生物識別ID可以保護好隱私及安全事宜嗎？

 聯(lián)合航空公司(United Airlines)，將開始在其樞紐機場和休斯頓喬治布什洲際機場(Houston George Bush Intercontinental)推出Clear的生物識別預檢系統(tǒng)。該系統(tǒng)通過驗證飛行員的指紋或眼睛掃描來工作。

生物識別技術的歷史

人們很容易認為，能夠立即識別出一個獨特指紋的技術是21世紀的一個現(xiàn)代奇跡，但它的根源實際上可以追溯到19世紀末。阿根廷人類學家胡安·烏卡蒂奇(Juan Vucetich)于1891年首次對指紋進行了分類，僅僅兩年后，這幫助探長愛德華多·阿爾瓦雷斯(Eduardo Alvarez)確認弗朗西斯卡·羅哈斯(Francisca Rojas)是殺害她兩個兒子的兇手。接下來是威爾(Will)和威廉韋斯特(William West)的故事——這兩個人沒有血緣關系，但外貌卻幾乎一模一樣。兩人都在利文沃斯監(jiān)獄服刑，但威爾·韋斯特被判輕罪，而威廉·韋斯特已經因一級謀殺罪被判終身監(jiān)禁。監(jiān)獄幾乎沒有辦法分辨出這兩名男子，但后來求助于一項新技術——指紋識別。法國筆跡專家、早期生物識別學研究人員阿爾方斯·貝蒂隆(Alphonse Bertillon)已經創(chuàng)建了一個識別系統(tǒng)，其中包括一張“臉部照片”，以及對囚犯面部特征的詳細描述。正常情況下，這個系統(tǒng)足以區(qū)分不同的個體。然而，考慮到西方人看起來如此相似，還需要一些別的東西。與此同時，Bertillon在指紋圖譜分析技術的發(fā)展上也取得了突破。由于每個人的指紋都是獨一無二的，這足以決定哪個西方是哪個西方。杜蘭大學(Tulane University)專業(yè)進步信息技術學院(School of Professional Advancement Information Technology Program)主任拉爾夫羅素(Ralph Russo)指出：“生物識別技術作為標識符和身份驗證手段已經存在了100多年，其中最著名的案例是警察/執(zhí)法部門使用指紋。”

生物識別技術的進步

這個指紋識別系統(tǒng)只是能夠區(qū)分個體的唯一標志符之一。自伯蒂隆發(fā)明指紋鏡技術以來的一個世紀里，已經有許多先進技術可以掃描個人的視網膜——就像指紋一樣獨特。此外，人臉識別也有了很大的進步。近年來，指紋和面部識別掃描都被用來解鎖智能手機。該技術的支持者表示，他們提供了比密碼更高的安全級別，而密碼很容易被遺忘。“生物特征認證的主要優(yōu)勢是它對終端用戶的易用性，”Positive Technologies的網絡安全恢復能力主管莉安·加洛韋(Leigh-Anne Galloway)說。“信息安全的簡單性并不總是好的，”她說。“臉和指紋永遠與你同在。你不會忘記它們作為密碼，但你也不能更改它們，”加洛韋補充道。生物識別的優(yōu)勢杜蘭大學的羅素認為，利用數(shù)字生物識別技術(包括指紋、虹膜掃描或面部識別)來管理應用程序和設備的訪問權限，其優(yōu)勢在于能夠快速、可靠地訪問與特定個人相關的信息，以及相對較高的準確性。此外，生物識別作為密碼不能丟失或遺忘，因此企業(yè)不必管理大量被遺忘的密碼更改，而密碼可以放在次要選項中。生物識別技術還可以作為多因素身份驗證過程的一部分，并且可以替換丟失或被盜的卡片和其他物理設備。羅素(Russo)說，“每年都有成千上萬的身份證件丟失事件發(fā)生，因為人們試圖管理身份證和行李，并遵循運輸安全管理局的程序”。還有一個方便的因素，沒有哪種密碼類型是真正完美的。羅素(Russo)說，“所有識別人的方法都有風險和缺陷;為了避免忘記很多網站的密碼，人們會把密碼寫下來，以明文形式存儲——而不是加密——或者把密碼交給第三方密碼管理器，因為第三方密碼管理器存在被黑客入侵的風險。”他補充說：“預計未來生物識別技術的使用將以越來越快的速度增長，這有很多原因，包括方便用戶、降低企業(yè)規(guī)模和管理成本，以及相對無摩擦的用戶體驗。”羅素(Russo)指出：“一旦用戶選擇了他們的生物識別認證類型，就不用在小鍵盤上打字，也不用打電話，沒有人可以不帶著手或臉離開家——只是相對更快、更容易進入。”

保護生物識別技術

生物測定學中最大的考慮是這些信息是否足夠安全。2015年，英國人事管理局(Office of Personnel Management, OPM)遭到黑客攻擊，包括指紋在內的500多萬人的個人信息遭到泄露。“最大的危險是不可能改變你的生物特征數(shù)據(jù)，”加洛韋警告說。“黑客攻擊和泄密已經發(fā)生并將繼續(xù)存在。沒有理想的系統(tǒng);我們這個時代使用的生物特征數(shù)據(jù)并不是什么秘密，”她補充道。“指紋可以通過照片恢復;聲音，通過呼叫和錄音樣本;通過從社交網絡上收集目標的照片，來確定人臉的形狀，”加洛韋解釋道。Russo說：“如果你的密碼被黑了，你總是可以創(chuàng)建一個新的密碼，但是如果生物特征數(shù)據(jù)被偷了，你就不能真實地改變你的指紋、面孔或虹膜，這樣你的數(shù)據(jù)就可以被用來欺騙設備，允許未經授權的訪問。”“然而，這并不像人們想象的那么容易做到，盡管人們成功地復制了指紋和聲音指紋來欺騙系統(tǒng)，但人臉識別系統(tǒng)卻更難被欺騙，”羅素補充道。他指出：“總的來說，使用被黑客入侵的生物識別技術成功進入系統(tǒng)的事件很少。”

另一個考慮是，“保護生物數(shù)據(jù)庫并沒有太大的區(qū)別，從保護其他形式的數(shù)據(jù)存儲在一個給定的網絡，除了在政府的這些數(shù)據(jù)積累迅速超過安全的能力，”弗吉尼亞聯(lián)邦大學(Virginia Commonwealth University)政府與公共事務學院(L. Douglas Wilder School of Government and Public Affairs)國土安全和應急準備助理教授懷特(Christopher Whyte)說。他表示：“正如田納西州和國外最近發(fā)生的黑客入侵事件所顯示的那樣，涉及這類數(shù)據(jù)的大規(guī)模泄露遠非憑空想象。”即使它受到保護，問題還是回到了一些產品的效果上。懷特說：“生物特征數(shù)據(jù)實際上給安全帶來了額外的障礙，因為你需要積極處理數(shù)據(jù)，以解釋相關信息性質的變化。”“比如，我去年留了胡子，我有個朋友瘦了80磅。兩年前，兩者都必須由面部識別算法控制，”懷特補充道。“這至少在一定程度上防止了一些標準做法，即盡量減少公司或組織存儲的可能被竊取或泄露的信息。”

隱私及安全事宜

問題的另一方面是隱私問題，以及生物識別技術可能被用于邪惡的原因。這就是舊金山市政府全面禁止人臉識別技術的原因。就在本周，加州成為第一個考慮在全州范圍內禁止人臉識別技術的州。美國國會1215號法案，即《隨身相機責任法案》，提出禁止警察隨身相機使用面部識別軟件，以保護隱私。對于使用指紋作為一種識別方法也有類似的關切。即便是那些認為使用這種清晰或類似的生物識別篩查系統(tǒng)有好處的旅行者，也可能會考慮其弊大于利。ProPrivacy的隱私倡導人士肖恩麥格拉思(Sean McGrath)表示：“盡管這可能會減少幾分鐘的旅行時間，但我們建議游客多花幾分鐘排隊，以維護對個人數(shù)據(jù)的主權。”他表示：“私營企業(yè)(United和Clear)和政府已經一次又一次地證明，他們不能保證這些數(shù)據(jù)的安全。”另一個擔憂是，一旦指紋或眼睛掃描進入系統(tǒng)，就不容易再取出來。麥格拉思補充說：“隨著旅游部門從使用傳統(tǒng)技術轉向使用生物識別技術，旅行者對如何使用他們的生物識別數(shù)據(jù)的發(fā)言權越來越小。”

這是一個完美的系統(tǒng)嗎?

還有一個需要考慮的問題，那就是生物測定學的可靠性。臉會隨著體重的減輕或增加而變化，隨著年齡的增長，人的長相也會有所不同。指紋對個體來說是獨一無二的，但也有相似之處。那么手指上的割傷或燒傷呢?這真的是一個完美的識別系統(tǒng)嗎?“讀取傳感器和指紋處理算法都有一定的閾值，”Positive Technologies的Galloway解釋說。“考慮到手指可能受到的損傷或雜質，這個閾值可能會損害指紋，”她補充說。因此，閾值越高，假陰性的可能性就越大;越低，假陽性的可能性就越大。Tulane大學的Russo補充說：“雖然受傷會干擾指紋的讀取——與數(shù)據(jù)庫中存儲的不同圖像文件進行比較——但大多數(shù)生物識別系統(tǒng)鼓勵存儲第二或第三次指紋，以允許在這種情況下進行讀取。”加洛韋說：“在嚴肅的組織中，生物識別技術必須與其他用戶驗證工具相結合，例如手指加眼睛加密碼。”“生物識別技術并不是識別應用程序和系統(tǒng)用戶的‘完美’手段;就像任何涉及到安全的事情一樣，在太多的安全與太少的安全之間有一個平衡。”“撥出百分比來聲明匹配，就會得到更多的失敗——錯誤的否定——和用戶的挫折感。降低百分比，得到更多的假陽性和較弱的安全性。這與密碼相反，密碼是100%匹配還是不匹配。”

Clear已經在全美約60個地點有售。它提供了一個系統(tǒng)，利用生物識別技術，將預先批準的旅客加速到安全通道的前端，甚至領先于TSA預先檢查的旅客。聯(lián)合航空(United Airlines)和達美航空(Delta Airlines)也為乘客提供這項服務，Clear的技術也被用于需要身份驗證才能進入的體育場和體育場。然而，Clear只是開始開發(fā)這種生物識別篩選技術的幾家公司之一，而機場已經在如何處理競爭但不兼容的系統(tǒng)上苦苦掙扎。

根據(jù)世界旅游公司的數(shù)據(jù)，目前至少有53個生物識別系統(tǒng)被航空業(yè)使用，還有幾十個被其他行業(yè)使用旅游委員會。由于他們各自的數(shù)據(jù)庫并不共享，所以大多數(shù)人的看法并不一致。讓所有的競爭系統(tǒng)協(xié)同工作只是生物識別篩選公司在不久的將來必須應對的挑戰(zhàn)之一，以使這項技術作為傳統(tǒng)識別的替代方案得到普遍接受。