我们都是活密码

摘要: 2054年,你的行踪随时被掌握,不管你去哪里,地铁还是楼宇。因为每个人的虹膜信息都存储在电脑里,无数的虹膜扫描仪在盯着你。这是《少数派报告》里的场景。 2015年,你卖萌对着

2054年,你的行踪随时被掌握,不管你去哪里,地铁还是楼宇。因为每个人的虹膜信息都存储在电脑里,无数的虹膜扫描仪在盯着你。这是《少数派报告》里的场景。

2015年,你卖萌对着手机喊了一句“亲爱的最帅了”,钱即时到账;盯着淘宝页面的那件宝贝看了10秒钟, 付款成功。这可能是现实里的场景。

其实,我也是看到一些神奇的支付手段后,才敢想象这样的未来。蚂蚁金服有个秘密组织,专门研究人体的密码。打造支付版“少数派报告”只是它小部分工作,它的名字叫“柒车间”。

我们都是活密码

我们曾无数次的被要求输入密码,不甚其烦又无可奈何。这些愈加繁琐的工作说到底就是干一件事儿:证明目前的操作者是你本人。机器是不会认人,只能通过数据来进行比对验证。于是,密码成了最常用的安全认证方法。可问题是,密码是有可能被盗的!这就和钥匙一样,小偷偷了你的钥匙就可以进你的家门。门认识的只有钥匙,它可不是狗,不会认主人。

我们会很自然地去寻找那些偷不走的钥匙。对于生物来说,不太容易变的特征有两种:一个是生物特征,另一个是行为习惯,这就是柒车间从事生物识别认证研发的最主要的两个方向。综合考量技术、成本、安全、易用等因素,现阶段柒车间重点研究的生物识别技术有六种,分别是人脸、声纹、指纹、掌纹、笔迹和键盘敲击。六种技术,各有各的使用场景。

先说掌纹识别。掌纹是“有生命的二维码”,包含丰富的信息,我们常说的生命线、事业线、爱情线就是最常见的纹线特征,数量巨大又毫无规则的细问也有纹理特征,手掌的宽度、长度又提供了几何特征,这些都能够“链接到唯一的个人”。使用手机摄像头,扫描掌纹,就完全可以确定一个人的身份。柒车间已经自主研发了肤色检测、掌纹定位、切割和识别算法,在小额支付和手机换绑等应用场景下使用。

当然,如果你女朋友擅长败家,你也不用担心,即使她剁了你的手,扫描“人体二维码”成功,也肯定通不过支付宝钱包的活体检测。不展示几个手势,证明是你是活的,支付宝钱包是万万不能让你通过认证的。

再说人脸识别。传统方式是采用图像处理和模式识别技术,简单来说就是提取出五官的特征数据,与预先保存的脸部特征值进行比对确定身份。蚂蚁金融安全产品技术部的高级专家张洁告诉36氪,柒车间将最新的深度学习技术用于人脸检测识别,最初要先帮助机器学习识别器官、帮助机器识别是否为同一个人,而现在机器就像不断汲取知识、茁壮成长的少年,你已经不知道它是具体通过哪些特征和数据来识别的了。大数据把人脸识别变成了另一个被互联网颠覆的领域,传统法医使用的用五官、头骨等做标定的认人方式已经没有机器准了。

同样,刷脸的必须是活体。明年你看到有人对着手机摇头、微笑、张嘴,那可真不是神经病,只是做个支付认证。但是爱整容的妹子们、汉子们要慎重,柒车间发现,一般长得帅、长得美的的确相对不容易被识别出来。可能长得美的都是相似的吧,要不韩国小姐怎么都一样呢。那些脸部特征特别明显的人反而很不容易被误识,为了护住你的钱包,丑就丑点吧。很有可能下一个版本的支付宝钱包,会把人脸识别作为辅助认证的手段。开通支付宝钱包时要自拍一张照片,机器会用来与公安部门的身份信息比对,确定开通者身份。

如果你用的是华为或者三星等品牌的手机,还配备了指纹传感器,打开你手机里内置的支付宝钱包,你就可以使用指纹支付了,这个功能昨天正好上线。每个人敲击键盘的行为也各不相同,在用户利用键盘输入卡号或密码时,支付宝已经采集了各个键输入的时间间隔,在不打扰用户的情况下,建立了机器学习模型,对用户进行行为分析,已经被作为辅助验证手段了。当你和客户通话时,声纹也被作为体征的一部分被无形收集了,嗓子哑了,声纹也是不会变的,而且它和你说的内容无关。

多层次立体防控体系

这些识别方式,都涉及极其复杂的模型和算法。其实人类大脑每天都在进行更复杂的运算,你看到一个人,一下就能感觉出是某某。要让机器模仿人脑的结构模型和思维模式,不断学习,实现关于人脸识别的规律和规则的隐性表达,就没那么容易了。听上去很传统的笔迹识别,识别方式也不仅仅是判断笔迹图形的相似程度,还包括动态的书写行为模式、笔画顺序、每一笔的书写节奏等,就需要通过动态时间规整这样的非线性时间对准模板匹配算法以及机器学习算法来进行笔迹相似程度的测算。

我们的大脑每天都在进行更复杂的运算,当我们见到一个熟人,能一下子就认出来是某某。但是要让机器模仿我们的大脑,就没那么容易了。机器要实现这种结构模型和思维模式,就要不断学习,还得能实现关于识别的规律和规则的隐性表达。比如说笔迹识别,它的识别方式不仅仅是通过判断笔迹图形的相似程度判定的,还需要考虑一些隐性的表达,比如 动态的书写行为模式、笔画顺序以及每一笔的书写节奏。

这肯定很难,但就安全性而言,生物识别肯定比密码靠谱和方便。否则也就不会有这么多人在这个领域进行研究和探索,苹果做了指纹识别,支付宝今年也首推了指纹支付,还有很多生物识别技术在逐步商用。

不同的生物识别技术,有不同的优势。不同场景下,选择最便利的一种或几种,就能实现比密码更安全的防护。声纹识别因为不涉及隐私,用户接受程度高,而且,尤其适用于基于语音通话等的远程身份认证;掌纹采集区域比较大,容易获取质量较高的图片,验证结果信服度更高,在光线较好的地方,采用掌纹非常合适;笔迹和触屏行为,其本身是动态的,要模仿一个图形不难,要模仿整个书写过程是极其困难的,还克服了指纹、掌纹等生物特征模板不具修改性的问题。 在一些对安全性极高的场景下,可以采用双因子鉴定,比如人脸+笔迹、 指纹+笔迹等。

看了上面这些如图科幻小说的识别技术,你一定也热血澎拜啦。不过,从目前的技术进展来看,生物识别还有不少技术难题需要攻克。比如说,声纹识别会受到年龄等的影响;笔迹和键盘敲击涉及到单个个体的行为变化,还需要跟踪和区分;指纹活体检测难度高,有遭假冒的风险。更何况识别的运算过程复杂,还需要进一步提高这些生物识别过程的运算效率。

将这些还有待实践检验的生物识别用于金融安全认证,用于你的财产账号,蚂蚁金服还挺有信心的。蚂蚁金融安全产品技术部的高级专家张洁告诉36氪,现阶段他们的笔迹识别在错误接受率为五万分之一的情况下准确率可以做到99.28%。

这套生物识别技术是建立在蚂蚁金服多层次的安全技术体系之上的,通过多道防线层层保障下进行身份认证:首先是终端安全,蚂蚁金服会对木马的进行防控,并支持 TEE 可信执行环境,实施端和通道的加解密。其次是系统安全,通过完善的位置监测和流量监测等手段主动防御。用户通过前面这两层防御后,才能进入了身份认证这道防线。而在这道防线,除了数字证书、帐号密码和、手机动态口令,生物识别认证产品也加入到用户安全认证产品的大家庭中,为用户的支付交易保驾护航。

如果说多层次立体防控体系是一只看得见的手,操控这个金融网络的还有一只看不见的手——大数据的风险识别评估体系。蚂蚁金服现在的交易风险控制能力可以支持每秒几万笔以上的支付交易,以及每天几十亿笔以上的风险识别。在每一笔交易规则和模型的计算执行过程里,可能要扫描几百或上千条记录,并完成超过上千个变量的实时计算,而这一切能在短暂的 200 毫秒以内完成。在生物识别背后的系统上有上万条策略和几十乃至上百种数据模型在默默地工作着,像一张无形的大网保护着用户的每一笔交易。

为用户提供准确和方便的生物特征识别服务的同时,柒车间还采用了模板保护算法,例如模糊保险箱 (Fuzzy Vault) 的方式,对用户生物特征进行保护,防止其遭受攻击。另外,指纹识别和掌纹识别等进程运行在移动终端的安全隔离环境,生物特征保存在任何第三方应用软件都无法访问的安全存储区里,从而加固了安全防线,使用户安全认证产品本身的安全得到了保障。

颠覆数字密码

为了信息的安全,公元前 405 年,雅典和斯巴达的伯罗奔尼撒战争,人们在羊皮带上发明了第一个密码。1960 年,MIT 建造了大型分时计算机 CTSS,第一个计算机密码诞生。光阴荏苒,移动互联网时代,每一个人至少拥有几十个账户密码。一串串字符被赋予实名,看管我们最珍贵的东西,保护数据与信息,看护梦想与回忆,看管秘密与恐惧……

当初发明密码的人们以为简单的密码就足够了,但斯巴达的将军仅仅碰巧把皮带缠在了木棍上,就破解了第一个密码;两年后,MIT 的博士生 Allan Scherr 为了增加上机时长,破解了第一个计算机密码,还用管理员的账号做了一个恶作剧。 道高一尺,魔高一丈。现在,只需要最多10000次尝试,你的iPhone手机就会被解锁屏幕,安卓手机也只需要389112次尝试而已。无论什么样的数字密码,对于具有强大运算能力的机器来说,这都不是事儿。现在几乎每个人都拥有众多的账号密码,有时候不得不需要 1Password、LastPass 这样的软件辅助我们记忆,才能完全记住密码。虽然每个人的数字财产越来越重要,但当我们的亲人去世,我们却很可能因为不知道密码,无力找回他们的数字遗产。

现在,是时候来颠覆这些数字密码了。

苹果、Google、三星等厂商推出指纹识别的设备和产品,Mozilla 公司 Webmaker 网站推出无密码登陆系统,剑桥大学计算机实验室开发电子气场(electric aura),Nymi想要通过你的心律来解锁,摩托罗拉展示密码药丸……

说颠覆,似乎有点怂人听闻了。柒车间的自信还是建立在阿里大数据的支持上,苹果、Google、三星这些大公司也只试水了指纹识别。生物认证想普及,还有很长的路要走,且不说技术上的难点,教育用户也不是易事。不如我们撇开这些恐惧,先拿柒车间的掌纹识别、人脸识别做些有趣的娱乐性质的新尝试,比如扫描指纹看看我今天的命理适合买什么产品,撒娇购物车的代付申请只需要喊声”亲爱的我好喜欢你",既有趣,又不会对识别的准确性有超高的要求,顺便还可以积累些机器学习的材料。

当有一天,这些认证方式像指纹支付,直接内置到手机等移动设备的底层,数字密码就会成为过去时,生物识别为代表的新的密码交互就会普及。也许,未来你必须像科幻电影里那样,先来花1秒钟做个人脸识别,才有权限读这篇文章哦。

PS:

感谢蚂蚁金融张洁对本文的帮助。张洁,花名方如,蚂蚁金融安全产品技术部的高级专家,著有《Linux就是这个范儿》一书。

时间: 2024-11-09 19:42:36

我们都是活密码的相关文章

马云:连猪坚强都能活 你为什么不可以

阿里巴巴董事局主席马云去年曾预言"冬天就要来了".而当金融危机正在由美国蔓延到全球,并开始转化为经济危机之时,马云再次预言,危机将在未来两三年内打击每一个人,但伴随着危机,机遇也即将成型,优秀的企业在逆境中照样可以发展. "这次所谓的危机是人类社会进入商业社会全球化的阵痛,是商业社会全球化必须面临的挑战."马云认为,在旧的商业体系被破坏,而新的商业体系没有建成的空隙中,很多问题会爆发出来. 在经济危机下,中国政府第一时间行动,作出积极努力,出台了多项减轻企业负担.盘

人人都想杀死密码,Fido联盟正式公布免密码认证

摘要: 线上快速身份验证联盟Fido Alliance(以下简称Fido联盟)昨天晚上宣布,FIDO 1.0在线加密与免密码认证标准正式发布,未来准备向更多企业推广这种使用生物信息和硬件密钥代替密码的加密 线上快速身份验证联盟Fido Alliance(以下简称Fido联盟)昨天晚上宣布,FIDO 1.0在线加密与免密码认证标准正式发布,未来准备向更多企业推广这种使用生物信息和硬件密钥代替密码的加密标准. Fido联盟总裁Michael Barrett表示: "今天我们一起庆祝这一成就的达成,并

泄露数据告诉你,黑客论坛Nulled.IO用户都用哪些密码?

2013年,国外老牌技术新闻和信息分享网站Ars Technica做了一个有趣的实验.他们从互联网下载了一份被黑客公布在网上的社工数据,包含16000个用户的账号密码信息,密码采用MD5 hash 存储.泄露数据的网站曾公开表示:"用户密码的加密过程是不可逆的,就算拿到MD5密文,也不可能还原出密码明文. 为了向大众展示这些所谓"加密"的密码在黑客手中能搞出多大动静,他们邀请了三位职业黑客举办了一场密码破解挑战赛(这三名黑客包括著名GPU破解软件Hashcat作者Jens S

碳云智能CEO王俊:大数据基础上人人都将活到120岁 | 2017 IT领袖峰会

雷锋网4月2日消息,2017中国(深圳)IT领袖峰会于今日召开.在下午的论坛<颠覆性技术与人类未来>中,斯坦福大学物理系讲座教授.美国国家科学院院士张首晟.碳云智能创始人兼CEO王俊.超多维科董事长戈张.康得新复合材料董事长钟玉参与了该场高端对话. 其中,王俊认为生命本身就是数字化,它是一个运行的程序,人类正在尝试理解程序的编译方式和运行原理.相较于人工智能在其他领域的应用,生命科学的大数据时代远远没有到来,但在可预见的未来,生命科学数据将实现飞跃式的发展.他提到生命这套程序的设计就是120岁

Visa卡新招防盗用:每次支付都有新密码

据新华社电 威士国际组织(Visa)欧洲区开发出一款新型银行卡,卡片密码可随时更新.新型银行卡名为"Visa保险码",大小与普通银行卡差不多,但卡身有一个小 型显示屏和键盘. 迷你显示屏和键盘是用来生成可以不断变化的新支付密码的:每次http://www.aliyun.com/zixun/aggregation/7676.html">网络购物用银行卡埋单之前,用户都需要在迷你键盘上先输入固定密码,然后迷你显示屏上会显示 一个一次性使用的网络支付新密码(包含字母和数字,由

|M| 如何让VSS2005每次进都要输密码啊

问题描述 我的用户名是zhangyc以前的我windows登录名为administrator的时候他就每次都要输入用户名但现在我的windows登录名改为zhangyc的时候VSS登录的时候就不用输入登录名了但这样很麻烦因为我有多个用户要登录这样一来我的其他用户就用不了了谢谢 解决方案 解决方案二:不明白你说的~!`帮顶解决方案三:把登陆名改成其它的就行了,这就是VSS的特点解决方案四:你用的Windows身份验证吧,猜的解决方案五:UP解决方案六:友情UP解决方案七:正好你现在的windows

好的企业微博都是“活雷锋”

昨天@baiyi在微博上问:什么样的企业微博算是好的?我转发评论出了个"损招",让她在微博上抱怨某个或者某个行业的几家企业,看看他们的处理结果哪一个最让人满意?后来有博友参与讨论,觉得这一招虽然有点损,但是比较实在,有博友还举出了一些实在的例子,比如@戴尔技术支持做的比较好,而向当当网则不行,当然这些都是个例.不过考验企业微博好坏的一个重要指标:在最短的时间内帮助用户解决实际问题,不问这个粉丝是老罗这种强悍型的还是我们这般芸芸众生. 后来我有针对这个问题思考了下,现在虽然有很多企业微博

git提交不用每次都输入用户名密码

创建公钥 1.目的: 使用SSH公钥可以让你在你的电脑和码云通讯的时候使用安全连接(git的remote要使用SSH地址)1.打开终端进入.ssh目录 cd ~/.ssh 如果.ssh文件夹不存在,执行指令自动创建 mkdir ~/.ssh 2.生成RSA密钥对 ssh-keygen -t rsa -C "你的邮箱@xxx.com" 为了方便全程回车即可(不用输入ras文件名及密码) 3.查看公钥内容 cat ~/.ssh/id_rsa.pub 4.将公钥内容复制并粘贴(注意:公钥内容

人人都是活雷锋——社交平台如何提升用户参与度

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 很多社交平台的开发者喜欢通过类似游戏的机制来提升用户参与度,比如积分.等级.排行榜等等.这些特性确实可以吸引用户加入,却并不能长期维持用户的参与度.这是因为利用积分.等级.排行榜这些方法,是把所有用户放在一个同等的平台上让他们竞争;而相反的,成功的社交平台会把用户分成不同类型的组,区别对待. 最关键的分组标准是:高级别用户(高手)和低级别用户