-
UID:760169
-
- 注册时间2014-11-11
- 最后登录2018-07-11
- 在线时间233小时
-
- 发帖1048
- 搜Ta的帖子
- 精华0
- 黑豆618
- 威望2921
- 贡献值0
- 交易币0
- 红豆13
-
访问TA的空间加好友用道具
- 发帖
- 1048
- 黑豆
- 618
- 威望
- 2921
- 贡献值
- 0
- 交易币
- 0
- 红豆
- 13
|
近期有新闻指拍照用 YA 手势有机会把自己的指纹资料外泄,惹来一些恐慌。其实有部分信息安全新闻纯粹只是在实验室等限定环境下才能实现,因此未必需要太恐慌。不过指纹的确算不上是十分安全的生物辨识方式,现在愈来愈多生物辨识登入技术出现,甚至不用任何生物特征也可以。不用怕 YA 手势自拍啦、需要太多因素配合日本产经新闻早前报导引述日本国立情报研究所发现,指如果人们在离镜头 3 米距离内拍照时,最好不要用 YA 手势,因为现在的拍摄设备能拍摄极高像素,YA 手势会暴露食指的指纹,放大的话能有足够的精细度被读取复制,可用来解释指纹辨别的安全系统。不过这次的日本研究其实比较“实验室”,因为需要很多因素配合才能真的达到。例如照片昼素要够高、解像度清晰、光线也要充足,一张在室内派对的手机自拍照,实在很难相信也能做到同样效果。而 Unwire.pro 之前报导过的,如利用散热孔和电磁波解释加密、外送隔空窃取电脑密钥都只是实验室验证,要在真实里做到非常困难。因此笔者并不担心举 YA 手势有什么安全隐忧,比较起来,笔者拒绝 YA 手势只是因为担心自己会看起来像成龙。指纹其实一早已非安全的认证方式其实今天已能在很多领域使用指纹辨别来代替密码登入,尤其手机也开始内建指纹辨别设备后,不少银行程序、支付工具、手机钱包也开始支持。随着指纹保安应用愈普及,像这类有关指纹辨别安全性的报导也愈受到消费者留意。事实上指纹并非那么高等级的辨别方式,但由于是最方便快速的方式,因此才能普及到不同层面。打从 iPhone 支持 Touch ID 开始就已经有人解释,2013 年德国知名黑客 Starbug 更只用了 30 小时就解释了 Touch ID,他当时更直言“Touch ID 只是增加了便利性而不是安全性”。指纹在 19 世纪末开始被警察作为辨别罪犯的方式,以当时技术来说已是相当先进,而且因为犯罪大多需要用上双手,因此指纹作为这种生物辨识方式仍被很广泛应用。但这并不代表指纹是一种好的辨识方式,有些人会天生指纹较浅而难识别,亦有因“富贵手”等问题而导致指纹较难读取,更别提技术上能偷取及伪冒指纹。生物识别既要安全、更要效率和成本目前较普及又能取代指纹的生物识别技术,包括脸容、语音、掌纹、虹膜等,即使同样也是伸出手指,除了指纹之外亦可以识别手指的静脉分布。例如日立就推出一款只需把 4 只手指对着镜头就能静脉认证的技术,由于静脉认证必须有血液流动,因此就不用怕拿着照片也能伪冒的问题。事实上生物辨识技术并非只看安全性,也必须考虑认证速度、成本等问题。最能准确辨别的当然是 DNA,但想想也知道不可能把它内置到手机里(起码目前技术啦),而且技术也做不到快速的识别。要实用化的话,就必须在现有硬件或技术下做到,因此像日立那种能用现有手机就做到的便相当有意思。例如最近中国春运开始,广州火车站引入了人脸识别的自助验票闸口,以杜绝黄牛车票。以前人手验票速度较低,而引入人脸识别就有助快速疏导旅客。日本也有案例是利用人脸识别来取代传统的演唱会印刷门票,不仅验票速度提升也有助杜绝黄牛票。多重因素认证更安全、但难免麻烦消费者其实大多数资讯保安专家都认同,并没有哪一种辨识技术是绝对解释不了的,因此专家都推荐双重身份认证(Two factors Authentication)。简单点说就是除了密码之外多使用一个验证方式,来使登入者身份较为可靠,例如使用两重密码,或是使用短信密码,当然生物特征也可以是其中一环。类似的技术已经被 Google 和 Microsoft 等大型网上服务供应商采用,他们辨别的方式是登入者的位置、设备、操作平台等,例如香港人很少会在俄罗斯登入,如果在陌生地点用陌生设备登入就需要强制作多一重认证,而这其实算是一种针对“设备特征”的辨别技术。但双重身份认证难免会有消费者感到麻烦,若消费者觉得麻烦而拒绝使用,绝对只是本末倒置。因此更加终极的认证方式也出现了,那就是使用者习惯辨别。这既是生物特征但又毋须掌握消费者哪一身体部位的特征,因为它其实是靠掌握使用者的一些难以察觉的个人习惯而辨别,包括输入密码的速度、力度、间隔等,极难模仿。辨识使用者输入习惯、密码外泄也骇不了笔者在新加坡就曾访问一家做使用者习惯辨别的初创公司 Solus,主要提供技术给银行和政府机构。使用者只需像平常般输入一组密码就可以了,但系统背后会记录登入时的输入密码的速度、力度、间隔等习惯。在会场向笔者展示时甚至把密码贴在桌面任看也无妨,因为没有人能模仿到输入习惯,就算密码外泄也登入不了。据 Solus 表示全球已有 50 家银行机构采用,平均一年处理 15 亿笔登入。厉害的是不管在手机还是桌面电脑也能有相同效果。而 Solus 本身亦有研发如随机位置的密码键盘、利用双眼位置大小距离等特征的生物辨识的技术,系统会利用多重技术计算每次登入的分数,符合输入习惯和双眼特征才准许登入。比起指纹、虹膜、人脸之类,输入习惯不涉及任何个人身体特征,换言之也不会储存任何敏感资料,甚至不会记录登入者的地理位置,其实是相当能令消费者安心的技术,隐私问题较少。不过就像保安专家建议一样,最好不要尽信一种验证方式,多重验证仍是最可靠的保安方式。
|
