十年前,用指纹解锁手机还是科幻片里的场景。今天,满大街的人都在用指纹支付、刷脸开门。生物识别从科幻走进现实,速度快得让人有点不安——这东西到底靠不靠谱?
指纹识别:最成熟但也有软肋
指纹是应用最广泛的生物特征。 uniqueness——每个手指的纹路都不一样,而且终身不变。这些特性让它成为身份验证的理想选择。
iPhone从5s开始引入Touch ID,支付宝、微信的指纹支付也已经非常普及。从用户体验角度,指纹比密码方便太多——不需要记,掏出来就用。
但指纹有几个先天弱点。第一,**指纹泄露后无法撤销**。密码泄露了,改一个就行了。指纹泄露了,你总不能换一个手指吧?所以指纹不适合作为唯一的认证因素——它更像是一种"便捷认证"而非"高安全认证"。
第二,假指纹问题。用硅胶倒模、甚至是3D打印,都能做出假指纹。2014年德国黑客用商业级的指纹复制工具成功破解了苹果Touch ID。高端设备现在有"活体检测"(liveness detection)——检测皮肤弹性、汗孔、血流等特征来区分真假,但这个技术也在被不断挑战。
面部识别:方便但争议更大
苹果的Face ID用到了3D结构光——在脸上投射3万个红外点,构建一个3D面部模型。2D照片无法骗过它,即使用蜡像或高精度面具也有困难。
但争议在于隐私。2020年,Clearview AI被曝收集了数十亿张从社交媒体上抓取的人脸图片,供警方和私人公司使用。这引发了对大规模人脸监控的担忧——你可能在不知情的情况下,被人脸识别系统"认出"了。
国内的人脸识别应用场景更多:火车站刷脸进站、小区刷脸开门、支付宝刷脸支付。很多人担心,一旦人脸数据库泄露,损失是不可逆的——你没法换一张脸。
同卵双胞胎是面部识别的另一个软肋。长相高度相似的双胞胎,有时候面部识别系统也分不清谁是谁。
虹膜识别:准确率高但设备贵
虹膜识别的准确率在所有生物特征中是最高的——每只眼睛的虹膜有200多个特征点,而且出生后一年就定型了,终生不变。
三星Galaxy系列曾大量使用虹膜解锁。虹膜识别不需要接触,看起来比指纹更"干净",但虹膜识别的设备成本较高,所以目前主要用在高端设备和门禁系统里。
虹膜 vs 视网膜:不是一回事
虹膜是眼球前部有颜色的环形部分。视网膜是眼球后部的感光组织。虹膜识别用的是外部可见的图案,不需要强光照射。视网膜扫描需要用红外光照射眼球后部,检测血管图案——侵入性更强,设备也更复杂。
所以当有人说"虹膜识别需要扫眼睛",他们可能混淆了虹膜和视网膜。
多因素认证才是王道
生物识别的最佳使用方式不是单独使用,而是和其他认证因素组合——也就是多因素认证(MFA)。
比如:密码(你知道的东西)+ 指纹(你拥有的东西/你的生物特征)。或者:PIN码(你知道的东西)+ 人脸(你的生物特征)。
这样即使一个因素被攻破,攻击者还面临另一个障碍。支付领域现在普遍推行"密码+PIN+生物识别"的多层验证,就是这个道理。
生物识别的未来
下一代生物识别有几个有趣的方向。行为生物识别——通过打字节奏、鼠标移动模式、步态来识别用户。这些特征更难伪造,因为它们是动态的、难以观察的。
还有一个概念叫"连续认证"——不是一次性验证,而是在使用过程中持续验证。比如检测你打字时的手指力度、触摸屏幕的方式,如果突然变成另一个人,系统就自动锁定。
总之,生物识别是现代安全体系里很重要的一环,但它不是银弹。了解它的局限性,合理使用多因素认证,才是最稳妥的做法。