编者按:2013 年,苹果公司推出的 iPhone5s 一改手机键入密码转而使用 Touch ID,随后阿里巴巴推出“刷脸支付”,生物身份识别技术成为潮流。本文作者 Jane Porter 是自由撰稿人,作家,在文中,她认为,随着生物数据在科技中广泛应用,各大公司绞尽脑汁综合使各种生物数据,从而影响了手机设计。
这缘起于苹果公司的 Touch ID 和阿里巴巴的“刷脸支付”(“selfie pay”)。现在各大公司纷纷构建更为深刻的生物画像,以确保用户手机安全。
2013年苹果推出 iPhone5s 后,内置的 Touch ID 揭开了比赛的序幕,各大公司争相发明创新性、个性化的密码。虽说老式的密码模式也用了几十年了,但是为什么不放弃这模式呢——非得手指叭叭敲半天才能登陆进去?
苹果的 Touch ID 表明了指纹是可以作为认证手段的,而这只是公司对生物数据越来越感兴趣的一个早期的外部标志。从语音音色到身体动作模式到心跳的节奏,人体提供了六种更为迷人、更难破解的方式来键入密码。
生物识别认证应用正在蓬勃发展。根据 Juniper Research 给出的数据,2015 年,此类 APP 的下载量为 600 万,到 2019 年,这一数字预计将达到 7.70 亿。此外,据研究公司 Acuity 称,从明年开始,所有智能手机都将包括内置的生物识别能力。
安全平台 Nok Nok Labs 首席执行官 Phil Dunkelberger 说,生物识别技术在哪个领域的进步,都没有在手机照相技术领路进步大。移动制造商已经将一项相对较旧的技术转移到认证组合中:自拍——智能手机最受欢迎和无所不在的副产品。 例如,在 2015 年的一个里程碑式的演示中,阿里巴巴首席执行官马云向观众展示他如何对着相机微微一笑,完成了授权付款。
“咔嚓”拍张自拍才能访问敏感应用,或者完成支付,可能听起来很有意思,很洋气,或者可能有点蠢萌。事实上,这只是开始,随后手机会在更大范围构建其用户的详细的生物和行为肖像。一张照片绝对不足以证实身份,手机将不得不捕获海量关于我们生活方式的数据。
正如一个信用卡公司在塔希提岛突然引领购物狂潮一样,移动制造商正在教手机去注意身份认证的微妙迹象——或者是黑客。 在不久的将来,如果我们以不同寻常的方式弹了下手,我们的手机就能够注册。移动制造商相信我们将很乐意做这种改变,这样就不用刷卡了。
马云曾在德国汉诺威举行的年度 CeBIT 技术会议上发表演讲,在其演讲接近尾声时,他说“我一直梦想着能够去帮助小企业。”苹果公司推出 Touch ID 两年后,马云宣布推出一项技术,将手机上的自拍变成用来保障手机安全的一步——验证你的身份以完成在线购买。
演讲时,他身后是智能手机的巨大投影,屏幕上,一张 1948 年的纪念邮票在淘宝网上出售,标价 20 欧元。马云告诉观众,现在他需要做的就是对着手机镜头微笑,这就足以让公司的新面部识别工具通过他的购买验证。
马云用智能手机拍了张自拍,投射到他身后的墙上。他的面部轮廓被一条白色的线条勾勒出来。在一连串运行代码和图形闪烁后,购买就完成了。他告诉观众,六天之内,这张邮票就作为礼物送到当地的市长办公室了。
跟 Touch ID 一样,该技术也是通过生物识别技术工作:它基于图像,为人的面部结构和特征创建了独特的生物测量系统,而后被转换成数字记录。 该系统只通过拍摄照片就可以验证付款,照片的测量数据与设备上存储的照片相匹配。
他把这个工具称为 “Smile to Pay”,这个功能可以使面部识别成为一种技术,无论是大主顾还是小客户都可以通过支付宝使用。该工具使得我们可以将身体部位转化为手持设备上的付款身份验证形式。
今天 Smile to Pay 没有用来支付,而是用来验证支付宝的登录身份。 尽管如此,自 2015 年以来,为消费者提供金融服务的各方已经躁动不安,开始使用面部识别作为身份验证工具,希望通过更洋气,更安全的方式来代替密码。
2016 年 3 月,马云提出 Smile to Pay 一年后,万事达卡与蒙特利尔银行合作,推出了一种公司信用卡,使用面部识别来验证用户身份,以完成购买。他们使用的生物识别“自拍”技术—— Identity Check Mobile 是利用存储在用户个人设备上的 FIDO 加密生物识别数据,以作为防范黑客的安全手段,该技术去年 10 月在欧洲推广,一个月后在巴西和墨西哥推广使用。
去年三月份大概同一时间,Amazon 申请了一项面部识别技术专利,可以通过使用面部识别来完成购买,而不用输入密码验证身份。
现在基本技术已经到位,重点应放在保护面部识别免受黑客攻击,使用户体验更加优越。 2011 年 Android 推出了 “Face Unlock” 功能,该功能极易被黑进去,随便一张照片都可以解锁,都不用非得是面部照片,但此后,该技术绝对有了很大改进。例如,BioID 等身份验证系统现在使用 “liveliness detection” 来创建 3D 形象,因此你不能简单地用 2D 图像替换。
然而,黑客们还是找到办法破解了这种更高级的身份验证。去年八月,来自北卡罗来纳大学教堂山分校的一组研究人员利用社交媒体上用户头像照片合成 3D 面部模型,从而破解了之前的面部检测器。他们还不是只糊弄了一个身份识别系统,测试的所有五个系统,在检测到虚拟头像后,都开放了。
UASS 安全官 Gary McAlum 表示,由此看来,这项技术已经变得更加复杂——使用虹膜检测、眨眼信号、人体红外信号甚至心脏生物节律作为个人身份的独特指标。这些生物识别测量方法的工作原理与指纹或自拍读取器相同,收集每个用户独特的数据点,对其进行记录、加密,每次用户尝试认证时,将数据回放,以检测匹配。
Birch 说,公司之所以拼命确保面部识别安全,并不是因为它比键入密码缺陷更少,而是因为它使用起来更方便。在未来的刷脸支付时代,最为重要的是,实现更为被动的后端身份验证——这样你的手机可以检测到,平常你总是用左手,现在这个手机是否握在右手,以此确保交易确实有效。
他说:“我们准备转向更为被动的生物识别技术。你手机上的软件会观察你是怎样拿手机,怎样点击,通常去哪里买咖啡。”正是这些更为被动的身份验证点会确保照片或指纹与设备一直以来收集的其他独特数据相符。
同时,设备制造商需要跟上步伐,开发嵌入硬件的新方法,帮助智能手机更好地检测并研究信号。 例如,去年 1 月份,Google 宣布与芯片制造商 Movidius 建立新的合作伙伴关系,其中包括将有助于识别图像的芯片嵌入手机。 Dunkelberger 表示,2013 年与六名成员共同推出的 FIDO 联盟现在成员已经接近 300,并包括了像阿里巴巴,微软,Google 和三星等大公司。 正如 SSL 技术可以创建 Web 服务器和浏览器之间的安全连接,最终在电子商务中被广泛应用,Dunkelberger 认为 FIDO 是确保生物特征数据在用户设备上安全加密的一种方式。
自马云在 CeBIT 技术会议上自拍已经过去了两年,这两年该技术取得的进展有目共睹,在今年 3 月 20 日开始举办的 CeBIT 全球会议上尤为明显。这一次,演讲者推出的不是一次性认证系统,而是关于手机上生物肖像更复杂的观点。例如生物识别鉴定提供商 BioID 的首席执行官 Ho Chang 将专注于为什么说综合使用多种生物识别(如面部识别和语音认证)可以更安全地使用像刷脸支付这种技术。
“这不是什么不能完成的任务。” Birch 说,但他又警告道:“你需要将生物识别技术视为便利技术,而不是安全技术。”这是移动制造商正在打的赌:因为不再使用登录密码带来的便利,会使我们跟设备更加紧密。
【编译组出品】 编辑:杨志芳