編者按:2013 年,蘋果公司推出的 iPhone5s 一改手機鍵入密碼轉而使用 Touch ID,隨後阿裡巴巴推出“刷臉支付”,生物身份識別技術成為潮流。本文作者 Jane Porter 是自由撰稿人,作家,在文中,她認為,隨著生物資料在科技中廣泛應用,各大公司絞盡腦汁綜合使各種生物資料,從而影響了手機設計。
這緣起於蘋果公司的 Touch ID 和阿裡巴巴的“刷臉支付”(“selfie pay”)。現在各大公司紛紛構建更為深刻的生物畫像,以確保用戶手機安全。
2013年蘋果推出 iPhone5s 後,內置的 Touch ID 揭開了比賽的序幕,各大公司爭相發明創新性、個性化的密碼。雖說老式的密碼模式也用了幾十年了,但是為什麼不放棄這模式呢——非得手指叭叭敲半天才能登陸進去?
蘋果的 Touch ID 表明了指紋是可以作為認證手段的,而這只是公司對生物資料越來越感興趣的一個早期的外部標誌。從語音音色到身體動作模式到心跳的節奏,人體提供了六種更為迷人、更難破解的方式來鍵入密碼。
生物識別認證應用正在蓬勃發展。根據 Juniper Research 給出的資料,2015 年,此類 APP 的下載量為 600 萬,到 2019 年,這一數字預計將達到 7.70 億。此外,據研究公司 Acuity 稱,從明年開始,所有智慧手機都將包括內置的生物識別能力。
安全平臺 Nok Nok Labs 首席執行官 Phil Dunkelberger 說,生物識別技術在哪個領域的進步,都沒有在手機照相技術領路進步大。移動製造商已經將一項相對較舊的技術轉移到認證組合中:自拍——智能手機最受歡迎和無所不在的副產品。 例如,在 2015 年的一個里程碑式的演示中,阿裡巴巴首席執行官馬雲向觀眾展示他如何對著相機微微一笑,完成了授權付款。
“哢嚓”拍張自拍才能訪問敏感應用,或者完成支付,可能聽起來很有意思,很洋氣,或者可能有點蠢萌。事實上,這只是開始,隨後手機會在更大範圍構建其用戶的詳細的生物和行為肖像。一張照片絕對不足以證實身份,手機將不得不捕獲海量關於我們生活方式的資料。
正如一個信用卡公司在塔希提島突然引領購物狂潮一樣,移動製造商正在教手機去注意身份認證的微妙跡象——或者是駭客。 在不久的將來,如果我們以不同尋常的方式彈了下手,我們的手機就能夠註冊。移動製造商相信我們將很樂意做這種改變,這樣就不用刷卡了。
馬雲曾在德國漢諾威舉行的年度 CeBIT 技術會議上發表演講,在其演講接近尾聲時,他說“我一直夢想著能夠去幫助小企業。”蘋果公司推出 Touch ID 兩年後,馬雲宣佈推出一項技術,將手機上的自拍變成用來保障手機安全的一步——驗證你的身份以完成線上購買。
演講時,他身後是智能手機的巨大投影,螢幕上,一張 1948 年的紀念郵票在淘寶網上出售,標價 20 歐元。馬雲告訴觀眾,現在他需要做的就是對著手機鏡頭微笑,這就足以讓公司的新面部識別工具通過他的購買驗證。
馬雲用智能手機拍了張自拍,投射到他身後的牆上。他的面部輪廓被一條白色的線條勾勒出來。在一連串運行代碼和圖形閃爍後,購買就完成了。他告訴觀眾,六天之內,這張郵票就作為禮物送到當地的市長辦公室了。
跟 Touch ID 一樣,該技術也是通過生物識別技術工作:它基於圖像,為人的面部結構和特徵創建了獨特的生物測量系統,而後被轉換成數位記錄。 該系統只通過拍攝照片就可以驗證付款,照片的測量資料與設備上存儲的照片相匹配。
他把這個工具稱為 “Smile to Pay”,這個功能可以使面部識別成為一種技術,無論是大主顧還是小客戶都可以通過支付寶使用。該工具使得我們可以將身體部位轉化為手持設備上的付款身份驗證形式。
今天 Smile to Pay 沒有用來支付,而是用來驗證支付寶的登錄身份。 儘管如此,自 2015 年以來,為消費者提供金融服務的各方已經躁動不安,開始使用面部識別作為身份驗證工具,希望通過更洋氣,更安全的方式來代替密碼。
2016 年 3 月,馬雲提出 Smile to Pay 一年後,萬事達卡與蒙特利爾銀行合作,推出了一種公司信用卡,使用面部識別來驗證用戶身份,以完成購買。他們使用的生物識別“自拍”技術—— Identity Check Mobile 是利用存儲在使用者個人設備上的 FIDO 加密生物識別資料,以作為防範駭客的安全手段,該技術去年 10 月在歐洲推廣,一個月後在巴西和墨西哥推廣使用。
去年三月份大概同一時間,Amazon 申請了一項面部識別技術專利,可以通過使用面部識別來完成購買,而不用輸入密碼驗證身份。
現在基本技術已經到位,重點應放在保護面部識別免受駭客攻擊,使用戶體驗更加優越。 2011 年 Android 推出了 “Face Unlock” 功能,該功能極易被黑進去,隨便一張照片都可以解鎖,都不用非得是面部照片,但此後,該技術絕對有了很大改進。例如,BioID 等身份驗證系統現在使用 “liveliness detection” 來創建 3D 形象,因此你不能簡單地用 2D 圖像替換。
然而,駭客們還是找到辦法破解了這種更高級的身份驗證。去年八月,來自北卡羅來納大學教堂山分校的一組研究人員利用社交媒體上用戶頭像照片合成 3D 面部模型,從而破解了之前的面部檢測器。他們還不是只糊弄了一個身份識別系統,測試的所有五個系統,在檢測到虛擬頭像後,都開放了。
UASS 安全官 Gary McAlum 表示,由此看來,這項技術已經變得更加複雜——使用虹膜檢測、眨眼信號、人體紅外信號甚至心臟生物節律作為個人身份的獨特指標。這些生物識別測量方法的工作原理與指紋或自拍讀取器相同,收集每個用戶獨特的資料點,對其進行記錄、加密,每次使用者嘗試認證時,將資料重播,以檢測匹配。
Birch 說,公司之所以拼命確保面部識別安全,並不是因為它比鍵入密碼缺陷更少,而是因為它使用起來更方便。在未來的刷臉支付時代,最為重要的是,實現更為被動的後端身份驗證——這樣你的手機可以檢測到,平常你總是用左手,現在這個手機是否握在右手,以此確保交易確實有效。
他說:“我們準備轉向更為被動的生物識別技術。你手機上的軟體會觀察你是怎樣拿手機,怎樣點擊,通常去哪裡買咖啡。”正是這些更為被動的身份驗證點會確保照片或指紋與設備一直以來收集的其他獨特資料相符。
同時,設備製造商需要跟上步伐,開發嵌入硬體的新方法,説明智慧手機更好地檢測並研究信號。 例如,去年 1 月份,Google 宣佈與晶片製造商 Movidius 建立新的合作夥伴關係,其中包括將有助於識別圖像的晶片嵌入手機。 Dunkelberger 表示,2013 年與六名成員共同推出的 FIDO 聯盟現在成員已經接近 300,並包括了像阿裡巴巴,微軟,Google 和三星等大公司。 正如 SSL 技術可以創建 Web 伺服器和流覽器之間的安全連接,最終在電子商務中被廣泛應用,Dunkelberger 認為 FIDO 是確保生物特徵資料在使用者設備上安全加密的一種方式。
自馬雲在 CeBIT 技術會議上自拍已經過去了兩年,這兩年該技術取得的進展有目共睹,在今年 3 月 20 日開始舉辦的 CeBIT 全球會議上尤為明顯。這一次,演講者推出的不是一次性認證系統,而是關於手機上生物肖像更複雜的觀點。例如生物識別鑒定提供商 BioID 的首席執行官 Ho Chang 將專注於為什麼說綜合使用多種生物識別(如面部識別和語音認證)可以更安全地使用像刷臉支付這種技術。
“這不是什麼不能完成的任務。” Birch 說,但他又警告道:“你需要將生物識別技術視為便利技術,而不是安全技術。”這是移動製造商正在打的賭:因為不再使用登錄密碼帶來的便利,會使我們跟設備更加緊密。
【編譯組出品】 編輯:楊志芳
(文/ 馮七七)
(發佈/韋康)