是小编认为密码是一种明显反人性的存在,它是基于信任缺失的前提下,把简单的事情进行复杂化处理,是基于人性本恶的原则下,用以保护自身利益安全的存在。
所以,我们才会去研究并把密码进行分类,分为弱密码与强密码,而这样分的依据无非就是被他人破解或猜出的难度而已。而密码强度越强,人需要记忆的复杂程度就越大,也意味着破解难度越大;在记忆复杂度与密码安全性的矛盾之间,如何寻找一个完美的解决方案,于是人们就把目光转向人体生物特征上面,期望解决以上难题。
所谓的人体生物特征,就是科学发现人体有些部位(如:指纹、虹膜、声音、面部等)都存在着或可唯一识别的特征,而且这种特征是个人随身相伴、不可轻易改变甚至不可改变。这些特性不管信息多复杂,经计算机处理后不仅可以直接拿来做密码识别,还可以解决记忆难的问题。
实际上,生物识别技术所提取的生物密码的本质上主要解决的是可记忆的难度问题,至于最根本的安全性问题,还与生物密码的应用程度、应用级别以及花费成本相关,尤其是在生物特性的唯一性信息存储方面,并不是人们所想象的那样,一劳永逸。
生物密码认识的误区在哪里?
首先,关于生物密码的不可复制性的传说
很多人认为生物密码是不可复制的,比如,大家所熟悉的指纹锁。从原理上来讲,全世界极难会有两个一模一样的指纹,但是,这句话的意思是的确有可能会出现非常相似的两个指纹。如果真有这种事情产生,就必须要考虑指纹检测仪器设备的识别精细度了。即使保证了在客观世界上不会天然存在两只一模一样的指纹,在实际生活中,你无法阻止人为地复制。
实际生活中网上就公然会有指纹模复制业务提供,而且大量应用于一些低精度的考勤代人打卡方面。要想实现更高级别的安全识另,不仅仅要仔细比对指纹本身,还必须对按上去的手指进行“生物活体”检测,例如实时收集这只手指表面的温度、湿度、瞬间油脂水汗分泌值甚至是表皮下方的毛细血管血液流动情况等等,以确认这是一只真的手指,而不是模型或复制品。而反过来,在没有进行辅助判断的情况下,用假的指纹欺骗设备并不是很难的事情。
其次,关于生物密码破解难度极高传说
有部电影中曾有过这样一个情节,说是有一把极其难解开的密码锁,第一个人用尽了各种方法都打不开,第二个人来看了一下,直接用液氮冷却把门弄开了(金属在极低温度下较为脆弱)。这个故事说明了锁只是表象,生物密码也是如此,它的原理只是从生物特征中取出数据然后用加密算法算出一个值进行比对,如果这个算法被人破解获知了,这样的生物密码的价值也就相当于晒大街了。
因此,关于生物密码的概念,基本就像是前些年的所谓航天技术、纳米技术一样,都只是一个概念,它的本身分为不同的级别。如果一个很滥的算法,充其量也就是包装得比较牛X的民用技术,与普通的密码没有什么根本性的区别。
最后,关于生物密码的成本很高神话
感觉很牛X的技术一定很费钱,这个概念一般只在这项技术刚问世之初。实际上,正如前面所讲,技术的发展趋势本身就是越来越普及,而随着应用的成熟,技术本身就分级别,高端的不用说,一定需要高昂的代价;但如果只是初级表象式的应用,实际并花不了多少钱。当然,这成本的高低也直接关系到其本身安全度的高低。
生物特征的广泛应用带来无孔不入的隐私泄露?
隐私保护成问题
随着GoogleGlass刮起的可穿戴设备风潮,越来越多的可穿戴设备开始引入生物识别技术与功能。现在可穿戴设备可以拥抱这些生物识别技术,但同样不能忽视存在的隐私保护问题。GoogleGlass也确实正受到监管部门的高度关注与担忧。
因为佩戴者可以随时带着谷歌(微博)眼镜拍摄照片、或是录音录像,并随时分享到互联网上,可能会无意中成为别人收集数据的工具。一想到谷歌已知道使用者在哪里,在寻找什么,这样的画面简直令人感到不寒而栗。新泽西州博彩业执法当局甚至允许当地赌场禁止谷歌眼镜,随之而来的还有全美影院主协会……可以想象,生活中有那么多公共场所都有着绝对的隐私需求:健身房更衣室、俱乐部、警察局、银行等等。
个人数据被滥用
生物识别技术还有一个问题,就是个人数据被滥用,因为相关法律仍不健全。在使用脸部识别技术辨识某一个人之前,即使你与之没有任何关系,也应该得到他们的允许。而公共场所里的身份辨识是否合法?软件拍照是否需经过人们的同意?
有时候,人们的确是同意了,不过,它是以一种本人不知的方式实现的,隐藏在无人阅读的服务条款中。从法律条文上来说,这些‘同意’通常被认为是合法的。公司利用这种方式获得你的许可,收集、使用和分享你的个人信息。
以Facebook为例。每天,超过2.5亿张照片被上传到Facebook上面。公司的实验室曾表示说,它拥有“最大的面部数据库”,而其背后的驱动力是面部识别系统。Alavaro Dedoya说,未来,当人们去购物的时候,商家会立刻知道你是谁,生活在哪里,收入多少等等,而这些数据都来自于Facebook。目前,有些实体商店已经使用面部识别软件辨认回头客,或者在“曾被辨识的窃贼”进入商店时发出警告。
生物密码安全系统真的安全可信赖吗?
无论传统密码还是生物识别都不可否认的存在数据安全问题,现在,越来越多的组织(包括公司和政府机构)都在建立员工的生物特征数据库,以方便识别他们的身份。但是,这样的数据库会将员工置于非常危险的境地,因为这些数据库有被黑客窃取的风险。
生物识别安全系统的这些风险也不是不可以防范的。现在,人们越来越意识到公司保护员工生物数据的方法就是在一开始就不持有这些敏感的信息。苹果和华为两家手机厂商就将指纹生物数据只保存在用户本人的设备上,而不是集中保存到公司的服务器上。
那么问题来了,数位密码与图像密码都是是静态数据,在计算机内存与网络传输中,极易受到黑客破解。唯有降低静态数据的精准度、提高动态数据的复杂度,来增加攻击者的成本。倘若用户生物信息存储在本地,一旦生物信息遭窃,因为其生物属性不可修改,即使是运营者知道此事,也束手无策。
大众该怀揣怎样的心理与措施,来面对隐私数据信息的保护?
随着政府、公司开始采用生物识别,它们应该保护个人隐私数据。普华永道国际会计事务所(PricewaterhouseCoopers)发布的一份报告指出,不同国家拥有不同的针对生物数据收集和传播的隐私法。任何拥有这些数据的公司——不管是直接拥有的,还是通过第三方云计算服务提供商间接拥有的——相当于走进了一个“雷区”:如果被发现不正当使用这些数据,或者这些数据被黑客窃走,那么这些公司就会遭到法律起诉,给自己惹上无穷无尽的麻烦。
在实践中,用户可以将一个或多个生物特征(例如大拇指指纹和语音信息)保存到个人的手机或电脑上。然后,当用户在第三方服务如PayPal支付服务或其他网站上处理业务的时候,这些服务或网站就会与他或她的个人设备交换确认信息,从而确认身份。例如,iPhone上的苹果支付服务ApplePay就是这样工作的。苹果实际上不会将用户的大拇指指纹复印件发给送商户,相反,它只提供一次性的确认信息来授权此次支付活动。类似的支付认证授权方法已通过FIDO协议标准化了。FIDO协议是科技和金融行业中的设备制造商和公司共同签署的安全协议。
然而生物数据也是可以被黑客窃取的。现在,已有很多窃取用户生物数据的安全入侵事件发生。例如,在2015年,美国联邦政府人事管理办公室保存的560万个员工的指纹数据就被黑客盗走了。更糟糕的是,在生物数据失窃后,它会造成永久性的危害。在数据失窃后,你可以更改你的密码,但是你却无法更改你的指纹。
零镜观点:
密码从本质上就是私密的,它的全部意义就在于,你不会告诉任何人。而谈到生物密码的安全性,它从本质上讲是公共的,当生物密码真的进入了我们的生活,我们该用怎样的心理和措施去面对隐私数据信息的保护?你怎么看?