指紋刷臉生物識別技術：更安全還是更危險？

酒店入住時，刷臉就能免交押金；飯店付款時，按指紋就可以買單；甚至走近家門，智能硬件就能識別主人身份自動將門打開……這些只出現(xiàn)在科幻片中的炫酷場景，依賴于生物識別技術的推廣，未來將進入普通人的生活。

由普通的賬號密碼驗證體制到生物識別體系，會讓互聯(lián)網(wǎng)變得更安全嗎？賬號密碼被盜，更改密碼就可以，但生物識別信息都是唯一的，如果被盜其影響將是終生的，某種意義上說，豈不是更危險？

炫酷的生物識別

科技圈這兩年最炫酷的，當之無愧是生物識別技術。一些手機已支持指紋解鎖、指紋支付，但尚未大面積普及。

身份認證是互聯(lián)網(wǎng)的基礎應用，在傳統(tǒng)互聯(lián)網(wǎng)時代，注冊、登陸、支付等等行動都需要確認身份。但系統(tǒng)很難辨別用戶輸入身份信息的真實性，“你永遠也不知道互聯(lián)網(wǎng)對面是個人還是條狗”。

生物識別和大數(shù)據(jù)時代的到來，本質上改變了這種現(xiàn)狀。指紋、人臉、掌紋、眼紋、虹膜、人的DNA，各種可穿戴設備對人的健康信息的采集等，都將成為生物識別的數(shù)據(jù)。這些信息都是第一無二的，就像世界上沒有完全相同的兩片樹葉一樣。

應用生物識別技術，并配合大數(shù)據(jù)，在身份認證時能做到精準識別一個人，而非一個賬號。通過網(wǎng)絡獲取用戶的真實身份變成可能，整個信用體系交易成本將極大降低。

炫酷的生物識別技術也受到了年輕人的歡迎，他們追求極致炫酷的用戶體驗，未來很多場景都可以刷臉刷穿戴式設備通過，更遠的未來，甚至可以省略掃描過程，科幻場景完全可能變?yōu)楝F(xiàn)實。

呼喚行業(yè)標準

谷歌新推出安卓M操作系統(tǒng)、蘋果推出指紋識別系統(tǒng)，各大巨頭都在試圖開發(fā)生物識別，但國際上并未形成統(tǒng)一的行業(yè)標準。

這個風尖浪口上，螞蟻金服倡導成立了網(wǎng)絡可信身份認證產(chǎn)業(yè)聯(lián)盟互聯(lián)網(wǎng)金融分會（IFAA），試圖形成一個統(tǒng)一的技術標準，引領行業(yè)健康發(fā)展。

6月18日，IFAA由螞蟻金服發(fā)起成立。合作伙伴包括三星、華為、中興、OPPO、酷派等手機廠商，以及高通、握奇等為代表的芯片廠商、安全廠商、算法廠商、檢測機構，試圖將產(chǎn)業(yè)鏈各方融入其中。

螞蟻金服安全產(chǎn)品技術部資深總監(jiān)馮春培認為，傳統(tǒng)互聯(lián)網(wǎng)做的是識別賬號，但賬號有可能被盜，被他人操作，在互聯(lián)網(wǎng)金融領域，要做得更安全，就需要識別人，了解是否是本人在進行操作。

“未來真正能識別一個人可能不是通過密碼，也許通過其他的關于你個人本身的一些特征，你是獨有的，別人很難去模仿復制。在這種意義上，生物識別讓互聯(lián)網(wǎng)變得更安全”，馮春培稱。

更安全？更危險？

安全與危險從來都是相對的。

青藤云安全CEO張福認為，生物識別技術可能讓互聯(lián)網(wǎng)變得更危險。網(wǎng)絡黑客黑產(chǎn)一直存在，傳統(tǒng)的賬號信息泄露，可以通過修改密碼解決，但生物信息泄露，難以更改?！澳阒挥惺畟€手指頭，這些指紋信息都是唯一的，如果泄露對人產(chǎn)生的影響是終生的，基本沒有方法可以修復”。

互聯(lián)網(wǎng)發(fā)展史中，我們仍可以找到類似的例子。

2007年，韓國引入網(wǎng)絡實名制。其初衷是打擊當時盛行的網(wǎng)絡暴力和網(wǎng)絡犯罪，讓互聯(lián)網(wǎng)變得更安全。

但推行實名制的同時，信息安全機制沒有跟進。當時韓國黑產(chǎn)盛行，黑客們攻擊網(wǎng)站，輕而易舉就可以獲得用戶的個人信息，導致大批量個人隱私信息泄漏，滿網(wǎng)橫飛。

網(wǎng)絡實名制與保護用戶信息安全發(fā)生巨大的矛盾，韓國民眾被激怒，強烈要求政府取消實名制。

2012年8月，韓國不得不宣布取消實名制。

一項旨在讓互聯(lián)網(wǎng)變得安全的舉措，反而讓互聯(lián)網(wǎng)變得更不安全。生物識別技術的推廣，如果只是追求炫酷，而忽視信息安全，將可能面臨韓國當年的命運。

螞蟻金服也意識到這點，“保護生物信息的安全，是最為重要的，必須比傳統(tǒng)的賬號保護更高級更嚴密”，馮春培說。

握奇數(shù)據(jù)開發(fā)了一套保護生物信息的安全系統(tǒng)，其高級產(chǎn)品經(jīng)理楊子光稱，生物識別數(shù)據(jù)非常安全，比如手機用戶用指紋進行支付和交易，指紋信息會加密存儲在手機隔離區(qū)中，不會上傳到云端。

用戶需要支付時，數(shù)據(jù)不會聯(lián)網(wǎng)，會在可信執(zhí)行環(huán)境中進行指紋數(shù)據(jù)的校驗，“就像一個進行了物理隔離的信息孤島，這個孤島只有一個入口一把鑰匙，“楊子光稱，這把鑰匙只在手機商的手中，即便手機丟失，也沒有人可踏入孤島獲取生物數(shù)據(jù)。

目前來看，生物數(shù)據(jù)是相對安全的。但黑客攻擊能力也在不斷提升，恐怕要不斷提高防守能力才能阻止黑產(chǎn)侵襲。