当成熟的生物识别技术开始以密码形态潜入随身设备时,大众该怎样面对隐私数据信息的保护?
iPhone 5s上市以来的持续热销也让Touch ID(指纹识别技术)愈加深入人心。但追溯人类历史文明,密码的历史几乎和文字是同时诞生。若看密码诞生的初衷——一都是为了信息安全考虑,无论是身份验证、信息加密、或是上情下达传递信息。在几千年的人类密码历史中,通过文字、声音、图像、甚至是血液加密,都旨在保护着信息的安全。
在目前的数码产品尤其是智能手机的解锁方式中,“数字+字母”的组合密码、滑屏解锁和图案解锁是最为常用的几种方式。但这些传统的密码存在一个明显的问题,密码强度和安全系数成正比,和可记忆程度成反比。用户如果想提高密码被破解的难度性就必须要有足够复杂的组合密码,这也意味着难于记忆。
对于每天被高频率打开屏幕使用的智能手机,每次都要输入密码的体验也不佳。而iPhone 5s的Touch ID则大大减轻了这一不适感,用户将手指放在主屏按钮上就能解锁手机。
当成熟的生物识别技术开始以密码形态潜入随身设备时,大众该怀揣怎样的心理与措施,来面对隐私数据信息的保护?
生物密码的不确定性
或许,你现在有足够多的理由去抛弃传统方式——设置8-16位(或是更长)的数位密码来保卫你的数据安全:由于海量的移动应用与社交网络,设置一长串数位密码繁琐又不容易被记忆;设置数字密码很容易被黑客破解;数字密码甚至不是具备友好的交互的特质……
出于简化识别环节、方便快捷验证信息的目的,开发者们想出了各种方式来设置密码锁:如通过Open ID一键登录到社交网络及其热门应用;再如利用多点触控在屏幕上设置简单的图像轨迹,给智能设备上锁。
“但那些很容易被黑客识破,在移动互联的时代,一触发便殃及鱼池。”随手记创始人谷风向腾讯科技表示,数位密码与图像密码都是是静态数据,在计算机内存与网络传输中,极易受到黑客破解。唯有降低静态数据的精准度、提高动态数据的复杂度,来增加攻击者的成本。
那么iPhoen5s的指纹识别是否能提高数据的安全性?“相对提高了,但也不绝对提高。”谷风认为,除去iPhone5s指纹数据不连服务器的前提下,生物识别具有不可修改性。谷风举例,倘若用户生物信息存储在本地,但一旦生物信息遭窃,因为其生物属性不可修改,即使是运营者知道此事,也束手无策。
关于这一点HID(中国区)渠道总监李桢,也同样有感触。在专业安防领域,生物识别技术应用非常普遍(如虹膜识别、静脉识别、动脉识别、人脸识别、声纹识别)但也并非100%对每个人的信息验证都能奏效。“生物识别的不通过率在千分之二至万分之五之间。”
李桢向腾讯科技举例,如指纹识别都是通过光学指纹机设备来采集数百个校对点,校对点对指纹识别的精确度起到决定性作用。但校对点的设置也需要适中。
“经常会出现这样的情况,比如校对点过少,那么通过信息识别通过率就会很高,反则安全系数不高;如果校对点过高,通过率低、安全系数高,也存在着验证者自身无法通过的情况。”李桢谈到,每个人的指纹、面部纹路都存在唯一性,但人类的身体会随着岁月的流逝或意外事件而产生变化,如果指纹机不能精确识别这些变化,那么指纹密码也就无从谈起。
现在在专业安防领域相对高端的生物识别技术,是虹膜识别与X光识别,相较于指纹识别与人脸识别又提高了一个安全等级,但造价也高。“虹膜识别系统造价在万元左右,X光识别系统则高达数十万元。”李桢谈到,生物识别技术较传统密码机制,确实提高了安全系数。而随着市场对生物识别技术的认知有所提高,未来市场发展前景会好于现在。
无孔不入的隐私泄露
随着Google Glass刮起的可穿戴设备风潮,越来越多的可穿戴设备开始引入生物识别技术与功能。
如加拿大Biomin公司研发出一款生物技术腕带,通过扫描心脏活动来识别佩戴者身份,因为每个人的心脏活动都是独一无二的,心脏的形状、大小、位置和心律等因人而异,并且无法被复制或窃取。Nymi腕带必须与使用者皮肤直接接触才能识别心脏活动。Nymi手环可以解锁日常用品,如保险柜、车门、电脑、支付网上账单。
“深圳的山寨厂商早在3年前生产的笔记本电脑设备,就有生物识别技术了,比如指纹识别、人脸识别、语音识别。”腾讯小Q机器人负责人方琎向腾讯科技谈到,现在可穿戴设备可以拥抱这些生物识别技术,但同样不能忽视存在的隐私保护问题。
Google Glass确实正受到监管部门的高度关注与担忧。因为佩戴者可以随时带着谷歌(微博)眼镜拍摄照片、或是录音录像,并随时分享到互联网上。曾帮助LG、沃达丰和富士通等客户设计产品的PDD公司的首席设计创新师奥利弗-斯托克斯(Oliver Stokes)谈到:“一想到你可能会无意中成为别人收集数据的工具,这简直令人感到不寒而栗。谷歌已知道你在哪里,你在寻找什么。现在,它准备弄清楚你在看什么。”
近期就在谷歌眼镜拉开全美宣传攻势之时,他们也承认Google Glass登陆欧洲的时间或将推迟,原因是在欧洲各国的隐私保护标准和监管机构各不相同,会严重拖慢谷歌眼镜的推出。(不要忘了,Google至今都还面对着因违反法国隐私数据保护规定而开出的40万美元的罚单。)
今年3月位于美国西雅图的5点咖啡馆在Facebook明令禁止谷歌眼镜佩戴者进入咖啡馆;新泽西州博彩业执法当局甚至允许当地赌场禁止谷歌眼镜,随之而来的还有全美影院主协会……可以想象,生活中有那么多公共场所都有着绝对的隐私需求:健身房更衣室、俱乐部、警察局、银行等等。
一位不愿具名的业界人士向腾讯科技同样表达了隐忧。“在互联网上基本没有隐私可言,现在的棱镜门就是最好的例证。”这位人士认为,互联网同样存在伦理道德,可穿戴设备因为随身便携性,很容易记录数据。尽管中国可穿戴设备发展尚处早期,但越早考虑到隐私信息保护立法的问题,越容易明确互联网伦理道德应坚守的边界。