比存錢更重要的是?密碼安全與身份認證漫談
▲ 中國春節最熱活動 圖源
最近春節,已是個大孩子的你,放鞭炮之類的娛樂估計也玩不了,所以最熱衷的事情,不外乎葛優躺搶紅包集五福了。人緣夠好,說不定也達成了某個「小目標」。
不管攢到的是現金還是電子紅包,你總需要把這些錢放在一個地方,比如銀行、支付寶、理財或者基金賬戶甚至是保險箱。無一例外,最終大家都繞不開一樣東西:密碼。
是的,密碼不僅是我們保障財產安全的大門,也是保護個人隱私的工具。
這年頭,隨著「青年健忘症」和「懶癌」的盛行,能記住自己全部密碼人已經不多了 —— 話說回來,什麼樣的密碼才安全呢?
什麼樣的密碼才安全?
密碼,是人類保障財產和祕密最常見的安全防護手段,是「鑰匙開鎖」的非物質化形式。我們日常所說的密碼,主要是指那些為了登入、檢視、修改、授權等操作所需身份驗證的「數字 / 字元組合」。 其本質是系統對使用者進行「身份認證」—— 即確認你就是你。
為實現身份認證,系統需要使用者先設定一個「只有自己知道的數字 / 字元組合」,驗證時,系統認為能提供「數字 / 字元組合」的人就是使用者本人,從而實現授權操作。
無需多言,我們能感受到這種認證方式是有些問題的,因為密碼很容易被他人盜用或攻破:可以猜想得到,可以窮舉得到,可以偷窺得到,甚至可以暴力迫協得到。
▲ 密碼已成為現代人類最重要的資產之一 圖源
為了防止密碼被猜想或破解,系統要求使用者進一步增加密碼「強度」,所謂強度,其實就是要求「不易猜想」和「提升複雜程度」,具體地說就是不要使用生日、姓名等使用者相關的顯性特徵資訊,不要使用 8 位數以下密碼,區分大小寫,一定要數字、英文組合,在此基礎上,還要做到密碼分級(不同賬戶使用不同密碼),一些系統還強制要求使用者必須「定期更換密碼」,更變態的是還包括「歷史密碼不能複用」等一系列反人類的要求…… 很明顯,系統設計者對安全的要求與使用者作為「人」趨簡避繁的習慣完全矛盾。
為了省事兒,使用「000000」作為手機開鎖密碼一直大有人在。同時,相關資料顯示,不管安全專家多麼努力要求人們提高密碼安全意識,連續多年來,「123456」一直都是人們最喜歡使用的密碼。沒錯,上個月 Splashdata 剛剛公佈了「2018 最弱密碼」,「123456」毫無懸念榮膺第一,這也是它連續第 5 年登上榜首。(2013-2018)
▲ 美國明星 Kanye West 被媒體拍攝到使用 000000 作為鎖屏密碼
▲ 安全公司 SplashData 公佈的 2018 最弱密碼,123456 連續 5 年居於榜首
你以為只有普通人類才使用這麼糟糕的密碼嗎?並非如此!根據坊間新聞,烏克蘭軍方不少密碼用的 123456,而美國核彈發射密碼則是是八個 0……
回到普通人的世界,如果你想確保自己銀行財產和網路照片的安全,目前最好的選擇只能是設定更復雜的密碼 —— 想象一下,你的銀行卡、支付寶、微信零錢、股票基金和各種理財產品、以及 QQ、微信、微博、郵箱、各種論壇和 app 賬戶共需要多少密碼?更讓人絕望的是除了密碼,你還需要記住區別於密碼的「查詢密碼」和額外的「支付密碼」…… 一個正常人擁有的密碼早已超過上百個。出於安全的考慮,系統還經常建議你對密碼進行更換,要麼你需要更好的記憶力,要麼你按照賬戶型別設定密級不同的密碼分類……
這些越來越嚴厲的密碼建議非但不能解決問題,反而因為密碼遺失而導致了更多的損失和更痛苦的戶體驗問題 —— 特別是在比特幣的世界。
所以,無論密碼設定得多複雜,本質上都不安全:一枚隱藏的攝像頭,一個拙劣的釣魚網站,甚至密碼門鎖上的磨損痕跡…… 都能輕易摧毀你自以為安全且複雜的密碼。為了解決這個讓人頭痛的問題,人們又發明了「密碼管理工具」和「第三方認證登入」,但從安全的角度看,「將所有密碼放到一個加密籃子裡」的方式真的好嗎?
沒有安全的密碼。
讓密碼多一層保護:簡訊驗證?
由於單一密碼實在不能確保安全,所以行業會採到了一種安全策略:「雙因子驗證(Two-factor authentication)」。就是說,除了密碼,還要用另一種非密碼形式的驗證因素來確認使用者的身份,比如:優盾、口令卡、簡訊驗證、郵件驗證、安全證件驗證……
最終,手機與使用者的零距離特性,使手機簡訊 + 密碼雙重驗證成為了當下網路產品的身份驗證標配,其中密碼是使用者自己設定的,簡訊驗證是系統臨時下發給使用者,用來二次驗證使用者身份。通過簡訊形式疊加的雙因子驗證,為密碼多建了一道安全防線。它的驗證邏輯是:預設使用者的手機能接受驗證碼,驗證時你能提供驗證碼,說明手機在你手裡,所以你就是你。
還不夠安全合理。
簡訊驗證碼很容易被不法者拿到:手機複製卡、基站監聽、獲得簡訊許可權的惡意 App…… 都能拿到你的驗證碼。前段時間豆瓣網友「獨釣寒江雪」就因為被惡意監聽簡訊驗證碼而導致支付寶、京東及關聯銀行卡等一夜間被全部盜刷。基於此,簡訊驗證碼本身的安全性並不高,它只是提高了與密碼匹配使用時的「概率安全性」。
▲「簡訊嗅探」往往通過第 2、3 步來惡意擷取使用者的驗證碼 圖源
讓簡訊驗證成為標配的原因更可能是由於它的體驗簡單與成本低廉。相比其它軟硬體方式,簡訊驗證碼無需流量,無需安裝任何 App,也不需要任何外接裝置,即使最便宜的老式手機也能完成驗證碼獲取。並且為了讓簡訊填寫更便利,一些應用和系統還提供了「讀取驗證碼並自動填充」的功能,這當然意味著更大的風險 —— 有更多的渠道能夠獲得作為第二重安全保障的「簡訊驗證碼」。
因此,基於簡訊 + 密碼的驗證方式相對更安全了,但還不夠好,因為簡訊和密碼都是身外之物,無法做到法定或者生物意義上的身份驗證本質 —— 證明你就是你。
身份認證的高階形式
無論是密碼,還是驗證碼,這都是一種「許可權驗證」—— 即系統認為你有「許可權」進行操作(比如登入,查閱,取款、轉賬……),但系統並不知道你是否真的是你。也就是說,任何一個人或者一個機器人,甚至是一條狗,都可以假裝是你(只要擁有密碼和驗證碼),從而對系統進行欺騙。
密碼驗證屬於「實名認證」,就是用預設約定的「數字 / 字元組合」對使用者身份進行確認。在身份可信認證領域,「實名認證」是最低級別的認證方式,隨著身份認證應用領域的擴充套件,更高級別的要求是「實證認證」和「實人認證」。
實證認證是通過法定證件方式進行的使用者身份確認。比如,在銀行櫃檯辦理某些關係重大的業務時,你有密碼 + 手機驗證(實名認證)還不能證明你是你,必須用身份證件證明,這就是實證認證的一種方式。同樣,你要證明自己是某公司的法人?需要工商執照來證明;你要證明自己是某個房產的擁有者?需要不動產證來證明…… 這些證件都是國家機構的資訊認證,在操作過程中,各系統需根據證件組合來驗證你的身份。
通過「實證認證」所規定的證件,你可以拿到自己的高鐵票和機票,可以從不動產中心調取自己的房產證明,可以在醫院調取自己的醫療記錄等。 認證過程一方面需要對應的證件檢測裝置,另一方面它更適合於線下的身份驗證,而對無監督的網路身份驗證無能為力。
在涉及資產安全的領域,往往通過實證 + 實名組合(即身份證、密碼、驗證碼)的雙因子或多因子驗證的方式來確認你對賬戶的許可權。早期的「實證認證」因為證件防偽技術有限,很容易被突破,通過偽造實證獲得的犯罪時有發生。但隨著非接觸式邏輯加密卡晶片證件等技術出現,實證認證的安全性得到了極大的增強。
▲ 曾經在中國各地可見的「辦證販子」 圖源
不過,「實證」和「實名」一樣,都是藉助「外部元素」來認證使用者的身份和許可權。卻無法實現「使用者本人才是自己最好的證明」這一樸素邏輯。如果認證過程比較呆板,就很容易出現「如何證明你媽是你媽」這樣的荒謬故事。
未來密碼:生物特徵識別
在實名和實證之上,更可信的身份認證是「實人認證」。實人認證,是通過「人」的生物特徵識別來確認「你就是你」的底層邏輯。每個人(或每個生命體)具有自己獨一無二的「生物特徵」,比如古人契約上「按手印」、科幻片裡通過「虹膜掃描」才能開啟的金庫大門都是典型的生物特徵識別身份認證。
▲ 常見的生物特徵識別型別 圖源
隨著移動裝置的感測器效能提升和網路速度的發展,生物特徵識別形式的實人認證技術已經趨於平民化應用,在支付、交通、借貸、旅行等各個行業已經普遍落地應用。驗證的形式包括生理性特徵形式的,如指紋 (掌紋)、人臉、虹膜、視網膜、DNA 等,以及行為特徵形式的,如簽名、步態等。
考慮到實施的便利性和裝置成本要求,大家在日常生活中最熟悉的生物認證恐怕就是現在手機標配的「指紋解鎖」和「面容 ID」了。這些生物認證在手機上以近乎「無感」的體驗方式替代密碼,它們最大的好處是無需記憶密碼(因為自己的生物特徵本身就是密碼),相比密碼和法定證件來說,更難被竊取和複製,而且更能準確證明生命體的身份,所以可信度和安全度都是比較高的。
如果將密碼型別的「實名」和證件型別的「實證」以及生物型別的「實人」多種身份認證方式通過多雙因子或多因子組合使用,安全性就會大幅提升。高鐵進站閘道採用的既刷證,又刷臉就是典型的實證 + 實人雙因子驗證。出入境部門要求的護照 + 指紋也同樣屬於實證 + 實人雙因子驗證。
但考慮到真實的使用場景,如果進行多重因子疊加驗證,勢必會帶來效率的降低和體驗的複雜,因此,在生物特徵識別驗證的現實應用場景下(以手機解鎖和 AppStore 支付為例),其實是「將密碼驗證託管給生物特徵識別驗證」,從而進行的「實人單因子驗證」而非「實名 + 實人多因子驗證」。
以 iPhone 6s 為例,除非你要求同時驗證密碼和指紋,否則既可以密碼解鎖,也可以指紋解鎖,這意味著可以在人們睡著時(或者死亡時)依舊解開手機,獲取保密資訊。較之的「純密碼時代」,對於攻擊者而言反而相當於「多了一種攻擊途徑」,事實上更危險而非更安全了。
從 iPhone X 起採用的面容 ID,雖然也是生物特徵識別解鎖,但對認證安全的要求提到了更高的程度,面容 ID 的「注視感知功能」在識別人臉特徵時,還需要識別行為(需開啟注視感知),如果你不直視攝像頭,即使識別出你的面容,也不會解鎖。所以那些幻想男朋友睡著時可以檢視手機祕密的故事並未發生,這顯然比指紋形式的生物特徵識別又更安全了一些。
▲ 蘋果手機的「面容 ID」功能, 圖源
顯而易見,類似面容、指紋這樣基於生物特徵識別的「實人認證」在未來將會把人們從記憶成百上千種密碼的痛苦中徹底解放出來 —— 人們再也不需要記憶密碼了,你自己的身體就是最好的密碼,況且它比「123456」安全多了。
但相比傳統密碼被竊取後可以及時修改,生物密碼一旦被竊取,將無法修改,攻擊者就可以利用最新的 AI 技術偽造出這些生物密碼。面對這樣令人恐懼的安全隱患,我們需要了解的是:哪種生物特徵識別的安全度更高?
聲紋:實人認證的未來
就目前市場應用範圍來看,指紋、人臉、虹膜是目前應用場景比較廣泛的三類形式,各有其優缺點,比如指紋裝置成本低但易磨損易複製,人臉使用便利但對光線環境有較高要求,虹膜準確率高但使用體驗不佳且成本更高等。
相比之下,人們可能忽視了一種極具未來性的生物特徵認證方式:聲紋(Voiceprint)。
普通人與聲紋識別的第一次接觸大多來源於微信的聲音鎖登入 —— 只需對著手機讀出預設的幾個數字,就能進行身份確認從而完成登入。無需密碼,又與手機自帶的面容 / 指紋有所隔離,通過聲音實現 “聞聲識人”,使用起來非常便利。
▲ 微信的聲紋驗證介面 圖源:自拍
聲紋識別是從說話人發出的語音訊號中提取聲紋資訊,並對說話人進行身份驗證的生物特徵識別技術。直覺上來看聲紋不像人臉、指紋的個體差異那樣直觀可見,所以大多數人的第一反應是:這個安全嗎?
但事實上,相比指紋、面容、虹膜這些顯性因素,聲音是一種隱性因素,被複制和盜取的難度本身就很高。而它的防攻擊性(安全性)則更勝一籌。聲紋蘊藏於人的聲音之中,每個人發聲和共鳴器官上的任何一點微小差異(聲帶、軟顎、舌頭、牙齒、脣、發咽腔、口腔、鼻腔、氣流……)都會導致音質、音色的巨大差別。 同時,人發聲的習慣(快慢、力度大小)都會造成音強、音長的差別。上述四種在語言學中被稱為語音 “四要素”,這些因素又可被計算裝置分解成包括波長、頻率、強度、節奏在內的近百種識別特徵。比起其它形式的生物特徵,聲紋看似簡潔,實則豐富,包含了許多不同維度的可檢測和可驗證資訊,有相關科學研究表明,聲紋具有特定性和穩定性等特點,尤其在成年之後會保持相對穩定不變,這些綜合特性確保了聲紋的高安全性。
對於聲紋常見的攻擊方式事實上只有兩種,一種是真人模仿,另一種是錄音重放(語音合成和變聲轉換也需要使用裝置重放)。真人模仿只是能騙過人類的耳朵,對於具有近百種識別特徵且配合了識別演算法的聲紋檢測來說完全無效。而對於錄音重放則有通道檢測、倒譜分析、以及活體檢測等多種成熟手段防禦。中國人民銀行於 2018 年末剛剛釋出了《移動金融基於聲紋識別的安全應用技術規範》(JR/T 0164—2018),這是金融業頒佈的第一個生物特徵識別技術標準,標誌著對聲紋識別技術安全性的權威認可。
▲ 聲紋,未來「實人認證」的重要形式 圖源
聲紋在大眾領域的應用才剛剛起步,但具有非凡的的潛力。從 20 世紀 40 年代起的小規模實驗到大規模應用的今天,聲紋的技術和應用發展已經非常成熟。經過動態時間規整(DTW)、高斯混合模型 (GMM)、因子分析模型(JFA)、深度神經網路(DNN)…… 等多種模型方法迭代,目前聲紋識別僅次於虹膜識別,已是最高準確度生物特徵識別技術之一(參見 MITRE 報告)。
▲ 相關生物特徵識別型別的比較 圖源:美國 MITRE 的技術報告
我們之所以如此看重聲紋識別,是因為一些迷人的,具有想象空間的有趣特點:
1)在識別過程中同步傳送操作指令,大幅簡化操作流程。
聲紋識別和我們常見的語音識別不一樣。語音識別是共性識別,主要是為了聽懂人的說話內容,即「說了什麼?」,而聲紋識別是個性識別,主要是為了判斷說話人是誰,即「說話人是誰?」,由於他們是同一個輸入源,通過組合甚至能實現一次輸入完成從身份確認到意圖識別兩類指令要求,可將使用者體驗和使用效率都提升到極致,在這一點上,未來聲紋互動創新有很大的想象空間。
以春節我們發紅包來舉例,目前的操作路徑是:
①選擇發紅包功能 -> ②設定紅包金額 -> ③設定接收人 -> ④輸入支付密碼 (或使用面容 / 指紋) -> ⑤最終確認
如果使用聲紋 + 語音的方式發紅包,實現路徑則是:
①說出:「給張三發 52 元紅包」-> ②最終確認
▲ 利用「聲紋識別」+「語義識別」可以大幅提升流程效率 圖源:自繪
語音紅包路徑更短,體驗更優的原因是在發出「給張三傳送 52 元紅包」這句語音裡既包括了功能指令(發紅包)、也包括了接收人資訊(張三),也包括了金額數(52 元),同時聲紋也完成了「支付密碼」的身份判斷。使用者只需最終確認就能實現整個功能,類似應用案例已由得意音通公司實現並在 CSDN2018 AI 開發者大會演示。
當然,不僅限於紅包,在其它各類應用互動場景中,聲紋同樣能以更自然的方式同步實現產品互動與身份認證功能。不僅可以將複雜流程大大簡化,也可以在一些特殊場景下(如駕駛、提物)解放雙手。
2)聲紋識別與人類對話交流的方式一致,使用者接受度高。
這個特性使得人機對話變得極其自然,使用者就像與朋友對話一樣,不需要學習適應,就能對手機、家用裝置甚至未來的機器人助理進行操作 / 授權。
3)在識別過程中可以檢測到情緒意願,能進一步提高安全性。
同樣的語音指令,在自願和受脅迫的情況下,可以接入不同的賬戶介面,或以靜默形式給安全中心傳送警告訊息,幫助使用者避免資產損失。
4)具有「可雙向互動」特點,可實現「全過程」安全驗證。
語音獨有的「可雙向互動」的特性,在連續分支邏輯的多變應用場景下,使用者可以多輪調整語音命令 / 接收系統的語音響應,並實現多輪對話中反覆校驗聲紋密碼,確保整個流程確屬同一使用者操作完成。
5)能提供高可變性動態密碼,增強抗攻擊性,提升安全。
正如前文所說的,聲紋比照檢測的是說話人語音訊號中提取聲紋資訊,而非固定內容,所以「密碼」可以是任意內容,微信要求的只是最簡單的「固定數字」,而建設銀行 App 所採用的聲紋密碼內容已是隨機變化,每次不同。
▲ 建設銀行的聲紋驗證是「動態內容」,每次不同 圖源:得意音通
6)支援遠端身份認證。
聲紋具有遠端認證和操作的獨特優勢,可以廣泛應用於銀行和證券交易、聲控鎖、等領域的遠端身份確認,併成為防欺詐的重要手段。在那些不便行動的老人遠端領取社保、遠端授權和遠端活體檢測等應用場景下可以讓使用者少跑路,辦事更輕鬆。
7)是已知生物特徵識別方式中客戶端成本最低的一種。
聲紋識別的客戶端只需最普通的麥克風就可以實現,成本優勢是其它生物特徵無法比擬的。這是一種極具民主性的技術優勢,有利於不同經濟世界的民眾共享科技進步。
8)聲紋是唯一的既有生理屬性,又有行為屬性的生物特徵。
人臉、指紋、虹膜都單屬生理屬性,生理屬性的顯性因素相對更易被模仿和複製(比如指紋套攻擊和高清虹膜照片攻擊)。步態、簽名,手勢等單屬行為屬性,行為屬性是一種下意識的習慣特點,模仿攻擊更難。而聲紋獨有「雙重屬性」特點,使其具備更高的安全發掘空間。
除了上述的這些優點,事實上一條語音所包括的可檢測資訊遠超我們的想象,除了聲紋和語義,還包括了性別、情緒、語種、口音等等,真正做到了「形簡意豐」,一方面,如果將這些資訊疊加比對,在身份準確性和安全性上又可以進一步加強,另一方面,在未來互動領域有更多的交叉想象空間。
▲ 語音所能檢測的作息型別 圖源:清華資訊研究院
當然,正如指紋會受到汙漬影響,面容會受到化妝或光線影響一樣,聲紋的限制影響主要來自於環境噪聲影響。隨著定向和抗噪裝置的發展和降噪演算法的成熟,這些問題的影響也越來越小。而上述的這些有趣特點,使我們對這種技術發展在未來應用機會更加看好和期待。
從無人值守的高速入口,到各種無人零售和無人酒店,未來社會,無人化場景將日益增加,人類將越來越處於「無監督身份認證」的社會環境下。考慮到證件與人身的可分離、可租借特點,其於人證合一的生物特徵識方法別將逐步成為身份認證的主流。從「無監督身份認證」的五性要求上來看,聲紋將發展出更多的場景機會。
▲ 相關生物特徵識別型別的比較 圖源:清華資訊研究院
結語
我們使用密碼的本質是為了完成身份認證,特別是基於主動意願的身份認證。然而在人類使用密碼的數千年曆史中,身份認證的安全性和方便性是一對矛盾的共同體。在今天,隨著基於生物特徵識別的「實人認證」技術發展,這對矛盾的消解正在逐步實現。生物特徵識別帶來的自然、無感等特性已經高度優化了我們身份認證的體驗方式,持續增強了準確性和安全性。同時,受益於世界各國和組織所推行的隱私保護制度的完善(如歐盟 eID、美國 NSTIC、中國網路可信身份認證服務平臺等),我們在享受無密碼式身份驗證的同時,更能有效保護使用者隱私。
如果今天所使用的證件、NFC、掃碼等身份認證方式已經讓我們感受到非凡的便利,那麼未來,隨著生物性多因子驗證、5G 網路和物聯裝置的進一步發展,人們甚至可以不攜帶任何裝置、不記憶任何密碼,就能實現身份認證,從而讓包括出行、支付、賬戶管理等在內的工作生活體驗變得更加安全可信和簡潔優美,不僅能解放「懶癌」青年們的密碼記憶痛苦,還能省下 1Password 的訂閱費,這真是一個期待的未來。
對了,手機密碼是「000000」的,請點贊。
題圖來源:視覺中國
參考來源:
http://www.d-ear.com/solution-show.jsp?table=solution&s=1
https://mp.weixin.qq.com/s/MYIBDMmKY5muf9yqfKhY5Q
https://www.leiphone.com/news/201603/rJQkLZsPuI1P1au5.html
https://36kr.com/p/5129031.html
http://www.tmtpost.com/1426877.html
作者介紹:
田飛,湖南工業大學副教授,清華大學資訊研究院訪問學者;鄭方,清華大學教授,博士生導師,語音和語言技術中心主任,資訊研究院前副院長。
本文為投稿(投稿郵箱:[email protected]),愛範兒經授權釋出,文章為作者觀點,不代表愛範兒立場。