擔心指紋外洩不敢比 YA 自拍?終極安全登入技術:使用者習慣識別杜絕盜帳號

作者 | 發布日期 2017 年 01 月 16 日 8:42 | 分類 資訊安全 follow us in feedly

最近有新聞指拍照用 YA 手勢有機會把自己的指紋資料外洩,惹來一些恐慌。其實有部分資訊安全新聞純粹只是在實驗室等限定環境下才能實現,因此未必需要太恐慌。不過指紋的確算不上是十分安全的生物辨識方式,現在愈來愈多生物辨識登入技術出現,甚至不用任何生物特徵也可以。




不用怕 YA 手勢自拍啦、需要太多因素配合

日本產經新聞早前報導引述日本國立情報研究所發現,指如果人們在離鏡頭 3 米距離內拍照時,最好不要用 YA 手勢,因為現在的拍攝設備能拍攝極高像素,YA 手勢會暴露食指的指紋,放大的話能有足夠的精細度被讀取複製,可用來破解指紋辨別的安全系統。

不過這次的日本研究其實比較「實驗室」,因為需要很多因素配合才能真的達到。例如照片晝素要夠高、解像度清晰、光線也要充足,一張在室內派對的手機自拍照,實在很難相信也能做到同樣效果。而 Unwire.pro 之前報導過的,如利用散熱孔和電磁波破解加密、外送隔空竊取電腦密鑰都只是實驗室驗證,要在真實裡做到非常困難。

因此筆者並不擔心舉 YA 手勢有什麼安全隱憂,比較起來,筆者拒絕 YA 手勢只是因為擔心自己會看起來像成龍。

來源:Unwire Pro 不得重複使用

指紋其實一早已非安全的認證方式

其實今天已能在很多領域使用指紋辨別來代替密碼登入,尤其手機也開始內建指紋辨別設備後,不少銀行程式、支付工具、手機錢包也開始支援。隨著指紋保安應用愈普及,像這類有關指紋辨別安全性的報導也愈受到消費者留意。

事實上指紋並非那麼高等級的辨別方式,但由於是最方便快速的方式,因此才能普及到不同層面。打從 iPhone 支援 Touch ID 開始就已經有人破解,2013 年德國知名駭客 Starbug 更只用了 30 小時就破解了 Touch ID,他當時更直言「Touch ID 只是增加了便利性而不是安全性」。

指紋在 19 世紀末開始被警察作為辨別罪犯的方式,以當時技術來說已是相當先進,而且因為犯罪大多需要用上雙手,因此指紋作為這種生物辨識方式仍被很廣泛應用。但這並不代表指紋是一種好的辨識方式,有些人會天生指紋較淺而難識別,亦有因「富貴手」等問題而導致指紋較難讀取,更別提技術上能偷取及偽冒指紋。

生物識別既要安全、更要效率和成本

目前較普及又能取代指紋的生物識別技術,包括臉容、語音、掌紋、虹膜等,即使同樣也是伸出手指,除了指紋之外亦可以識別手指的靜脈分佈。例如日立就推出一款只需把 4 隻手指對著鏡頭就能靜脈認證的技術,由於靜脈認證必須有血液流動,因此就不用怕拿著照片也能偽冒的問題。

事實上生物辨識技術並非只看安全性,也必須考慮認證速度、成本等問題。最能準確辨別的當然是  DNA,但想想也知道不可能把它內置到手機裡(起碼目前技術啦),而且技術也做不到快速的識別。要實用化的話,就必須在現有硬件或技術下做到,因此像日立那種能用現有手機就做到的便相當有意思。

例如最近中國春運開始,廣州火車站引入了人臉識別的自助驗票閘口,以杜絕黃牛車票。以前人手驗票速度較低,而引入人臉識別就有助快速疏導旅客。日本也有案例是利用人臉識別來取代傳統的演唱會印刷門票,不僅驗票速度提升也有助杜絕黃牛票。

多重因素認證更安全、但難免麻煩消費者

其實大多數資訊保安專家都認同,並沒有哪一種辨識技術是絕對破解不了的,因此專家都推薦雙重身分認證(Two factors Authentication)。簡單點說就是除了密碼之外多使用一個驗證方式,來使登入者身份較為可靠,例如使用兩重密碼,或是使用簡訊密碼,當然生物特徵也可以是其中一環。

類似的技術已經被 Google 和 Microsoft 等大型網上服務供應商採用,他們辨別的方式是登入者的位置、裝置、操作平台等,例如香港人很少會在俄羅斯登入,如果在陌生地點用陌生裝置登入就需要強制作多一重認證,而這其實算是一種針對「裝置特徵」的辨別技術。

但雙重身份認證難免會有消費者感到麻煩,若消費者覺得麻煩而拒絕使用,絕對只是本末倒置。因此更加終極的認證方式也出現了,那就是使用者習慣辨別。這既是生物特徵但又毋須掌握消費者哪一身體部位的特徵,因為它其實是靠掌握使用者的一些難以察覺的個人習慣而辨別,包括輸入密碼的速度、力度、間隔等,極難模仿。

辨識使用者輸入習慣、密碼外洩也駭不了

筆者在新加坡就曾訪問一家做使用者習慣辨別的初創公司 Solus,主要提供技術給銀行和政府機構。使用者只需像平常般輸入一組密碼就可以了,但系統背後會記錄登入時的輸入密碼的速度、力度、間隔等習慣。在會場向筆者展示時甚至把密碼貼在桌面任看也無妨,因為沒有人能模仿到輸入習慣,就算密碼外洩也登入不了。

據 Solus 表示全球已有 50 家銀行機構採用,平均一年處理 15 億筆登入。厲害的是不管在手機還是桌面電腦也能有相同效果。而 Solus 本身亦有研發如隨機位置的密碼鍵盤、利用雙眼位置大小距離等特徵的生物辨識的技術,系統會利用多重技術計算每次登入的分數,符合輸入習慣和雙眼特徵才准許登入。

比起指紋、虹膜、人臉之類,輸入習慣不涉及任何個人身體特徵,換言之也不會儲存任何敏感資料,甚至不會記錄登入者的地理位置,其實是相當能令消費者安心的技術,隱私問題較少。不過就像保安專家建議一樣,最好不要盡信一種驗證方式,多重驗證仍是最可靠的保安方式。

(本文由 Unwire Pro 授權轉載) 

關鍵字: , ,

發表迴響