我們在談及生物密碼時, 總覺得它既高端又保險, 還帶有一層神秘感。 但伴隨著近年來系列生物識別技術在生活中應用, 使得指紋識別、面部識別、虹膜識別等系列技術不在高高在上,
對於生物識別技術, 小編認為傳統密碼加密系統由於很容易被駭客破解, 導致資料洩露事件頻發, 因而逐漸退出歷史舞臺了;但也引發了擔憂·, 當成熟的生物識別技術開始以密碼的形態潛入生活之中, 即將取代傳統密碼識別的生物識別(如:指紋、面部、虹膜等)密碼系統真的安全嗎?大眾又該用怎樣的心理和措施去面對隱私資料資訊的保護?
資訊安全因為涉及你我他切身利益越來越受重視, 而保障資訊安全最常用的方法就是密碼;但是小編認為密碼是一種明顯反人性的存在, 它是基於信任缺失的前提下, 把簡單的事情進行複雜化處理, 是基於人性本惡的原則下, 用以保護自身利益安全的存在。
所以, 我們才會去研究並把密碼進行分類, 分為弱密碼與強式密碼, 而這樣分的依據無非就是被他人破解或猜出的難度而已。 而密碼強度越強, 人需要記憶的複雜程度就越大, 也意味著破解難度越大;在記憶複雜度與密碼安全性的矛盾之間, 如何尋找一個完美的解決方案, 於是人們就把目光轉向人體生物特徵上面, 期望解決以上難題。
所謂的人體生物特徵, 就是科學發現人體有些部位(如:指紋、虹膜、聲音、面部等)都存在著或可唯一識別的特徵,
實際上,
首先, 關於生物密碼的不可複製性的傳說
很多人認為生物密碼是不可複製的, 比如, 大家所熟悉的指紋鎖。 從原理上來講, 全世界極難會有兩個一模一樣的指紋, 但是, 這句話的意思是的確有可能會出現非常相似的兩個指紋。 如果真有這種事情產生, 就必須要考慮指紋檢測儀器設備的識別精細度了。 即使保證了在客觀世界上不會天然存在兩隻一模一樣的指紋, 在實際生活中,你無法阻止人為地複製。
實際生活中網上就公然會有指紋模複製業務提供,而且大量應用於一些低精度的考勤代人打卡方面。要想實現更高級別的安全識別,不僅僅要仔細比對指紋本身,還必須對按上去的手指進行“生物活體”檢測,例如即時收集這只手指表面的溫度、濕度、瞬間油脂水汗分泌值甚至是表皮下方的毛細血管血液流動情況等等,以確認這是一隻真的手指,而不是模型或複製品。而反過來,在沒有進行輔助判斷的情況下,用假的指紋欺騙設備並不是很難的事情。
其次,關於生物密碼破解難度極高傳說
有部電影中曾有過這樣一個情節,說是有一把極其難解開的密碼鎖,第一個人用盡了各種方法都打不開,第二個人來看了一下,直接用液氮冷卻把門弄開了(金屬在極低溫度下較為脆弱)。這個故事說明了鎖只是表像,生物密碼也是如此,它的原理只是從生物特徵中取出資料然後用加密演算法算出一個值進行比對,如果這個演算法被人破解獲知了,這樣的生物密碼的價值也就相當於曬大街了。
因此,關於生物密碼的概念,基本就像是前些年的所謂航太技術、納米技術一樣,都只是一個概念,它的本身分為不同的級別。如果一個很濫的演算法,充其量也就是包裝得比較牛X的民用技術,與普通的密碼沒有什麼根本性的區別。
最後,關於生物密碼的成本很高神話
感覺很牛X的技術一定很費錢,這個概念一般只在這項技術剛問世之初。實際上,正如前面所講,技術的發展趨勢本身就是越來越普及,而隨著應用的成熟,技術本身就分級別,高端的不用說,一定需要高昂的代價;但如果只是初級表像式的應用,實際並花不了多少錢。當然,這成本的高低也直接關係到其本身安全度的高低。
生物特徵的廣泛應用帶來無孔不入的隱私洩露?隱私保護成問題
隨著GoogleGlass刮起的可穿戴設備風潮,越來越多的可穿戴設備開始引入生物識別技術與功能。現在可穿戴設備可以擁抱這些生物識別技術,但同樣不能忽視存在的隱私保護問題。GoogleGlass也確實正受到監管部門的高度關注與擔憂。
生物識別技術還有一個問題,就是個人資料被濫用,因為相關法律仍不健全。在使用臉部識別技術辨識某一個人之前,即使你與之沒有任何關係,也應該得到他們的允許。而公共場所裡的身份辨識是否合法?軟體拍照是否需經過人們的同意?
有時候,人們的確是同意了,不過,它是以一種本人不知的方式實現的,隱藏在無人閱讀的服務條款中。從法律條文上來說,這些‘同意’通常被認為是合法的。公司利用這種方式獲得你的許可,收集、使用和分享你的個人資訊。
以Facebook為例。每天,超過2.5億張照片被上傳到Facebook上面。公司的實驗室曾表示說,它擁有“最大的面部資料庫”,而其背後的驅動力是面部識別系統。Alavaro Dedoya說,未來,當人們去購物的時候,商家會立刻知道你是誰,生活在哪裡,收入多少等等,而這些資料都來自於Facebook。目前,有些實體商店已經使用面部識別軟體辨認回頭客,或者在“曾被辨識的竊賊”進入商店時發出警告。
無論傳統密碼還是生物識別都不可否認的存在資料安全問題,現在,越來越多的組織(包括公司和政府機構)都在建立員工的生物特徵資料庫,以方便識別他們的身份。但是,這樣的資料庫會將員工置於非常危險的境地,因為這些資料庫有被駭客竊取的風險。
生物識別安全系統的這些風險也不是不可以防範的。現在,人們越來越意識到公司保護員工生物資料的方法就是在一開始就不持有這些敏感的資訊。蘋果和華為兩家手機廠商就將指紋生物資料只保存在使用者本人的設備上,而不是集中保存到公司的伺服器上。
那麼問題來了,數位密碼與圖像密碼都是是靜態資料,在電腦記憶體與網路傳輸中,極易受到駭客破解。唯有降低靜態資料的精准度、提高動態資料的複雜度,來增加攻擊者的成本。倘若使用者生物資訊存儲在本地,一旦生物資訊遭竊,因為其生物屬性不可修改,即使是運營者知道此事,也束手無策。
隨著政府公司開始採用生物識別,它們應該保護個人隱私資料。普華永道國際會計事務所(PricewaterhouseCoopers)發佈的一份報告指出,不同國家擁有不同的針對生物資料收集和傳播的隱私法。任何擁有這些資料的公司——不管是直接擁有的,還是通過協力廠商雲計算服務提供者間接擁有的——相當於走進了一個“雷區”:如果被發現不正當使用這些資料,或者這些資料被駭客竊走,那麼這些公司就會遭到法律起訴,給自己惹上無窮無盡的麻煩。
在實踐中,用戶可以將一個或多個生物特徵(例如大拇指指紋和語音資訊)保存到個人的手機或電腦上。然後,當使用者在協力廠商服務如PayPal支付服務或其他網站上處理業務的時候,這些服務或網站就會與他或她的個人設備交換確認資訊,從而確認身份。例如,iPhone上的蘋果支付服務ApplePay就是這樣工作的。蘋果實際上不會將用戶的大拇指指紋影本發給送商戶,相反,它只提供一次性的確認資訊來授權此次支付活動。類似的支付認證授權方法已通過FIDO協議標準化了。FIDO協定是科技和金融行業中的設備製造商和公司共同簽署的安全協議。
然而生物資料也是可以被駭客竊取的。現在,已有很多竊取使用者生物資料的安全入侵事件發生。例如,在2015年,美國聯邦政府人事管理辦公室保存的560萬個員工的指紋資料就被駭客盜走了。更糟糕的是,在生物資料失竊後,它會造成永久性的危害。在資料失竊後,你可以更改你的密碼,但是你卻無法更改你的指紋。
零鏡觀點:
密碼從本質上就是私密的,它的全部意義就在於,你不會告訴任何人。而談到生物密碼,生物特徵從本質上講是公共的,當生物密碼真的進入了我們的生活,我們該用怎樣的心理和措施去面對隱私資料資訊的保護?你怎麼看?
實際生活中網上就公然會有指紋模複製業務提供,而且大量應用於一些低精度的考勤代人打卡方面。要想實現更高級別的安全識別,不僅僅要仔細比對指紋本身,還必須對按上去的手指進行“生物活體”檢測,例如即時收集這只手指表面的溫度、濕度、瞬間油脂水汗分泌值甚至是表皮下方的毛細血管血液流動情況等等,以確認這是一隻真的手指,而不是模型或複製品。而反過來,在沒有進行輔助判斷的情況下,用假的指紋欺騙設備並不是很難的事情。
其次,關於生物密碼破解難度極高傳說
有部電影中曾有過這樣一個情節,說是有一把極其難解開的密碼鎖,第一個人用盡了各種方法都打不開,第二個人來看了一下,直接用液氮冷卻把門弄開了(金屬在極低溫度下較為脆弱)。這個故事說明了鎖只是表像,生物密碼也是如此,它的原理只是從生物特徵中取出資料然後用加密演算法算出一個值進行比對,如果這個演算法被人破解獲知了,這樣的生物密碼的價值也就相當於曬大街了。
因此,關於生物密碼的概念,基本就像是前些年的所謂航太技術、納米技術一樣,都只是一個概念,它的本身分為不同的級別。如果一個很濫的演算法,充其量也就是包裝得比較牛X的民用技術,與普通的密碼沒有什麼根本性的區別。
最後,關於生物密碼的成本很高神話
感覺很牛X的技術一定很費錢,這個概念一般只在這項技術剛問世之初。實際上,正如前面所講,技術的發展趨勢本身就是越來越普及,而隨著應用的成熟,技術本身就分級別,高端的不用說,一定需要高昂的代價;但如果只是初級表像式的應用,實際並花不了多少錢。當然,這成本的高低也直接關係到其本身安全度的高低。
生物特徵的廣泛應用帶來無孔不入的隱私洩露?隱私保護成問題
隨著GoogleGlass刮起的可穿戴設備風潮,越來越多的可穿戴設備開始引入生物識別技術與功能。現在可穿戴設備可以擁抱這些生物識別技術,但同樣不能忽視存在的隱私保護問題。GoogleGlass也確實正受到監管部門的高度關注與擔憂。
生物識別技術還有一個問題,就是個人資料被濫用,因為相關法律仍不健全。在使用臉部識別技術辨識某一個人之前,即使你與之沒有任何關係,也應該得到他們的允許。而公共場所裡的身份辨識是否合法?軟體拍照是否需經過人們的同意?
有時候,人們的確是同意了,不過,它是以一種本人不知的方式實現的,隱藏在無人閱讀的服務條款中。從法律條文上來說,這些‘同意’通常被認為是合法的。公司利用這種方式獲得你的許可,收集、使用和分享你的個人資訊。
以Facebook為例。每天,超過2.5億張照片被上傳到Facebook上面。公司的實驗室曾表示說,它擁有“最大的面部資料庫”,而其背後的驅動力是面部識別系統。Alavaro Dedoya說,未來,當人們去購物的時候,商家會立刻知道你是誰,生活在哪裡,收入多少等等,而這些資料都來自於Facebook。目前,有些實體商店已經使用面部識別軟體辨認回頭客,或者在“曾被辨識的竊賊”進入商店時發出警告。
無論傳統密碼還是生物識別都不可否認的存在資料安全問題,現在,越來越多的組織(包括公司和政府機構)都在建立員工的生物特徵資料庫,以方便識別他們的身份。但是,這樣的資料庫會將員工置於非常危險的境地,因為這些資料庫有被駭客竊取的風險。
生物識別安全系統的這些風險也不是不可以防範的。現在,人們越來越意識到公司保護員工生物資料的方法就是在一開始就不持有這些敏感的資訊。蘋果和華為兩家手機廠商就將指紋生物資料只保存在使用者本人的設備上,而不是集中保存到公司的伺服器上。
那麼問題來了,數位密碼與圖像密碼都是是靜態資料,在電腦記憶體與網路傳輸中,極易受到駭客破解。唯有降低靜態資料的精准度、提高動態資料的複雜度,來增加攻擊者的成本。倘若使用者生物資訊存儲在本地,一旦生物資訊遭竊,因為其生物屬性不可修改,即使是運營者知道此事,也束手無策。
隨著政府公司開始採用生物識別,它們應該保護個人隱私資料。普華永道國際會計事務所(PricewaterhouseCoopers)發佈的一份報告指出,不同國家擁有不同的針對生物資料收集和傳播的隱私法。任何擁有這些資料的公司——不管是直接擁有的,還是通過協力廠商雲計算服務提供者間接擁有的——相當於走進了一個“雷區”:如果被發現不正當使用這些資料,或者這些資料被駭客竊走,那麼這些公司就會遭到法律起訴,給自己惹上無窮無盡的麻煩。
在實踐中,用戶可以將一個或多個生物特徵(例如大拇指指紋和語音資訊)保存到個人的手機或電腦上。然後,當使用者在協力廠商服務如PayPal支付服務或其他網站上處理業務的時候,這些服務或網站就會與他或她的個人設備交換確認資訊,從而確認身份。例如,iPhone上的蘋果支付服務ApplePay就是這樣工作的。蘋果實際上不會將用戶的大拇指指紋影本發給送商戶,相反,它只提供一次性的確認資訊來授權此次支付活動。類似的支付認證授權方法已通過FIDO協議標準化了。FIDO協定是科技和金融行業中的設備製造商和公司共同簽署的安全協議。
然而生物資料也是可以被駭客竊取的。現在,已有很多竊取使用者生物資料的安全入侵事件發生。例如,在2015年,美國聯邦政府人事管理辦公室保存的560萬個員工的指紋資料就被駭客盜走了。更糟糕的是,在生物資料失竊後,它會造成永久性的危害。在資料失竊後,你可以更改你的密碼,但是你卻無法更改你的指紋。
零鏡觀點:
密碼從本質上就是私密的,它的全部意義就在於,你不會告訴任何人。而談到生物密碼,生物特徵從本質上講是公共的,當生物密碼真的進入了我們的生活,我們該用怎樣的心理和措施去面對隱私資料資訊的保護?你怎麼看?