陳紀英

還有比數(shù)字密碼更保險的嗎？

為了更安全，人們在不斷復雜化密碼：數(shù)字、大小字母、下劃線、八位以上等等。有的人，在不同的網(wǎng)站要有不同的賬戶和密碼。

以工行銀行卡為例，它有網(wǎng)銀密碼，數(shù)字移動證書密碼，這很容易記混，也可能因為連續(xù)多次輸錯密碼，導致銀行卡被凍結(jié)。

如此考驗記憶能力、用戶體驗不好的數(shù)字密碼，真的絕對安全么？答案當然是否定的，當中國最大的在線旅游服務(wù)公司攜程網(wǎng)宕機之后，用戶擔心其信用卡信息會泄露。

那些一流的黑客，還有安全專家們相信，數(shù)字密碼即將過時了。那么，取代它的是什么？

生物識別

就在攜程網(wǎng)站癱瘓的同時，谷歌開發(fā)者大會在美國如期舉行，最引入注目的亮點就是谷歌主導的安卓系統(tǒng)推出了官方的指紋識別功能，Android Pay兼容于三星、摩托等廠家的指紋識別技術(shù)，同時也將會更加的安全，更具有普適性。

其實，早在2014年，蘋果就推出了指紋識別的手機，在那之后，指紋識別功能逐漸成為手機行業(yè)的新風尚。

斗象科技聯(lián)合創(chuàng)始人兼COO謝忱，作為白帽黑客，深諳黑客圈的秘密，他公司旗下的Freebuf.com是國內(nèi)最大的安全社區(qū)和新媒體。根據(jù)謝忱解釋，指紋識別的本質(zhì)，在于通過設(shè)備端（例如手機或者平板電腦）輸入指紋腳本，然后為用戶建設(shè)一個全球唯一的指紋ID。此后，無論是在何時何地使用這臺設(shè)備，無論使用任何應用或者瀏覽任何網(wǎng)頁，指紋ID都可以識別這臺設(shè)備。

比起數(shù)字密碼，指紋識別應該安全很多。而且，相比一長串考驗記憶力的數(shù)字密碼來說，指紋識別更為簡單易用。但是，指紋識別同樣也不是絕對安全的。

去年12月，黑客網(wǎng)絡(luò)混沌電腦俱樂部的會員Jan Krissler宣稱，他僅僅使用一套商業(yè)軟件和幾張照片，就復制出德國國防部長馮德萊恩的指紋。

就在此前兩個月，馮德萊恩發(fā)表演講時，Jan Krissler使用一部普通相機，從不同角度拍攝，抓捕到了馮德萊恩的手指照片。之后，克里斯勒使用一張?zhí)貙懙闹讣y照，再利用一套商用軟件，復制出了馮德萊恩的指紋。

此后，研究人員發(fā)現(xiàn)，隨著類似指紋掃描儀等機器的技術(shù)提升，一些假指紋可以成功欺騙iPhone5s手機。但是，蘋果也在提高其指紋識別技術(shù)，因此，如果假指紋要想成功欺騙iPhone6，則必須非常清晰、比例準確、所放的位置也要準確，此外還要足夠厚。因此，對于一般的惡意網(wǎng)絡(luò)攻擊者來說，難度很大。

除了指紋識別，生物識別的技術(shù)還包括人臉識別、虹膜識別等等。過去，這些技術(shù)只在科幻電影一閃而過，或者蝸居在冷清的實驗室里，但是現(xiàn)在，借助各種智能終端的普及，這些技術(shù)走出了實驗室。

今年3月，微軟宣布Windows 10將引入生物識別認證，指紋、虹膜和臉可以代替密碼。

微軟的系列產(chǎn)品比如Windows Hello，不僅僅適用于個人，也適用于政府、國防、金融、醫(yī)療保健和其他組織等。微軟方面聲稱，其誤識率在十萬分之一以下，“照片和自拍騙不了Windows Hello?！?/p>

不過，盡管技術(shù)已經(jīng)逐漸成熟，但是數(shù)字密碼之所以仍然占據(jù)主流地位，關(guān)鍵的制約因素依然是硬件。

以Windows Hello為例，其需要匹配的專業(yè)硬件，包括指紋讀取器、紅外傳感器和其他生物傳感器等。因此，用戶必須有這些專門的硬件，同時還有Windows 10系統(tǒng)，才能正常使用所有功能。再以指紋識別為例，目前，仍然只有蘋果手機，以及三星和華為的部分高端手機，才提供指紋識別的功能。

而華為方面告訴《中國新聞周刊》，指紋識別技術(shù)之所以沒有普及到所有手機，是考慮到成本因素，“雖然這個傳感器本身不是很貴，但現(xiàn)在，很多中低端智能手機基本上沒啥利潤了。”

由于硬件普及的滯后，考慮到用戶體驗的穩(wěn)定性，因此很多應用并不會快速普及指紋識別的功能。

大數(shù)據(jù)的立體防控

除了生物識別技術(shù)的引進，另一重防控體系則依賴于大數(shù)據(jù)。

由于每個網(wǎng)民都是多個網(wǎng)站和移動端應用的用戶，其個人信息也呈碎片化分散于多個地方，而狡猾的黑客，可以從招聘網(wǎng)站找到就業(yè)信息，在婚戀網(wǎng)站找到家庭信息、情感狀況，再通過購票網(wǎng)站找身份證，最后把這些信息全部拼湊在一起，關(guān)聯(lián)起來盜取用戶的賬號和密碼。

在侵入端，黑客運用大數(shù)據(jù)的技術(shù)已經(jīng)相當嫻熟;而在防守端，互聯(lián)網(wǎng)公司之間可以共同合作，比如A網(wǎng)站獲得所有攻擊者IP地址，B網(wǎng)站也有這些信息，通過建立共享平臺，共享數(shù)據(jù)庫，勾畫出黑客的入侵蹤跡和攻擊手段，可以給這個IP打上惡意的標簽，然后進行共同防御和定點打擊。

除了跨網(wǎng)站和跨應用的合作，公司內(nèi)部亦可以利用大數(shù)據(jù)來識別黑客，以支付寶為例，“盜走了密碼也盜不走錢”。

過去只出現(xiàn)在科幻片中的生物識別，未來將逐漸取代數(shù)字密碼。圖/GETTY 圖片編輯/董潔旭

網(wǎng)民們之所以擔心賬戶被盜，第一是擔心隱私泄漏，第二則擔心錢財丟失，而對于旨在牟利的黑客們來說，互聯(lián)網(wǎng)金融賬戶無疑是重點攻擊對象。而對于所有的金融賬戶來說，能否防止盜走錢財才是安全防控是否成功的核心。

支付寶風控大腦的核心邏輯是“認人，而不只是識別數(shù)字密碼”。具體來說，風控大腦會根據(jù)一些維度來對用戶行為進行判斷并打分。打分高，說明風險系數(shù)比較高。打分因素則包括：賬戶、設(shè)備、位置、行為、關(guān)系、偏好等因素，每一個大類里面都會包含很多細分策略，而這樣的策略總計有10000條左右。不過，風控大腦運算這些復雜策略的時間很快，平均為0.15秒，所以前端用戶基本上是毫無感知。

以行為維度為例，每個人觸控手機屏幕的方式不同，而手機上是有很多傳感器的，所以可以通過指壓、接觸面積、重力變化、連續(xù)間隔時間等，幫助判斷是否主人操作。

再比如，關(guān)系維度。黑客在獲取用戶密碼之后，要把錢轉(zhuǎn)移到另一個賬戶。如果第二個賬戶和用戶從未有過資金往來，和用戶的朋友們也沒有過資金往來，風控大腦就會提高警覺，而如果這個賬戶曾經(jīng)有過不良記錄，或者和黑名單賬戶有過某些交集，風控大腦很可能就會攔截此次轉(zhuǎn)賬，然后要求二次驗證。

其實，不僅僅是支付寶，包括騰訊的微信賬戶等，同樣會對可疑行為進校驗。

目前，短信校驗（短信驗證碼）是最常見的，不過，以后這種校檢方式也會被逐步取代，更多不易被泄露或者截取、安全性更高的校驗方式將會出現(xiàn)。

比如，當你在新的設(shè)備登陸微信時，微信會判定此次登陸行為異常，要求你在一堆頭像中選出微信好友。再比如說，“別輸入短信校驗碼了，來刷個臉吧?！?/p>

螞蟻金服高級安全策略專家馮力國認為，互聯(lián)網(wǎng)公司將通過生物識別和大數(shù)據(jù)的方式來保證安全。而用戶需要做的事情可以最少，甚至有一天，用戶壓根可以不需要記住數(shù)字字母密碼，用戶本人就成為密碼本身了。只有這樣，安全可靠和用戶體驗這對矛盾體，才能同時被兼顧。

謝忱則告訴《中國新聞周刊》：“攻防之間是永遠不停息地對抗博弈，防守也在不斷進步?！?/p>

然后謝忱補充說，黑客的攻擊對企業(yè)來說并非壞事，企業(yè)會提高安全意識，修補安全漏洞。

僅以攜程為例，這家公司過去一年，斷斷續(xù)續(xù)出現(xiàn)了多起安全事故，而最近的這次事故，導致其系統(tǒng)癱瘓達到12個小時之久，而每個小時的損失可能高達百萬美元。

“這次教訓蠻大的，我們內(nèi)部也在反思，再不能出現(xiàn)這種錯誤了。”攜程內(nèi)部人士告訴《中國新聞周刊》。