指纹很容易被窃取 用它当密码合适吗

　　《大西洋月刊》近日发表文章，称指纹识别、面部识别等身份验证方式仍然容易被黑客攻破。如果黑客学会了如何模仿人类身体的独特特征，科学家可能就会改用脑电波和基因组的方式来验证用户身份了。

　　你可以使用密码，这是你和计算机之间共享的秘密。但密码容易成为网络钓鱼、黑客入侵等不法行为的猎物，有人要冒充你似乎并不太困难。

　　如今，你常常需要使用比密码更难以模仿的东西来验证身份----例如用指纹登录智能手机、笔记本电脑和银行帐户。像其他生物特征数据一样，你的指纹是独一无二的，所以当你的拇指按上识别模块时，计算机就会知道你是谁。

　　这些数据似乎并没有出现在黑市上，但是如果它被卖掉或泄漏出去，黑客要用它来对付受害者也会很容易。去年，密歇根州立大学的一些研究人员使用喷墨打印机和特殊纸张，将高质量的指纹扫描图片制作成了3D指纹，足以骗过智能手机的指纹读取器----而他们使用的设备价格还不到500美元。

　　根本问题：无法重置

　　另外一些网络攻击者则使用了其他方式来收集人们的指纹。如果你在拍摄照片的时候比划某些手势，然后在社交媒体上分享这些照片，就可能会面临风险----东京国立信息学研究所的研究人员可以从九英尺外拍摄的手势照片中重建用户的指纹。

　　面部数据也容易受到黑客的攻击。乔治城大学的一项研究发现，警方的面部识别数据库涵盖了全美国至少有50%的人，有些是驾驶执照，有些是登记照。但黑客并不一定需要入侵某个数据库来收集脸部照片----照片可以从Facebook或Google Images上获取，甚至可以直接在街上拍摄。

　　而且黑客利用这些数据也不困难：去年，北卡罗来纳大学的研究人员使用一个Facebook用户在该平台上发布的照片构建了一个头像3D模型，创造出一个栩栩如生的动画。在他们测试的五个面部识别工具中，有四个都被这个动画骗过。

　　生物识别的根本问题在于它们不能重置。如果你的一个指纹被泄露了，那你还有另外几个手指的指纹当备份。但如果十个指纹全部被泄露了(一些执法数据库就包含了所有十个手指的图像)，你是没有办法重置它的。视网膜扫描识别以及脸部识别也是这样。密码泄露了还可以修改，但这些东西是无法改变的，唯一的办法可能就是割伤手指，或者去做整容手术。

　　“如果边境巡逻队、你的银行和你的手机都在收集你的指纹数据，然后有一个黑客知道怎么利用这些信息，你基本上就无法再用指纹来验证身份了，”加州大学伯克利分校长期网络安全中心的总监库伯(Betsy Cooper)说。

　　此外，指纹和脸型作为生物特征识别最广泛使用的两种形式，随着时间的推移，它们都保持着相当稳定的特性。密歇根州生物识别研究小组开展了一项自动面部识别系统研究，调查了1.8万名罪犯的近15万张大头照，第一张照片和最后一张照片之间相隔至少5年。研究人员发现，当把罪犯的照片与10年前拍摄的照片相匹配时，现成的软件包仍可达到98%的准确率。甚至有一个研究领域，是在研究面部软件如何在整形手术前后识别出同一张脸来。

　　密歇根州州立实验室也发现，随着时间的推移，指纹图谱也会保持很高的稳定性。这项研究检查了五年时间中密歇根州警察局逮捕的1.5万人的指纹数据库。结果表明，对于12年前留下的指纹，匹配起来精度也接近100%。在另一项实验中，该团队发现，儿童的指纹大约在1岁的时候就开始变得稳定，至少在一年后仍然可以识别出来。(并非所有生物特征都会保持不变：怀孕可以改变女性视网膜的血管形态，让视网膜扫描仪无法识别。)

　　可变的生物识别技术

　　显然，指纹、虹膜和脸部形状识别都存在着安全隐患，为了解决这个问题，一些人开始研究可变的生物识别技术。

　　2013年，伯克利分校的研究人员提出了一个名为“passthoughts”(通关想法)的系统。这项技术把三个因素结合了起来：你知道的东西(一个想法)、你是谁(你的大脑模式)和你拥有的东西(用于测量脑电波的EEG传感器)。要用它来验证身份，你需要在佩戴感应器的时候想你的密钥。密钥可以是一首歌、一个短语，或者一个心理形象。想法本身是不会被传输的----传输的只是你的大脑在想它的时候所产生的电信号的数学表示。

　　就算别人知道你想的是什么，他们也不能模仿你的“passthoughts”，因为每个人对同一个东西的想法是不同的。黑客可能会通过使用网络钓鱼方案来攻击这种系统：欺骗你进行思考来获取你的脑波输出，然后重播它来进行身份验证。但你可以改变“passthoughts”，对它进行重置。

　　有了利用脑电波或遗传学的可变生物识别技术，即使在你的指纹已经完全泄露，你也有办法来证明自己的身份。