还在记密码?

你的身体才是最安全的密码


文/邝新华
<<新周刊>>第471期




    刷脸成为时尚,始于2015年3月,德国汉诺威IT博览会开幕式上,马云在直播现场用人脸识别支付,给现场嘉宾买了一套邮票。刷脸马上在科技媒体上刷屏。7个月后的2015年10月,北京朝阳法院一起房产纠纷也与刷脸相关。明星赵薇的老公黄有龙的司机,为还赌债,偷取黄有龙的身份证并通过方正公证处的人脸识别认证办理委托,以1520万元把主人的房子卖掉。同月,网易邮箱过亿数据泄露,部分绑定网易邮箱的Apple ID被锁,iPhone成砖,需要加QQ付解锁费才能使用。一时人心惶惶,特别是那些所有银行账号都用同一密码的人。

    生物识别行业多年以来致力于消灭密码,邮票级别的交易与房子级别的交易,都已经可以不需要密码。国际生物识别组织把十多项人类生物特征列入身份识别标准,其中包括指纹、人脸、虹膜、掌纹、指静脉、声纹、签名、DNA,等等。

    有研究报告称,2020年全球生物识别市场将达250亿美元,其中,指纹识别占130亿,语音识别占56亿,人脸识别占24亿,虹膜识别占16亿,其他生物识别占24亿。


“连699元的手机都有指纹识别了。”


    目前最流行的生物识别技术是指纹,指纹识别因iPhone 5S的使用而得到推广,在早年是高端手机的标志。随着技术成本降低,国产手机陆续跟进,为了区别国产货,苹果和三星又玩起一轮新的生物识别技术——虹膜识别。

    不久前,iPhone 7设计图曝光,业界人士推测它将装备虹膜识别摄像头,下半年的三星Galaxy Note 7也疑似搭载虹膜识别。虹膜识别取代指纹识别的传言在手机圈流行。

    “他们已经忽悠了三年了,2014年Note 4时就说要发布虹膜识别的手机,现在都Note 7了。”天诚盛业科技公司高级产品经理彭程一直关注智能手机的生物识别技术,“当时在网上流传一张设计图,国内的山寨厂商全都慌了,到处问哪里能做虹膜识别。其实他们只是在试探市场。”彭程分析,增加人脸识别技术更有可能,因为“不需要改硬件结构,仅需增加一个软件,可以用现有的摄像头”,但虹膜识别技术需要专门的摄像头。

    乐视、微软、LG、锤子,也都在传言要推出安全级别最高、不会被司机卖掉房子的虹膜识别技术,但它们都在等苹果。当年,如果没有苹果挑头,指纹技术不可能这么快普及。

    早在上世纪90年代,西门子、微软的手机就有了指纹识别功能,但一直到2013年iPhone 5S把指纹识别做成“标配”,国内的华为、OPPO、魅族等手机厂商到2014年才陆续跟进,推出指纹识别手机。

    “苹果做这个事情是天时地利人和,即使在iPhone 4时推出指纹都是有风险的。iPhone 4之前,你很难看到网上银行,移动支付还没铺开。”彭程说,指纹收集需要一个好的传感器,“几年前卖好几百,现在一个传感器降到5美元。连699元的手机都有指纹识别了。”

    十年前,彭程去见客户时,需要从基础知识讲起,“什么是指纹识别,什么是人脸识别”,大部分人都觉得“这个离我还很远”。最近三年,客户主动来找他,“因为他们身边的人都在用指纹识别”。

    十年来,指纹识别技术已经有超过60亿人次使用,是应用最广泛的生物识别技术。指纹识别不是已经很安全了吗?为什么还要推虹膜识别?

    “你会发现很多指纹手机不好用,包括现在的苹果,我的手指基本上从12月底到3月是用不了的,因为冬天手会破皮。”除了天灾,还有人祸。多年前,彭程还花钱买了一套硅胶指膜,卖家要求在通州某个桥下交易,盒子里有化学试剂,以及详细的配比和制作指纹膜说明。

    那是因为他们的客户里,有人用了假指纹膜。这对彭程而言,是一次攻击。“我们的传感器在接触到指纹时会先做一个检测,看看这是不是真的指纹。一块布、一块胶,是没有活体特征的。”

    在进入手机以前,指纹识别主要用于行业应用。天诚盛业搭建了一套银行业的生物认证系统,每天早上七点半到八点银行上班的半个小时内,会有一百多家银行的几十万员工通过这个系统登录。

    “刚开始仅仅是指纹,后来拓展到人脸和虹膜。每年有十亿人次登录。”彭程说,“银行内部指纹识别的应用覆盖率达99%”,但还只是用于内部员工的风险管理以及信贷客户,“储蓄用户基本用不上”。


“你会发现你的密码是去不掉的。这是监管部门的政策,是一个不能逾越的鸿沟。”


    数不清记不住的密码是一个痛点,把所有登录账号和密码都设置成生日日期,这有很大的安全隐患。

    “我们做安全(行业)的,会刻意把不同银行不同账户的密码设置成不一样,但需要脑子好使,岁数稍微大一点,密码就记不住了。”彭程认为,生物识别技术发展的未来,正是密码的末日,“去掉QQ密码、微信密码、支付宝密码、银行卡密码、邮箱密码,这是我们的终极目标。”
然而,技术发展是容易的,应用起来却涉及多方利益。指纹识别技术相当成熟的情况下,银行却不在取款环节上向储户开放。

    “你会发现你的密码是去不掉的。这是监管部门的政策,是一个不能逾越的鸿沟。”一位IT评论员说,“密码设置是一个责任分担的问题。如果有密码,钱丢了,那责任就在丢密码那方——因为你的密码太简单了。如果是生物识别方式丢了钱,那就是银行的责任了。就像赵薇的老公被卖的房子,如果以密码的方式卖掉,大家只能怪赵薇的老公活该泄露密码了。”

    彭程认为,不同级别的交易要用不同的生物识别技术:“1500万元的别墅,怎么能用人脸识别来交易呢?即使用生物认证,也应该用一个安全级别高的方式。人脸识别是生物识别里精准度较低的。三块、五块用人脸识别很便捷,Uber打车还能直接扣款,1500万元的交易也要便捷吗?”

    彭程的结论是:“安全和便捷永远在互相博弈。”


在深圳罗湖海关,把有案底的水客的照片存进数据库,人脸识别之下,头三天就识别出两百多个水客。


    人脸识别是最便捷的,几乎每个路口都有监控器,几乎每个人的手机里都有摄像头。

    “比如我们要用人脸识别来搜papi酱,它返回的结果,基本上都是papi酱本人。”中国科学院生物识别与安全技术研究中心主任李子青研究人脸识别多年,“结果当中可能也会有不是papi酱本人的女孩子,但无伤大雅。人家可能也是集美貌与才华于一身,对吧?”

    早在2001年,比尔·盖茨就在媒体前秀过人脸识别,那时还是前卫技术,李子青是那套系统的开发者,那时候的他还要打好灯光,请比尔·盖茨正面看摄像头,“还有请您不要太得意,夸张的表情可能会造成识别错误”。

    李子青给深圳罗湖海关做了一个抓水客的项目。把有案底的水客的照片存进数据库,头三天就识别出两百多个水客。“人类能识别的面孔只有几千张,我本人脸盲,顶多识别一千张脸。”李子青说,电脑搜索一千万张人脸照片只需要不到一秒的时间。

    “人脸识别是我们一生下来就在做的,是人类几百万年进化的能力。”但是,机器识别就要解决很多问题,首先是光照,全黑的条件下,连图像都采不到,更不可能识别;女孩子比较难识别,不是头发遮挡住了,就是化妆改变了线条。很多人问李子青:“我到韩国去整个容,那么我进海关怎么办?”还有人问:“我双胞胎,长得一模一样,那你能区分出来吗?”李子青说:“No!”

    就连赵薇的老公和司机也分不出来,李子青搜索到了一个老司机的表情包,用来跟赵薇的老公对比,“相似度高达98.3%”。李子青开玩笑说:“网上可以买到仿人皮的人脸,指纹膜就太普遍了,假指纹代替打卡,就可以不用上班了。”


“如果未来世界每个人都有一个唯一的生物识别特征,那很可能就是虹膜。”


    人脸识别最快捷,但容易被利用,何况中国古人很早就发明了易容术;指纹识别最普及,却容易被硅胶攻击,还有约5%的人指纹较浅不易采集。

    每个人的头骨不同,德国人发现头骨对超声波的震动反馈可以验证身份,但难度太大。每个人的耳道不同,日本人发现耳道共振频谱可以进行生物识别。其实中国人早在清朝就用指纹作为官方文件的证明了。
DNA才是最准确的生物识别特征,但有时也会遇到意外。德国曾有一对双胞胎兄弟之一参与抢劫,现场头发检测到的DNA却无法判断是哪一个。不过,DNA最大的问题还是难以迅速检测,“一份报告要等半个月才能知道结果”。

    如果未来世界每个人都有一个唯一的生物识别特征,那很可能就是虹膜。虹膜识别技术在不大幅度增加成本的前提下,大大地提高了安全性。

    2002年斯皮尔伯格的电影《少数派报告》中就有这样的情节:汤姆·克鲁斯不得不以替换眼球的方式逃避虹膜识别系统,才洗刷了冤屈。

    网络的便捷让我们生活在无数监视器和摄像头之下,无论你在办公室、商业广场、高速公路还是厕所,所有的画面都难逃监视。当全国性的生物识别特征库建成,我们的行踪将无所遁形。美国伊利诺伊州颁有《生物识别信息隐私法》,Facebook、Google Photos、Snapchat这些需要人脸识别才能运转的软件,须征得当事人许可才能使用。一个没有密码的世界,也是一个没有隐私的世界。