用户即密码

陈纪英

还有比数字密码更保险的吗？

为了更安全，人们在不断复杂化密码：数字、大小字母、下划线、八位以上等等。有的人，在不同的网站要有不同的账户和密码。

以工行银行卡为例，它有网银密码，数字移动证书密码，这很容易记混，也可能因为连续多次输错密码，导致银行卡被冻结。

如此考验记忆能力、用户体验不好的数字密码，真的绝对安全么？答案当然是否定的，当中国最大的在线旅游服务公司携程网宕机之后，用户担心其信用卡信息会泄露。

那些一流的黑客，还有安全专家们相信，数字密码即将过时了。那么，取代它的是什么？

生物识别

就在携程网站瘫痪的同时，谷歌开发者大会在美国如期举行，最引入注目的亮点就是谷歌主导的安卓系统推出了官方的指纹识别功能，Android Pay兼容于三星、摩托等厂家的指纹识别技术，同时也将会更加的安全，更具有普适性。

其实，早在2014年，苹果就推出了指纹识别的手机，在那之后，指纹识别功能逐渐成为手机行业的新风尚。

斗象科技联合创始人兼COO谢忱，作为白帽黑客，深谙黑客圈的秘密，他公司旗下的Freebuf.com是国内最大的安全社区和新媒体。根据谢忱解释，指纹识别的本质，在于通过设备端（例如手机或者平板电脑）输入指纹脚本，然后为用户建设一个全球唯一的指纹ID。此后，无论是在何时何地使用这台设备，无论使用任何应用或者浏览任何网页，指纹ID都可以识别这台设备。

比起数字密码，指纹识别应该安全很多。而且，相比一长串考验记忆力的数字密码来说，指纹识别更为简单易用。但是，指纹识别同样也不是绝对安全的。

去年12月，黑客网络混沌电脑俱乐部的会员Jan Krissler宣称，他仅仅使用一套商业软件和几张照片，就复制出德国国防部长冯德莱恩的指纹。

就在此前两个月，冯德莱恩发表演讲时，Jan Krissler使用一部普通相机，从不同角度拍摄，抓捕到了冯德莱恩的手指照片。之后，克里斯勒使用一张特写的指纹照，再利用一套商用软件，复制出了冯德莱恩的指纹。

此后，研究人员发现，随着类似指纹扫描仪等机器的技术提升，一些假指纹可以成功欺骗iPhone5s手机。但是，苹果也在提高其指纹识别技术，因此，如果假指纹要想成功欺骗iPhone6，则必须非常清晰、比例准确、所放的位置也要准确，此外还要足够厚。因此，对于一般的恶意网络攻击者来说，难度很大。

除了指纹识别，生物识别的技术还包括人脸识别、虹膜识别等等。过去，这些技术只在科幻电影一闪而过，或者蜗居在冷清的实验室里，但是现在，借助各种智能终端的普及，这些技术走出了实验室。

今年3月，微软宣布Windows 10将引入生物识别认证，指纹、虹膜和脸可以代替密码。

微软的系列产品比如Windows Hello，不仅仅适用于个人，也适用于政府、国防、金融、医疗保健和其他组织等。微软方面声称，其误识率在十万分之一以下，“照片和自拍骗不了Windows Hello。”

不过，尽管技术已经逐渐成熟，但是数字密码之所以仍然占据主流地位，关键的制约因素依然是硬件。

以Windows Hello为例，其需要匹配的专业硬件，包括指纹读取器、红外传感器和其他生物传感器等。因此，用户必须有这些专门的硬件，同时还有Windows 10系统，才能正常使用所有功能。再以指纹识别为例，目前，仍然只有苹果手机，以及三星和华为的部分高端手机，才提供指纹识别的功能。

而华为方面告诉《中国新闻周刊》，指纹识别技术之所以没有普及到所有手机，是考虑到成本因素，“虽然这个传感器本身不是很贵，但现在，很多中低端智能手机基本上没啥利润了。”

由于硬件普及的滞后，考虑到用户体验的稳定性，因此很多应用并不会快速普及指纹识别的功能。

大数据的立体防控

除了生物识别技术的引进，另一重防控体系则依赖于大数据。

由于每个网民都是多个网站和移动端应用的用户，其个人信息也呈碎片化分散于多个地方，而狡猾的黑客，可以从招聘网站找到就业信息，在婚恋网站找到家庭信息、情感状况，再通过购票网站找身份证，最后把这些信息全部拼凑在一起，关联起来盗取用户的账号和密码。

在侵入端，黑客运用大数据的技术已经相当娴熟;而在防守端，互联网公司之间可以共同合作，比如A网站获得所有攻击者IP地址，B网站也有这些信息，通过建立共享平台，共享数据库，勾画出黑客的入侵踪迹和攻击手段，可以给这个IP打上恶意的标签，然后进行共同防御和定点打击。

除了跨网站和跨应用的合作，公司内部亦可以利用大数据来识别黑客，以支付宝为例，“盗走了密码也盗不走钱”。

过去只出现在科幻片中的生物识别，未来将逐渐取代数字密码。图/GETTY 图片编辑/董洁旭

网民们之所以担心账户被盗，第一是担心隐私泄漏，第二则担心钱财丢失，而对于旨在牟利的黑客们来说，互联网金融账户无疑是重点攻击对象。而对于所有的金融账户来说，能否防止盗走钱财才是安全防控是否成功的核心。

支付宝风控大脑的核心逻辑是“认人，而不只是识别数字密码”。具体来说，风控大脑会根据一些维度来对用户行为进行判断并打分。打分高，说明风险系数比较高。打分因素则包括：账户、设备、位置、行为、关系、偏好等因素，每一个大类里面都会包含很多细分策略，而这样的策略总计有10000条左右。不过，风控大脑运算这些复杂策略的时间很快，平均为0.15秒，所以前端用户基本上是毫无感知。

以行为维度为例，每个人触控手机屏幕的方式不同，而手机上是有很多传感器的，所以可以通过指压、接触面积、重力变化、连续间隔时间等，帮助判断是否主人操作。

再比如，关系维度。黑客在获取用户密码之后，要把钱转移到另一个账户。如果第二个账户和用户从未有过资金往来，和用户的朋友们也没有过资金往来，风控大脑就会提高警觉，而如果这个账户曾经有过不良记录，或者和黑名单账户有过某些交集，风控大脑很可能就会拦截此次转账，然后要求二次验证。

其实，不仅仅是支付宝，包括腾讯的微信账户等，同样会对可疑行为进校验。

目前，短信校验（短信验证码）是最常见的，不过，以后这种校检方式也会被逐步取代，更多不易被泄露或者截取、安全性更高的校验方式将会出现。

比如，当你在新的设备登陆微信时，微信会判定此次登陆行为异常，要求你在一堆头像中选出微信好友。再比如说，“别输入短信校验码了，来刷个脸吧。”

蚂蚁金服高级安全策略专家冯力国认为，互联网公司将通过生物识别和大数据的方式来保证安全。而用户需要做的事情可以最少，甚至有一天，用户压根可以不需要记住数字字母密码，用户本人就成为密码本身了。只有这样，安全可靠和用户体验这对矛盾体，才能同时被兼顾。

谢忱则告诉《中国新闻周刊》：“攻防之间是永远不停息地对抗博弈，防守也在不断进步。”

然后谢忱补充说，黑客的攻击对企业来说并非坏事，企业会提高安全意识，修补安全漏洞。

仅以携程为例，这家公司过去一年，断断续续出现了多起安全事故，而最近的这次事故，导致其系统瘫痪达到12个小时之久，而每个小时的损失可能高达百万美元。

“这次教训蛮大的，我们内部也在反思，再不能出现这种错误了。”携程内部人士告诉《中国新闻周刊》。