指纹、声音、心跳识别...... 苹果引发的身份验证思考

36氪 • 10年前扫码分享

机器是如何验证用户身份的？虹膜、心跳、指纹和声音识别？这些才只是入门级。

自打有互联网以来，身份验证一直令IT界头疼，大家对用传统的户名加密码验证方式日益不满。各种身份验证新产品也就应运而生，有些产品的创意甚至来源于科幻小说。周二，苹果推出了两款新iPhone，首次引入了指纹识别功能，取代了旧有的密码锁屏和产品购买密码验证。其实，应用于手机的指纹识别技术只是身份验证领域的冰山一角。

人体指纹独一无二的，这种生物特征被广泛用于身份验证。但也有一些其它的创新技术，将个人手机变为识别设备。其中最有创意的一个想法要数多伦多大学密码学家开发的生物验证腕带Nymi，它通过腕带中的电压表测量识别人的心跳。

“当你佩戴Nymi时，它会先对你进行身份验证，然后向你周围的设备发送验证通过消息，”开发者Karl Martin解释道。这款腕表的主要卖点就是安全性，Martin开玩笑地说，人会说谎，心跳却不会说谎。

这些新技术减轻了人们对传统身份验证技术安全性和隐私性的担忧。近年来，网络用户名和密码丢失事件层出不穷。上个月，有报道称，长达55位的密码也存在着被破译的危险。（这个结论有些危言耸听，感兴趣的可以阅读知乎日报技术贴：《55 位以下的密码都不安全了？黑客破解密码也没那么暴力》）

Clef是一家旧金山的创业公司，他们刚刚开发了一款移动应用，不需要用户在打开网页时输入密码，而是通过个人手机向电脑发送密钥，从而完成身份验证。LaunchKey是一家还在试验期的创业公司，办公室设在拉斯维加斯，他们的验证技术也采用了相似的思路：用户在LaunchKey上完成注册，将账号与个人手机绑定，随后，当用户登陆经LaunchKey认证的网页或移动应用时，系统就会发送验证消息到手机上；在手机客户端，用户可以在其应用中操控图标来实现验证。

加州红木城有一家创业公司OneID，提供“一次登陆”式的解决方案，免去用户反复登陆验证的困扰。在其介绍视频中，工程师Jim Fenton演示了他是如何用OpenID打开自家车库的。Fenton认为，许多互联网设备的阿克琉斯之踵就是用户登陆的安全问题。“如果用户将个人资料都放在互联网上，那么他们就需要安全又简便的方法来控制他们的信息。使用用户名加密码的传统方法很多时候并不理想，”Fenton解释道。

生物验证工具，如指纹识别器，早已被应用在手提电脑上，但表现却并不令用户满意。苹果新的指纹识别功能效果如何、用户是否满意，还有待观望。

尽管生物感应器被寄予了厚望，它们也同样存在安全隐患。尽管苹果宣称，用户的指纹只会被存储在个人手机本地，不会被上传到它们的服务器上供开发者使用，但是质疑声还是铺天盖地而来。另一个问题就是，Nymi、OneID以及其它同类产品，覆盖的网站都远不够多，如何吸引用户是他们亟需解决的问题。

伯克利大学的计算机专家们提出了另一种解决思路。他们正在研发一种简单又便宜的头盔，通过读取用户的脑电波实现身份验证。有专家认为，使用单一方法很难解决所有验证问题；而一系列工具的结合使用，可以实现用户的网络验证身份、汽车发动或银行账号登陆。

由黑莓、谷歌、联想、LG、PayPal等几家软硬件公司组成的“Fido”联盟，正致力于提供一套完整的身份验证解决方案。他们预期在今年底发布合作纲领，联盟中的几家公司已经开始测试相关的产品，如指纹读取器、面部和声音识别软解等。有一天，用户也许只要对着电脑吼一嗓子就可以登陆网络商城，扫一眼PayPal应用就可以完成购物。

目前，Facebook也许是提供身份验证服务最成功的公司。数以百万计的网站允许用户通过他们的Facebook身份登陆，从Facebook的角度来说，这促进了他们对用户的了解，从而能更有针对性地发送广告。当然，其安全隐患也是不言而喻的：窃取了你Facebook身份的黑客可以在互联网上随意冒充你。

Mozilla一直在推广他们的一站式登陆系统Persona。它使用的前提是，用户各自的Email服务器已经验证了他们的用户身份。对支持Persona账号登陆的网站，用户可以通过邮件认证的方式登陆，无需提供密码。可惜，Mozilla Persona支持的网站数量有限。Mozilla的发言人称Persona现在有上千的合作站点，但这个数字和Facebook想完全不值一提。Mozilla的工程副总裁Johnathan Nightingale评论说，身边互联网新设备的涌现，加剧了工程师开发密码替代产品的紧迫感。“产品智能化的想法是好的，但如何管理密码是个问题”，Nightingale说道，“不要再指望那12位大写字母、三位小写字母、两位符号和一个百分号的组合密码了！”