我們曾無數次的被要求輸入密碼,不甚其煩又無可奈何。這些愈加繁瑣的工作說到底就是幹一件事兒:證明目前的操作者是你本人。機器是不會認人,只能通過資料來進行比對驗證。於是,密碼成了最常用的安全認證方法。可問題是,密碼是有可能被盜的!這就和鑰匙一樣,小偷偷了你的鑰匙就可以進你的家門。門認識的只有鑰匙,它可不是狗,不會認主人。
我們會很自然地去尋找那些偷不走的鑰匙。對於生物來說,不太容易變的特徵有兩種:一個是生物特徵,另一個是行為習慣,這就是柒車間從事生物識別認證研發的最主要的兩個方向。綜合考量技術、成本、安全、易用等因素,現階段柒車間重點研究的生物識別技術有六種,分別是人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊。六種技術,各有各的使用場景。
先說掌紋識別。掌紋是“有生命的二維碼”,包含豐富的資訊,我們常說的生命線、事業線、愛情線就是最常見的紋線特徵,數量巨大又毫無規則的細問也有紋理特徵,手掌的寬度、長度又提供了幾何特徵,這些都能夠“連結到唯一的個人”。使用手機攝像頭,掃描掌紋,就完全可以確定一個人的身份。柒車間已經自主研發了膚色檢測、掌紋定位、切割和識別演算法,在小額支付和手機換綁等應用場景下使用。
當然,如果你女朋友擅長敗家,你也不用擔心,即使她剁了你的手,掃描“人體二維碼”成功,也肯定通不過支付寶錢包的活體檢測。不展示幾個手勢,證明是你是活的,支付寶錢包是萬萬不能讓你通過認證的。
再說人臉識別。傳統方式是採用影像處理和模式識別技術,簡單來說就是提取出五官的特徵資料,與預先保存的臉部特徵值進行比對確定身份。螞蟻金融安全產品技術部的高級專家張潔告訴36氪,柒車間將最新的深度學習技術用於人臉檢測識別,最初要先幫助機器學習識別器官、幫助機器識別是否為同一個人,而現在機器就像不斷汲取知識、茁壯成長的少年,你已經不知道它是具體通過哪些特徵和資料來識別的了。大資料把人臉識別變成了另一個被互聯網顛覆的領域,傳統法醫使用的用五官、頭骨等做標定的認人方式已經沒有機器准了。
同樣,刷臉的必須是活體。明年你看到有人對著手機搖頭、微笑、張嘴,那可真不是神經病,只是做個支付認證。但是愛整容的妹子們、漢子們要慎重,柒車間發現,一般長得帥、長得美的的確相對不容易被識別出來。可能長得美的都是相似的吧,要不韓國小姐怎麼都一樣呢。那些臉部特徵特別明顯的人反而很不容易被誤識,為了護住你的錢包,醜就醜點吧。很有可能下一個版本的支付寶錢包,會把人臉識別作為輔助認證的手段。開通支付寶錢包時要自拍一張照片,機器會用來與公安部門的身份資訊比對,確定開通者身份。
如果你用的是華為或者三星等品牌的手機,還配備了指紋感測器,打開你手機裡內置的支付寶錢包,你就可以使用指紋支付了,這個功能昨天正好上線。每個人敲擊鍵盤的行為也各不相同,在使用者利用鍵盤輸入卡號或密碼時,支付寶已經採集了各個鍵輸入的時間間隔,在不打擾使用者的情況下,建立了機器學習模型,對使用者進行行為分析,已經被作為輔助驗證手段了。當你和客戶通話時,聲紋也被作為體征的一部分被無形收集了,嗓子啞了,聲紋也是不會變的,而且它和你說的內容無關。
多層次立體防控體系
這些識別方式,都涉及極其複雜的模型和演算法。其實人類大腦每天都在進行更複雜的運算,你看到一個人,一下就能感覺出是某某。要讓機器模仿人腦的結構模型和思維模式,不斷學習,實現關於人臉識別的規律和規則的隱性表達,就沒那麼容易了。聽上去很傳統的筆跡識別,識別方式也不僅僅是判斷筆跡圖形的相似程度,還包括動態的書寫行為模式、筆劃順序、每一筆的書寫節奏等,就需要通過動態時間規整這樣的非線性時間對準範本匹配演算法以及機器學習演算法來進行筆跡相似程度的測算。
我們的大腦每天都在進行更複雜的運算,當我們見到一個熟人,能一下子就認出來是某某。但是要讓機器模仿我們的大腦,就沒那麼容易了。機器要實現這種結構模型和思維模式,就要不斷學習,還得能實現關於識別的規律和規則的隱性表達。比如說筆跡識別,它的識別方式不僅僅是通過判斷筆跡圖形的相似程度判定的,還需要考慮一些隱性的表達,比如 動態的書寫行為模式、筆劃順序以及每一筆的書寫節奏。
這肯定很難,但就安全性而言,生物識別肯定比密碼靠譜和方便。否則也就不會有這麼多人在這個領域進行研究和探索,蘋果做了指紋識別,支付寶今年也首推了指紋支付,還有很多生物識別技術在逐步商用。
不同的生物識別技術,有不同的優勢。不同場景下,選擇最便利的一種或幾種,就能實現比密碼更安全的防護。聲紋識別因為不涉及隱私,用戶接受程度高,而且,尤其適用於基於語音通話等的遠端身份認證;掌紋採集區域比較大,容易獲取品質較高的圖片,驗證結果信服度更高,在光線較好的地方,採用掌紋非常合適;筆跡和觸屏行為,其本身是動態的,要模仿一個圖形不難,要模仿整個書寫過程是極其困難的,還克服了指紋、掌紋等生物特徵範本不具修改性的問題。 在一些對安全性極高的場景下,可以採用雙因數鑒定,比如人臉 + 筆跡、 指紋 + 筆跡等。
看了上面這些如圖科幻小說的識別技術,你一定也熱血澎拜啦。不過,從目前的技術進展來看,生物識別還有不少技術難題需要攻克。比如說,聲紋識別會受到年齡等的影響;筆跡和鍵盤敲擊涉及到單個個體的行為變化,還需要跟蹤和區分;指紋活體檢測難度高,有遭假冒的風險。更何況識別的運算過程複雜,還需要進一步提高這些生物識別過程的運算效率。
將這些還有待實踐檢驗的生物識別用於金融安全認證,用於你的財產帳號,螞蟻金服還挺有信心的。螞蟻金融安全產品技術部的高級專家張潔告訴36氪,現階段他們的筆跡識別在錯誤接受率為五萬分之一的情況下準確率可以做到99.28%。
這套生物識別技術是建立在螞蟻金服多層次的安全技術體系之上的,通過多道防線層層保障下進行身份認證:首先是終端安全,螞蟻金服會對木馬的進行防控,並支持 TEE 可信執行環境,實施端和通道的加解密。其次是系統安全,通過完善的位置監測和流量監測等手段主動防禦。用戶通過前面這兩層防禦後,才能進入了身份認證這道防線。而在這道防線,除了數位憑證、帳號密碼和、手機動態口令,生物識別認證產品也加入到使用者安全認證產品的大家庭中,為使用者的支付交易保駕護航。
如果說多層次立體防控體系是一隻看得見的手,操控這個金融網路的還有一隻看不見的手——大資料的風險識別評估體系。螞蟻金服現在的交易風險控制能力可以支援每秒幾萬筆以上的支付交易,以及每天幾十億筆以上的風險識別。在每一筆交易規則和模型的計算執行過程裡,可能要掃描幾百或上千條記錄,並完成超過上千個變數的即時計算,而這一切能在短暫的 200 毫秒以內完成。在生物識別背後的系統上有上萬條策略和幾十乃至上百種資料模型在默默地工作著,像一張無形的大網保護著使用者的每一筆交易。
為使用者提供準確和方便的生物特徵識別服務的同時,柒車間還採用了範本保護演算法,例如模糊保險箱 (Fuzzy Vault) 的方式,對使用者生物特徵進行保護,防止其遭受攻擊。另外,指紋識別和掌紋識別等進程運行在移動終端的安全隔離環境,生物特徵保存在任何協力廠商應用軟體都無法訪問的安全存儲區裡,從而加固了安全防線,使使用者安全認證產品本身的安全得到了保障。
顛覆數位密碼
為了資訊的安全,西元前 405 年,雅典和斯巴達的伯羅奔尼薩斯戰爭,人們在羊皮帶上發明了第一個密碼。1960 年,MIT 建造了大型分時電腦 CTSS,第一個電腦密碼誕生。光陰荏苒,移動互聯網時代,每一個人至少擁有幾十個帳戶密碼。一串串字元被賦予實名,看管我們最珍貴的東西,保護資料與資訊,看護夢想與回憶,看管秘密與恐懼
當初發明密碼的人們以為簡單的密碼就足夠了,但斯巴達的將軍僅僅碰巧把皮帶纏在了木棍上,就破解了第一個密碼;1962 年,也就是兩年後,MIT 的博士生 Allan Scherr 為了增加上機時長,破解了第一個電腦密碼,還用管理員的帳號做了一個惡作劇。 道高一尺,魔高一丈。
現在,只需要最多10000次嘗試,你的iPhone手機就會被解鎖螢幕,安卓手機也只需要389112次嘗試而已。無論什麼樣的數位密碼,對於具有強大運算能力的機器來說,這都不是事兒。現在幾乎每個人都擁有眾多的帳號密碼,有時候不得不需要
1Password、LastPass 這樣的軟體輔助我們記憶,才能完全記住密碼。雖然每個人的數字財產越來越重要,但當我們的親人去世,我們卻很可能因為不知道密碼,無力找回他們的數字遺產。
【101創業大小事/整理報導】
完整內容→http://www.101media.com.tw/content/hpeDvMxvloeNYJGgvoJ2Y7JAoyDIVj
人類真的還需要密碼嗎?
分享