身分驗證技術(shù)的未來

　　密碼是計算器時代開始之后最棘手的一項發(fā)明。容易記的密碼很不安全，而強度高的密碼很難令人容易記住。即使提供了更簡便、更通用的登入程序，人們還是渴望能有容易使用，又足夠安全的驗證方案。

　　今天，你的密碼或許在幾分鐘甚至幾秒內(nèi)，就會被黑客破解。這個很少人愿意正視的事實，在萬物聯(lián)網(wǎng)(Internet of Everything)浪潮來襲的今天，正逐漸形成極大的安全隱憂。

　　長久以來，我們用來保障隱私數(shù)據(jù)，驗證身分的密碼，一直是由符號、數(shù)字和字母組成。過去十幾年來，一般用戶的密碼從4位、6位逐漸加長，需要的內(nèi)容組合也從單純的數(shù)字升級到需要搭配字母和特殊符號。這一切手段，都是為了實現(xiàn)安全的身分驗證。但說來有些可笑，不斷升級的計算器性能，也恰好為黑客們提供了破解高級加密保護的足夠運算能力。

　　因此，在運算無所不在，從門禁、監(jiān)控系統(tǒng)、車聯(lián)網(wǎng)、家庭網(wǎng)絡(luò)到隨身電子設(shè)備都已經(jīng)實現(xiàn)連網(wǎng)的今天，我們要為這些攸關(guān)生命財產(chǎn)安全的設(shè)施配備傳統(tǒng)的身分驗證密碼技術(shù)，或是選擇更加新穎的生物特征識別技術(shù)?許多創(chuàng)新的生物特征技術(shù)，都是以用戶身上的特征，作為進入系統(tǒng)的門鑰。目前從語音，指紋、虹膜到掌紋辨識都已經(jīng)實現(xiàn)了商業(yè)化;而在未來，我們要思考的是，有沒有可能讓設(shè)備們彼此進行身分驗證，從而創(chuàng)造出一個具備自我保護能力的個人網(wǎng)絡(luò)?

　　你就是密碼

　　從包含臉部識別、虹膜掃描、指紋、掌紋、掌形、DNA、語音識別在內(nèi)的生理識別，到步態(tài)識別等行為特征識別，以用戶身體特征作為測量技術(shù)的生物識別技術(shù)。人，已經(jīng)成為了密碼。

　　每個人身上都有許多無可取代的生物特征，可作為識別密碼。指紋掃描已經(jīng)非常普遍，指靜脈識別系統(tǒng)也已獲得了商業(yè)化應(yīng)用。接下來，過去最常出現(xiàn)在電影場景中的虹膜掃描，也正憑借著其高度獨特性和難以復(fù)制的優(yōu)勢，開始受到廣泛矚目。

　　虹膜掃描結(jié)合了計算器視覺、模式識別、統(tǒng)計推斷和光學等多樣技術(shù)。在今天眾多生物識別技術(shù)中，虹膜辨識是公認最準確的一種。沒有任何人的虹膜是相同的，即使基因相同的雙胞胎依然擁有完全不同的虹膜。只要不是太嚴重的傷害或重病，虹膜的特征終生不變。

　　每一個人的虹膜都具有極獨特的圖案，這些獨特圖案是在子宮內(nèi)就形成的。虹膜是一個能調(diào)節(jié)瞳孔大小的肌肉，主要用于控制進入眼球的光線由于該技術(shù)是掃描虹膜的獨特圖案，與視覺無關(guān)，因此失明的人也能使用虹膜掃描技術(shù)進行辨識。

　　一般來說，虹膜相機是先取得虹膜圖案的數(shù)碼相片，再重制出一個加密的虹膜圖案數(shù)字模板。加密的模板無法被重制或重現(xiàn)任何形式的視覺影像，因而虹膜識別可提供最高級別的身分防御措施。另外，虹膜攝像機通常使用紅外光，并不會對眼睛造成不適或傷害。

　　目前虹膜識別系統(tǒng)已經(jīng)用在邊境口岸、航空安全、數(shù)據(jù)庫訪問、醫(yī)院等領(lǐng)域。但未來，該技術(shù)在消費市場的潛力也相當可觀。截至目前，虹膜辨識技術(shù)已在愈來愈多的應(yīng)用中嶄露頭角。三星稍早前便透露很可能在Note 4中采用虹膜辨識技術(shù);另外，稍早前已有研究人員發(fā)表運用虹膜辨識作為付款機制的項目，商用化的機率非常大。

　　除了虹膜，早年僅在電影中的高科技場景出現(xiàn)，看似高不可攀的臉部和聲紋驗證，現(xiàn)在已搭載在許多隨手可得的設(shè)備中了。安卓手機具有臉部辨識能力，能判斷用戶心情的App──經(jīng)由心跳的變化速率來判讀用戶情緒──也早已問世。

　　盡管現(xiàn)今有許多生物識別技術(shù)開始步入日常生活，但人們會100%信任生物辨識技術(shù)嗎?特別是在與居家安全或金融相關(guān)的應(yīng)用中，生物識別技術(shù)可能要花更多力氣才能說服使用者?；蛟S，更有可能的情況，是將生物特征識別和傳統(tǒng)密碼結(jié)合的雙重驗證應(yīng)用。當你的手機，或你的門禁系統(tǒng)識別出你的臉、指紋或掌紋、虹膜或聲音之后，還必須搭配一組你自行設(shè)定的密碼，才能將之解鎖。

　　密碼將會消失?

　　科技的進展讓我們快速實現(xiàn)了過去僅限于想象的技術(shù)，而且所有的先進技術(shù)都迅速消弭了跨入消費領(lǐng)域的障礙。但作為讓人與機器連結(jié)更加緊密的技術(shù)，生物識別是否真如我們想象中安全，難以破解，仍然有待驗證。

　　在生物辨識技術(shù)向前發(fā)展的同時，傳統(tǒng)密碼遭遇的挑戰(zhàn)也愈來愈大。人們設(shè)定的密碼大多有所依循，且絕大多數(shù)與自身有關(guān)聯(lián)。這是密碼為何輕易在黑客攻擊后泄露的最主要原因。完全采用粗糙的偽隨機復(fù)雜字符串組成的密碼能讓黑客卻步，但卻會為難更多用戶。而生物辨識技術(shù)則將我們身上的一部份變成密碼。不必再擔心是否忘了帶門禁卡、手機或其他設(shè)備。

　　不過，要實現(xiàn)這個理想，技術(shù)上仍需要非常大的跨越。包括谷歌(Google)在內(nèi)的許多公司，正藉由集結(jié)廠商組成聯(lián)盟的力量，為未來的身分驗證尋找新的方法。因此，包括EyeLock、Netflix、Google、Paypal等118個會員公司，在2013年共同成立了FIDO聯(lián)盟，旨在創(chuàng)新更簡單、安全性優(yōu)于傳統(tǒng)密碼的嶄新標準。

　　FIDO聯(lián)盟創(chuàng)辦人暨主席Ramesh Kesanupalli指出，目前業(yè)界面臨的最大挑戰(zhàn)，是如何找到一種維持平衡的方法。首先，大多數(shù)的互聯(lián)網(wǎng)用戶的密碼都相當脆弱。據(jù)調(diào)查，有高達76%的網(wǎng)絡(luò)用戶都習慣為多個網(wǎng)站采用相同的密碼。而大部份的密碼都不難破解。盡管愈來愈多網(wǎng)站采用雙重身分認證機制，但Kesanupalli認為，長久來看這并不是可行的解決方案，因為雙重身分認證系統(tǒng)的成本較高，過程繁瑣，且會大幅增加登錄過程的困難度。

　　而FIDO創(chuàng)建宗旨就是創(chuàng)造出強度非常高，但能讓用戶簡單驗證的密碼。FIDO標準的關(guān)鍵之一是通用認證框架(UHF)，據(jù)稱能完全讓用戶從繁瑣的密碼中解放出來。已通過FIDO認證的設(shè)備和軟件將會產(chǎn)生針對站點和服務(wù)的安全密鑰。當用戶導(dǎo)航到任何一個站點時軟件都會傳送密鑰。反過來，站點也會要求用戶證明其身分。用戶可利用各種驗證方法來響應(yīng)這些要求，例如虹膜認證。

　　FIDO的主要特性之一是能夠完好保存敏感信息，如生物特征數(shù)據(jù)。用戶的生物特征ID由本地設(shè)備儲存，并不會被傳送到網(wǎng)絡(luò)站點去。更重要的是每一個站點都具有一個獨特的、用戶永遠不需要知道的非對稱式密鑰。

　　許多IT/互聯(lián)網(wǎng)產(chǎn)業(yè)的知名公司，都關(guān)注著下一代身分驗證技術(shù)的進展。AOL公司消費識別服務(wù)部首席架構(gòu)師George Fletcher指出，下一世代的識別管理中，識別技術(shù)的重要性將遠勝過憑證驗證。過去讓用戶輸入正確密碼的做法已經(jīng)過時，“我們必須為身分驗證考慮更多因素，以保障用戶或設(shè)備的存取安全。”隨著物聯(lián)網(wǎng)逐漸成為一種標準概念，未來廣大的用戶將面臨更大難題──無論是人或設(shè)備，究竟誰有權(quán)利能訪問我的溫度控制器?我又將如何賦予他們權(quán)限?

　　Monsanto公司首席架構(gòu)師Anthony Randall認為，下一世代的識別管理將是收斂的。“這一切都和后臺系統(tǒng)到前臺流程的運作有關(guān)。人們需要連網(wǎng)，需要按需求提供的服務(wù)，需要個人化，以及能讓用戶與其服務(wù)供貨商互動的自我控制功能。因而我們必須提供足夠人性化的前端信息系統(tǒng)，能讓人們輕易和設(shè)備展開互動。”

　　未來身分識別管理的挑戰(zhàn)

　　在萬物聯(lián)網(wǎng)成為主流趨勢的今天，Randall指出，用戶體驗是一個巨大挑戰(zhàn)，他們希望在任何地方、任何時間都能訪問。另外，從幼童到老人，有許多有著特殊需求的用戶需要簡化他們的在線互動體驗。云端解決方案能幫助做到這些目標，而服務(wù)供貨商則必須確保用戶的隱私，以及用戶/企業(yè)數(shù)據(jù)的安全。

　　“隨著物聯(lián)網(wǎng)時代來臨，未來會有更多設(shè)備彼此之間能夠交談，或受到遠程控制，因此，我們必須有更好的安全模型，否則可能會出現(xiàn)冰箱受到遠程控制，進而去攻擊你的燈泡的事情。"FIDO Alliance總裁Michael Barrett說。然而，在這個層面上，迄今所有需要的技術(shù)仍在發(fā)展中。

　　Randall認為，密碼和PIN可能會永遠存在，但接下來可能會發(fā)生較大幅度的變化。例如生物特征識別技術(shù)可提供比密碼更強大的安全性，在醫(yī)療和銀行等領(lǐng)域被采納的程度甚至超越傳統(tǒng)密碼。另一方面，大數(shù)據(jù)的發(fā)展概念也促進了新一代識別技術(shù)的發(fā)展，數(shù)據(jù)不僅可用來辨識用戶身分，還可能用來確認用戶想做什么。

　　AOL的Fletcher同意這個觀點。他指出，整個產(chǎn)業(yè)正在發(fā)生轉(zhuǎn)變。未來用戶使用密碼的方式將會全然改變。傳統(tǒng)的密碼仍將被用在一些驗證流程之中，但不會是未來主流的身分驗證機制。當然，要做到這些改變，仍將取決于新的身分驗證技術(shù)是否足夠容易讓用戶接受。

　　實際生活中，安全與方便性正在進行著一場長久的拉鋸戰(zhàn)?；蛟S長達64位偽隨機密碼能讓我們感受到安全，但如果是要在僅有一個觸控屏幕的手持裝置上輸入呢?Barrett認為，密碼會緩慢死去，但這個過程會非常漫長。“我們正在展開一個為期多年的轉(zhuǎn)折期──人們將開始采用更好的密碼替代方案，例如生物識別。隨著時間推移，密碼將變得不那么普遍，我想，大多數(shù)人都將采用其他方法在日常生活中進行身分驗證。”

　　我們需要的不過是一個密碼，能讓我們免于被駭或設(shè)備被盜時數(shù)據(jù)損失的風險。未來我們的智慧手機、門鎖，或是任何一項聯(lián)網(wǎng)商品及服務(wù)，將會采用什么樣的驗證手段?破解難度更高的生物識別技術(shù)看來潛力很大，而且將成為推動下一波信息科技發(fā)展的關(guān)鍵。正如FIDO的Barrett所說，我們已經(jīng)經(jīng)歷了幾個發(fā)展階段，身分驗證正在進入成熟階段，當所有的技術(shù)都匯集在一起時，強大的驗證能力將成為信息科技發(fā)展的關(guān)鍵。