身份驗(yàn)證手段一直在進(jìn)步，但依然不是絕對(duì)可靠的。

口令的安全漏洞很多。用戶(hù)選擇短小又明顯的口令或者跨賬戶(hù)使用同一個(gè)口令的現(xiàn)象屢見(jiàn)不鮮。同時(shí)，理應(yīng)保護(hù)客戶(hù)數(shù)據(jù)的公司企業(yè)經(jīng)常遭遇數(shù)據(jù)泄露事件，動(dòng)輒數(shù)百萬(wàn)客戶(hù)憑證失竊。所有這些都導(dǎo)致我們無(wú)法信任現(xiàn)在的身份驗(yàn)證標(biāo)準(zhǔn)。

不過(guò)，別慌!口令并非身份驗(yàn)證唯一因素，數(shù)字證書(shū)、硬件令牌、生物特征等都可以用作身份標(biāo)識(shí)因素。如今，生物特征識(shí)別十分流行。這主要是因?yàn)橛闷饋?lái)很方便，按下手指或者刷個(gè)臉就能登錄，完全不用費(fèi)心去記冗長(zhǎng)艱澀的口令。微軟Hello和蘋(píng)果FaceID就明顯昭示了身份驗(yàn)證的未來(lái)在于生物特征識(shí)別。
但是，生物特征識(shí)別技術(shù)真的可以解決身份驗(yàn)證中的所有安全問(wèn)題嗎?
那可未必。生物特征是相當(dāng)精準(zhǔn)沒(méi)錯(cuò)，但并非完全可靠。過(guò)去幾年，黑客和研究人員已多次騙過(guò)了生物特征識(shí)別解決方案。我們不妨看看以下4起生物特征識(shí)別黑客事件：
1. 小熊軟糖打敗指紋讀取器
說(shuō)起生物特征，第一個(gè)浮現(xiàn)在腦海的恐怕會(huì)是指紋。指紋讀取器是計(jì)算界首批投入使用的生物特征識(shí)別設(shè)備之一，時(shí)至今日它們已無(wú)處不在。然而，它們同時(shí)也是研究人員首先攻破的生物識(shí)別技術(shù)，而且騙過(guò)指紋讀取器的方法非常簡(jiǎn)單。

2002年，名為松本勉的研究人員用普通小熊軟糖就騙過(guò)了指紋讀取器。松本用類(lèi)似司法取證的方法從玻璃上粘下指紋，然后用粘性材料按取到的指紋做成手指。稍加處理，這些人造“手指”就能騙過(guò)指紋傳感器了。
當(dāng)然，隨著時(shí)間流逝，生物特征識(shí)別也有所發(fā)展?，F(xiàn)代傳感器分辨率更高，有的還會(huì)查看其它因素，比如溫度和心跳。不過(guò)，相應(yīng)的攻擊方法也沒(méi)有停下進(jìn)化的腳步。2013年，iPhone的TouchID推出后不久，混沌計(jì)算機(jī)俱樂(lè)部就破解了這一生物特征識(shí)別技術(shù)。更近一些，研究人員用紙張和膠水就黑掉了指紋讀取器。
雖然指紋讀取讓我們可以更方便地解鎖智能手機(jī)，但我們還不能完全信任這種方法。
2. 騙過(guò)虹膜掃描器
電影里的虹膜掃描可炫酷了，但這種基于眼球的生物特征識(shí)別并非僅僅存在于科幻電影中。
但不幸的是，虹膜掃描比指紋讀取也安全不到哪兒去。2012年，研究人員用復(fù)制的虹膜圖像騙過(guò)了虹膜讀取器。其中最有趣的一點(diǎn)是，他們用生物特征識(shí)別系統(tǒng)數(shù)據(jù)庫(kù)中存儲(chǔ)的虹膜數(shù)據(jù)來(lái)復(fù)制的假虹膜。就像口令數(shù)據(jù)庫(kù)泄露造成口令被盜一樣，虹膜數(shù)據(jù)庫(kù)泄露也會(huì)導(dǎo)致眼球掃描器被騙過(guò)。

3. 紙片人臉愚弄人臉識(shí)別
生物特征識(shí)別最新的熱門(mén)趨勢(shì)就是人臉識(shí)別了。比如微軟的Hello，你看向電腦或手機(jī)就可以解鎖這些設(shè)備。這聽(tīng)起來(lái)像是人們夢(mèng)寐以求的理想可用性，然而，愚弄人臉識(shí)別技術(shù)并不困難。
早在2011年，一位安全博主就發(fā)現(xiàn)，僅使用靜態(tài)照片就可騙過(guò)安卓人臉掃描器。給自己照張相，把相片擺到手機(jī)前，進(jìn)入得毫無(wú)阻礙。后來(lái)，廠商升級(jí)了人臉掃描技術(shù)，添加了“活性”檢查，要求做某種動(dòng)作以確?？聪驍z像頭的是真人。

4. 3D打印機(jī)擊敗3D人臉掃描器
2017年，蘋(píng)果推出了名為FaceID的新人臉識(shí)別功能。表面上，用戶(hù)使用該技術(shù)的體驗(yàn)與其他人臉掃描器毫無(wú)二致。但在手機(jī)屏幕背后提供支撐的，是確保人臉識(shí)別更加準(zhǔn)確更難以被騙過(guò)的技術(shù)。
基本上，手機(jī)里安裝了發(fā)送無(wú)數(shù)紅外光線的傳感器(TrueDepth)，可以準(zhǔn)確地繪制用戶(hù)的臉。這樣手機(jī)里就會(huì)存儲(chǔ)用戶(hù)人臉的3D數(shù)字表示，可從很多角度進(jìn)行識(shí)別。蘋(píng)果用機(jī)器學(xué)習(xí)強(qiáng)化了該功能，即便用戶(hù)帶著帽子、眼鏡或其他可能混淆傳統(tǒng)人臉掃描器的裝飾品，都依然能識(shí)別出來(lái)。
這些努力都應(yīng)能使人臉生物特征識(shí)別相當(dāng)可信，也確實(shí)強(qiáng)化了該識(shí)別技術(shù)。但是，就在蘋(píng)果推出FaceID一周后，越南某安全團(tuán)隊(duì)就宣稱(chēng)攻克了該技術(shù)。該團(tuán)隊(duì)宣稱(chēng)：利用3D打印機(jī)、2D人眼紅外圖像和石粉，再加上手工揉捏，就可以制作出能夠騙過(guò)FaceID的面具。老實(shí)說(shuō)，還沒(méi)其他研究團(tuán)隊(duì)獨(dú)立驗(yàn)證過(guò)這一攻擊方法。

或許未來(lái)會(huì)出現(xiàn)更新的技術(shù)讓生物特征識(shí)別更難以被騙過(guò)，但目前為止2D和3D人臉掃描都還達(dá)不到完美的程度。
不過(guò)，這并不是說(shuō)生物特征識(shí)別的未來(lái)形勢(shì)嚴(yán)峻。生物特征識(shí)別提供商會(huì)從這些失敗案例中汲取教訓(xùn)，添加新的功能，讓識(shí)別系統(tǒng)更加健壯。同時(shí)，新的生物識(shí)別特征也會(huì)持續(xù)涌現(xiàn)，比如心跳、輸入節(jié)奏，甚至腦電波。
縱觀黑客史，意志堅(jiān)定的攻擊者總能找到方法復(fù)制、盜取或繞過(guò)他們需要的驗(yàn)證因素。如果僅依賴(lài)生物特征，我們會(huì)再次遭遇口令驗(yàn)證所經(jīng)歷的那些問(wèn)題。而且，在利用生物特征識(shí)別身份驗(yàn)證的情況下，如果你的指紋或人臉特征被盜，你就再也不能使用它們進(jìn)行身份驗(yàn)證了。
在未來(lái)，生物特征將在身份認(rèn)證中起到重要作用。然而，任何身份認(rèn)證令牌都不是牢不可破的。最安全的做法不是完全依賴(lài)某種新式高級(jí)生物識(shí)別技術(shù)，而是實(shí)現(xiàn)多因子身份認(rèn)證——使用1種以上的因子參與認(rèn)證過(guò)程。