人類真的需要密碼嗎?


2054年,你的行蹤隨時被掌握,不管你去哪裏,地鐵還是樓宇。因為每個人的虹膜信息都存儲在電腦裏,無數的虹膜掃描儀在盯着你。這是《少數派報告》裏的場景。

2015年,你賣萌對着手機喊了一句“親愛的最帥了”,錢即時到賬;盯着淘寶頁面的那件寶貝看了10秒鐘, 付款成功。這可能是現實裏的場景。

其實,我也是看到一些神奇的支付手段後,才敢想象這樣的未來。螞蟻金服有個祕密組織,專門研究人體的密碼。打造支付版“少數派報告”只是它小部分工作,它的名字叫“柒車間”。

我們都是活密碼

我們曾無數次的被要求輸入密碼,不甚其煩又無可奈何。這些愈加繁瑣的工作説到底就是幹一件事兒:證明目前的操作者是你本人。機器是不會認人,只能通過數據來進行比對驗證。於是,密碼成了最常用的安全認證方法。可問題是,密碼是有可能被盜的!這就和鑰匙一樣,小偷偷了你的鑰匙就可以進你的家門。門認識的只有鑰匙,它可不是狗,不會認主人。

我們會很自然地去尋找那些偷不走的鑰匙。對於生物來説,不太容易變的特徵有兩種:一個是生物特徵,另一個是行為習慣,這就是柒車間從事生物識別認證研發的最主要的兩個方向。綜合考量技術、成本、安全、易用等因素,現階段柒車間重點研究的生物識別技術有六種,分別是人臉、聲紋、指紋、掌紋、筆跡和鍵盤敲擊。六種技術,各有各的使用場景。

先説掌紋識別。掌紋是“有生命的二維碼”,包含豐富的信息,我們常説的生命線、事業線、愛情線就是最常見的紋線特徵,數量巨大又毫無規則的細問也有紋理特徵,手掌的寬度、長度又提供了幾何特徵,這些都能夠“鏈接到唯一的個人”。使用手機攝像頭,掃描掌紋,就完全可以確定一個人的身份。柒車間已經自主研發了膚色檢測、掌紋定位、切割和識別算法,在小額支付和手機換綁等應用場景下使用。

當然,如果你女朋友擅長敗家,你也不用擔心,即使她剁了你的手,掃描“人體二維碼”成功,也肯定通不過支付寶錢包的活體檢測。不展示幾個手勢,證明是你是活的,支付寶錢包是萬萬不能讓你通過認證的。

再説人臉識別。傳統方式是採用圖像處理和模式識別技術,簡單來説就是提取出五官的特徵數據,與預先保存的臉部特徵值進行比對確定身份。螞蟻金融安全產品技術部的高級專家張潔告訴36氪,柒車間將最新的深度學習技術用於人臉檢測識別,最初要先幫助機器學習識別器官、幫助機器識別是否為同一個人,而現在機器就像不斷汲取知識、茁壯成長的少年,你已經不知道它是具體通過哪些特徵和數據來識別的了。大數據把人臉識別變成了另一個被互聯網顛覆的領域,傳統法醫使用的用五官、頭骨等做標定的認人方式已經沒有機器準了。

同樣,刷臉的必須是活體。明年你看到有人對着手機搖頭、微笑、張嘴,那可真不是神經病,只是做個支付認證。但是愛整容的妹子們、漢子們要慎重,柒車間發現,一般長得帥、長得美的的確相對不容易被識別出來。可能長得美的都是相似的吧,要不韓國小姐怎麼都一樣呢。那些臉部特徵特別明顯的人反而很不容易被誤識,為了護住你的錢包,醜就醜點吧。很有可能下一個版本的支付寶錢包,會把人臉識別作為輔助認證的手段。開通支付寶錢包時要自拍一張照片,機器會用來與公安部門的身份信息比對,確定開通者身份。

如果你用的是華為或者三星等品牌的手機,還配備了指紋傳感器,打開你手機裏內置的支付寶錢包,你就可以使用指紋支付了,這個功能昨天正好上線。每個人敲擊鍵盤的行為也各不相同,在用户利用鍵盤輸入卡號或密碼時,支付寶已經採集了各個鍵輸入的時間間隔,在不打擾用户的情況下,建立了機器學習模型,對用户進行行為分析,已經被作為輔助驗證手段了。當你和客户通話時,聲紋也被作為體徵的一部分被無形收集了,嗓子啞了,聲紋也是不會變的,而且它和你説的內容無關。


多層次立體防控體系

這些識別方式,都涉及極其複雜的模型和算法。其實人類大腦每天都在進行更復雜的運算,你看到一個人,一下就能感覺出是某某。要讓機器模仿人腦的結構模型和思維模式,不斷學習,實現關於人臉識別的規律和規則的隱性表達,就沒那麼容易了。聽上去很傳統的筆跡識別,識別方式也不僅僅是判斷筆跡圖形的相似程度,還包括動態的書寫行為模式、筆畫順序、每一筆的書寫節奏等,就需要通過動態時間規整這樣的非線性時間對準模板匹配算法以及機器學習算法來進行筆跡相似程度的測算。

我們的大腦每天都在進行更復雜的運算,當我們見到一個熟人,能一下子就認出來是某某。但是要讓機器模仿我們的大腦,就沒那麼容易了。機器要實現這種結構模型和思維模式,就要不斷學習,還得能實現關於識別的規律和規則的隱性表達。比如説筆跡識別,它的識別方式不僅僅是通過判斷筆跡圖形的相似程度判定的,還需要考慮一些隱性的表達,比如 動態的書寫行為模式、筆畫順序以及每一筆的書寫節奏。

這肯定很難,但就安全性而言,生物識別肯定比密碼靠譜和方便。否則也就不會有這麼多人在這個領域進行研究和探索,蘋果做了指紋識別,支付寶今年也首推了指紋支付,還有很多生物識別技術在逐步商用。

不同的生物識別技術,有不同的優勢。不同場景下,選擇最便利的一種或幾種,就能實現比密碼更安全的防護。聲紋識別因為不涉及隱私,用户接受程度高,而且,尤其適用於基於語音通話等的遠程身份認證;掌紋採集區域比較大,容易獲取質量較高的圖片,驗證結果信服度更高,在光線較好的地方,採用掌紋非常合適;筆跡和觸屏行為,其本身是動態的,要模仿一個圖形不難,要模仿整個書寫過程是極其困難的,還克服了指紋、掌紋等生物特徵模板不具修改性的問題。 在一些對安全性極高的場景下,可以採用雙因子鑑定,比如人臉+筆跡、 指紋+筆跡等。


看了上面這些如圖科幻小説的識別技術,你一定也熱血澎拜啦。不過,從目前的技術進展來看,生物識別還有不少技術難題需要攻克。比如説,聲紋識別會受到年齡等的影響;筆跡和鍵盤敲擊涉及到單個個體的行為變化,還需要跟蹤和區分;指紋活體檢測難度高,有遭假冒的風險。更何況識別的運算過程複雜,還需要進一步提高這些生物識別過程的運算效率。

將這些還有待實踐檢驗的生物識別用於金融安全認證,用於你的財產賬號,螞蟻金服還挺有信心的。螞蟻金融安全產品技術部的高級專家張潔告訴36氪,現階段他們的筆跡識別在錯誤接受率為五萬分之一的情況下準確率可以做到99.28%

這套生物識別技術是建立在螞蟻金服多層次的安全技術體系之上的,通過多道防線層層保障下進行身份認證:首先是終端安全,螞蟻金服會對木馬的進行防控,並支持 TEE 可信執行環境,實施端和通道的加解密。其次是系統安全,通過完善的位置監測和流量監測等手段主動防禦。用户通過前面這兩層防禦後,才能進入了身份認證這道防線。而在這道防線,除了數字證書、帳號密碼和、手機動態口令,生物識別認證產品也加入到用户安全認證產品的大家庭中,為用户的支付交易保駕護航。

如果説多層次立體防控體系是一隻看得見的手,操控這個金融網絡的還有一隻看不見的手——大數據的風險識別評估體系。螞蟻金服現在的交易風險控制能力可以支持每秒幾萬筆以上的支付交易,以及每天幾十億筆以上的風險識別。在每一筆交易規則和模型的計算執行過程裏,可能要掃描幾百或上千條記錄,並完成超過上千個變量的實時計算,而這一切能在短暫的 200 毫秒以內完成。在生物識別背後的系統上有上萬條策略和幾十乃至上百種數據模型在默默地工作着,像一張無形的大網保護着用户的每一筆交易。

為用户提供準確和方便的生物特徵識別服務的同時,柒車間還採用了模板保護算法,例如模糊保險箱 (Fuzzy Vault) 的方式,對用户生物特徵進行保護,防止其遭受攻擊。另外,指紋識別和掌紋識別等進程運行在移動終端的安全隔離環境,生物特徵保存在任何第三方應用軟件都無法訪問的安全存儲區裏,從而加固了安全防線,使用户安全認證產品本身的安全得到了保障。

顛覆數字密碼

為了信息的安全,公元前 405 年,雅典和斯巴達的伯羅奔尼撒戰爭,人們在羊皮帶上發明了第一個密碼。1960 年,MIT 建造了大型分時計算機 CTSS,第一個計算機密碼誕生。光陰荏苒,移動互聯網時代,每一個人至少擁有幾十個賬户密碼。一串串字符被賦予實名,看管我們最珍貴的東西,保護數據與信息,看護夢想與回憶,看管祕密與恐懼……

當初發明密碼的人們以為簡單的密碼就足夠了,但斯巴達的將軍僅僅碰巧把皮帶纏在了木棍上,就破解了第一個密碼;兩年後,MIT 的博士生 Allan Scherr 為了增加上機時長,破解了第一個計算機密碼,還用管理員的賬號做了一個惡作劇。 道高一尺,魔高一丈。現在,只需要最多10000次嘗試,你的iPhone手機就會被解鎖屏幕,安卓手機也只需要389112次嘗試而已。無論什麼樣的數字密碼,對於具有強大運算能力的機器來説,這都不是事兒。現在幾乎每個人都擁有眾多的賬號密碼,有時候不得不需要 1Password、LastPass 這樣的軟件輔助我們記憶,才能完全記住密碼。雖然每個人的數字財產越來越重要,但當我們的親人去世,我們卻很可能因為不知道密碼,無力找回他們的數字遺產。

現在,是時候來顛覆這些數字密碼了。

蘋果、Google、三星等廠商推出指紋識別的設備和產品Mozilla 公司 Webmaker 網站推出無密碼登陸系統劍橋大學計算機實驗室開發電子氣場(electric aura)Nymi想要通過你的心律來解鎖摩托羅拉展示密碼藥丸……

説顛覆,似乎有點慫人聽聞了。柒車間的自信還是建立在阿里大數據的支持上,蘋果、Google、三星這些大公司也只試水了指紋識別。生物認證想普及,還有很長的路要走,且不説技術上的難點,教育用户也不是易事。不如我們撇開這些恐懼,先拿柒車間的掌紋識別、人臉識別做些有趣的娛樂性質的新嘗試,比如掃描指紋看看我今天的命理適合買什麼產品,撒嬌購物車的代付申請只需要喊聲”親愛的我好喜歡你",既有趣,又不會對識別的準確性有超高的要求,順便還可以積累些機器學習的材料。

當有一天,這些認證方式像指紋支付,直接內置到手機等移動設備的底層,數字密碼就會成為過去時,生物識別為代表的新的密碼交互就會普及。也許,未來你必須像科幻電影裏那樣,先來花1秒鐘做個人臉識別,才有權限讀這篇文章哦。

PS:
感謝螞蟻金融張潔對本文的幫助。張潔,花名方如,螞蟻金融安全產品技術部的高級專家,著有《Linux就是這個範兒》一書。

[36氪原創文章,作者: 小石頭]


資料來源:36Kr

如果喜歡我們的文章,請即分享到︰

標籤: 密碼