擔心指紋外洩不敢 V 字自拍? 終極安全登入技術:使用者習慣識別

最近有新聞指拍照用 V 字手勢有機會把自己的指紋資料外洩,惹來一些恐慌。其實有部分資訊保安新聞純粹只是在實驗室等限定環境下才能實現,因此未必需要太恐慌。不過指紋的確算不上是十分安全的生物辨識方式,現在愈來愈多生物辨識登入技術出現,甚至不用任何生物特徵也可以。

最近有新聞指拍照用 V 字手勢有機會把自己的指紋資料外洩,惹來一些恐慌。其實有部分資訊保安新聞純粹只是在實驗室等限定環境下才能實現,因此未必需要太恐慌。不過指紋的確算不上是十分安全的生物辨識方式,現在愈來愈多生物辨識登入技術出現,甚至不用任何生物特徵也可以。

 

不用怕 V 字手勢自拍啦、需要太多因素配合

日本產經新聞早前報導引述日本國立情報研究所發現,指如果人們在離鏡頭 3 米距離內拍照時,最好不要用 V 字手勢,因為現在的拍攝設備能拍攝極高像素,V 字手勢會暴露食指的指紋,放大的話能有足夠的精細度被讀取複製,可用來破解指紋辨別的保安系統。

不過這次的日本研究其實比較「實驗室」,因為需要很多因素配合才能真的達到。例如照片像素要夠高、解像度清晰、光線也要充足,一張在室內派對的手機自拍照,實在很難相信也能做到同樣效果。而 Unwire.pro 之前報導過的,如利用隔熱口和電磁波破解加密外賣仔隔空竊取電腦密鑰都只是實驗室驗證,要在真實裡做到非常困難。

因此筆者並不擔心舉 V 字手勢有什麼安全隱憂,比較起來,筆者拒絕 V 字手勢只是因為擔心自己會看起來像成龍。

 

指紋其實一早已非安全的認證方式

其實今天已能在很多領域使用指紋辨別來代替密碼登入,尤其手機也開始內置指紋辨別設備後,不少銀行程式、支付工具、手機錢包也開始支援。隨著指紋保安應用愈普及,像這類有關指紋辨別安全性的報導也愈受到消費者留意。

事實上指紋並非那麼高保安的辨別方式,但由於是最方便快速的方式,因此才能普及到不同層面。打從 iPhone 支援 Touch ID 開始就已經有人破解,2013 年德國知名駭客 Starbug 更只用了 30 小時就破解了 Touch ID,他當時更直言「Touch ID 只是增加了便利性而不是安全性」。

指紋在 19 世紀末開始被警察作為辨別罪犯的方式,以當時技術來說已是相當先進,而且因為犯罪大多需要用上雙手,因此指紋作為這種生物辨識方式仍被很廣泛應用。但這並不代表指紋是一種好的辨識方式,有些人會天生指紋較淺而難識別,亦有因「主婦手」等問題而導致指紋較難讀取,更別提技術上能偷取及偽冒指紋。

 

生物識別既要安全、更要效率和成本

目前較普及又能取代指紋的生物識別技術,包括臉容、語音、掌紋、虹膜等,即使同樣也是伸出手指,除了指紋之外亦可以識別手指的靜脈分佈。例如日立就推出一款只需把 4 隻手指對著鏡頭就能靜脈認證的技術,由於靜脈認證必須有血液流動,因此就不用怕拿著照片也能偽冒的問題。

事實上生物辨識技術並非只看安全性,也必須考慮認證速度、成本等問題。最能準確辨別的當然是 DNA,但想想也知道不可能把它內置到手機裡(起碼目前技術啦),而且技術也做不到快速的識別。要實用化的話,就必須在現有硬件或技術下做到,因此像日立那種能用現有手機就做到的便相當有意思。

例如最近中國春運開始,廣州火車站引入了人臉識別的自助驗票閘口,以杜絕黃牛車票。以前人手驗票速度較低,而引入人臉識別就有助快速疏導旅客。日本也有案例是利用人臉識別來取代傳統的演唱會印刷門票,不僅驗票速度提升也有助杜絕黃牛票。

 

多重因素認證更安全、但難免麻煩消費者

其實大多數資訊保安專家都認同,並沒有哪一種辨識技術是絕對破解不了的,因此專家都推薦二重因素認證(Two factors Authentication)。簡單點說就是除了密碼之外多使用一個驗證方式,來使登入者身份較為可靠,例如使用兩重密碼,或是使用短訊密碼,當然生物特徵也可以是其中一環。

類似的技術已經被 Google 和 Microsoft 等大型網上服務供應商採用,他們辨別的方式是登入者的位置、裝置、操作平台等,例如香港人很少會在俄羅斯登入,如果在陌生地點用陌生裝置登入就需要強制作多一重認證,而這其實算是一種針對「裝置特徵」的辨別技術。

但二重因素難免會有消費者感到麻煩,若消費者覺得麻煩而拒絕使用,絕對只是本末倒置。因此更加終極的認證方式也出現了,那就是使用者習慣辨別。這既是生物特徵但又毋須掌握消費者哪一身體部位的特徵,因為它其實是靠掌握使用者的一些難以察覺的個人習慣而辨別,包括輸入密碼的速度、力度、間隔等,極難模仿。

 

辨識使用者輸入習慣、密碼外洩也駭不了

筆者在新加坡就曾訪問一家做使用者習慣辨別的初創公司 Solus,主要提供技術給銀行和政府機構。使用者只需像平常般輸入一組密碼就可以了,但系統背後會記錄登入時的輸入密碼的速度、力度、間隔等習慣。在會場向筆者展示時甚至把密碼貼在桌面任看也無妨,因為沒有人能模仿到輸入習慣,就算密碼外洩也登入不了。

據 Solus 表示全球已有 50 家銀行機構採用,平均一年處理 15 億筆登入。厲害的是不管在手機還是桌面電腦也能有相同效果。而 Solus 本身亦有研發如隨機位置的密碼鍵盤、利用雙眼位置大小距離等特徵的生物辨識的技術,系統會利用多重技術計算每次登入的分數,符合輸入習慣和雙眼特徵才准許登入。

比起指紋、虹膜、人臉之類,輸入習慣不涉及任何個人身體特徵,換言之也不會儲存任何敏感資料,甚至不會記錄登入者的地理位置,其實是相當能令消費者安心的技術,私隱問題較少。不過就像保安專家建議一樣,最好不要盡信一種驗證方式,多重驗證仍是最可靠的保安方式。

 

 

作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。