传统的密码有诸多缺点,包括许多人为了贪图方便设定很容易遭人猜中的简单密码,而使得账号遭到入侵,为了解决这个问题,釜底抽薪之计就是不要再用密码,金融业正积极引进各种生物辨识,不过单一生物辨识仍然容易遭到许多手法破解,Google 认为最安全的方式是用多种混合认证可保万无一失,在年度 I/O 开发者大会上发表 Trust API 混合认证系统。
为了一劳永逸解决密码与人类怠惰造成的安全问题,生物辨识如今成为显学,汇丰(HSBC)将逐步于各国引进声音及指纹辨识,花旗(Citi)则于 2016 年 5 月 17 日宣布率先在台湾导入声纹辨识,之后推广到澳洲、香港、新加坡等地,花旗计划在 2016 到 2017 年推广声纹生物辨识到整个亚太地区,花旗在亚太地区有 1,500 万消费者,其中 300 万人可望在接下来 3 年内使用新的声纹辨识系统。
花旗表示以新的声纹辨识系统认证用户只要花上 15 秒钟,相对的,传统方式认证得花上 45 秒钟,因此生物辨识不仅能加强安全性,还能加速交易效率。
Google 也有志一同,想把密码扫入历史的垃圾桶,不过 Google 对生物辨识的安全性仍然抱持着警戒的态度,毕竟如指纹辨识有许多人以乳胶塑模等方式破解,Google 认为,单一辨识方式都会有人想出破解办法,但要同时破解多种辨识方式就没那么容易了,根据这个基本原理,Google 研究多年之后,推出 Trust API。
Trust API 不只使用生物辨识,如脸孔辨识、声纹辨识、打字与浏览手势习惯等,还用上非生物的资讯,譬如所在位置,所使用的 Wi-Fi 等,以多重资讯来判断使用者的身份,每个项目都有相对应的安全分数评断,总分高于某个数值则判断为安全,但这个数值也并非固定,而是随着所使用应用的重要性而机动调整,以兼顾使用上的便利与安全性,譬如只是上上网可能不需要太高的安全分数,但若要开起个人邮件,或进行线上购物,就要高安全系数。
既然手机上有这么多内建的感测机制,包括相机、收音麦克风、触控屏幕等,为何不能让手机自己认出我们是不是手机的主人,而得依靠密码呢?Google 认为,Trust API 将可比纯粹使用指纹认证安全 10 倍以上,并将于 2016 年 6 月起在数家大型金融机构进行测试,如果一切顺利,或许我们终于可以不用记住恼人的密码了。
- Google could replace some passwords with a ‘trust score’ by the end of the year
- Citi is going to start using voice patterns to authenticate customers over the phone in Asia
(首图来源:Flickr/Michele Di Trani CC BY 2.0)
延伸阅读:
- 汇丰将引进声音及指纹辨识取代传统密码
