活体密码真的安全吗

姓名：高浪

【嵌牛导读】用红外线照射眼睛或者照射静脉，我们最信赖的人体密码将很轻易被泄露。指纹、眼睛虹膜、脸到声音，所有人体的生物识别密码都可能被“窃取并复制”，这些无法被改变的密码可用来突破安全防线，对公共管理、智能硬件形成安全威胁。

【嵌牛鼻子】活体密码，指纹，眼睛虹膜，脸，声音，极客，安全。

【嵌牛提问】目前，在国内有一大批手机品牌开始推出指纹识别之外的新型生物识别方式，包括脸部识别、眼部识别，甚至声音控制识别。但是，所谓的活体密码真的安全吗？

【嵌牛正文】

“用红外线照射眼睛或者照射静脉，我们最信赖的人体密码将很轻易被泄露。”在前些时候举行的黑客攻防赛GeekPwn大赛上，一批安全极客展示了AI时代的安全新隐患——从指纹、眼睛虹膜、脸到声音，所有人体的生物识别密码都可能被“窃取并复制”，这些无法被改变的密码可用来突破安全防线，对公共管理、智能硬件形成安全威胁，在防御技术还未跟上AI飞速发展的当下，引发行业内外对人工智能时代安全思考。

在每年举行的极客安全挑战赛上，安全级别在业内最高的苹果手机每年都是选手挑战的热点。今年也不例外，比如，由iPhone X引发的“人脸识别”热，成选手挑战热门。

有一位极客利用漏洞挑战最新推出的人脸识别技术。来自浙江大学的90后女黑客“tyy”用不到3分钟就攻破了“人脸识别”技术的门禁系统。tyy通过远程攻破系统漏洞，更换了人脸认证资料，强行攻入了系统。证明人脸识别系统本身就可能存在安全漏洞。

另一位极客通过利用iPhone 8手机最新系统漏洞，获得手机的最高权限，成功实现了针对iPhone 8的远程越狱破解，不仅拿到了手机内的照片，同时也获得了开机密码。此次发现的漏洞将会影响从iPhone 6到iPhone 8甚至更早期型号的iPhone用户。

目前，在国内有一大批手机品牌开始推出指纹识别之外的新型生物识别方式，包括脸部识别、眼部识别，甚至声音控制识别。用个人独一无二的生物特征作为密码，从技术上看是为了提高安全性，但在从安全极客设定的实验中，生物识别密码同样很容易“泄露”，与文字形式的密码相比，生物密码最危险的地方在于，一旦泄露，就很难更改。

在用VR玩游戏时，在朋友圈晒照片时，或者在不经意的地方按了手指并留下指纹时，你的人体密码就已经“泄露”。经过安全实验，在经过改装的VR上可轻易留下使用者的眼睛虹膜，只要将其打印成图，并附上隐形眼镜增强立体感，就能作为“虹膜识别”在2秒钟内解锁“眼睛主人”的手机；而在朋友圈中晒出的个人正面脸部图像，一旦落入黑客之手，只要经过简单修图，在没有光线反射的微暗环境中，不超过3秒钟，就能解锁图像主人的手机。指纹的复制相对复杂，但实验者也曾成功通过采集插线板上留下的指纹，打印、制作后解锁手机。

“极客用他们的方式来验证新技术，提出引发人们思考的各种可能。”在KEEN公司CEO、GeekPwn大赛发起创办人王琦看来，在此次安全大赛上出现的各种安全漏洞，未必很快会在现实生活中实现，但提出了这种可能，就是为了让更多人来关注。比如目前依然少见的“声纹锁”，业内对此的安全防御几乎为零。

在现场，极客用了20分钟完成了对指定声音语段的“声纹”特征模仿，并成功“解开”了带有声纹锁的智能设备，其中仿真程度最高的一段合成语音成功骗过了三组智能硬件。

值得注意的是，在这个实验中，极客们只完成了对电子语音的模仿，没有完成对真人声音的模仿合成。在安全专家看来，理论上来说，声纹特征的模仿是难度最高的。“声纹攻击包括人声模仿，高水平的配音演员可以做到；语音合成，通过设备合成的声音，一定会与原始声音有偏差，但目前，依然能解开声纹锁的设备，原因在于设备厂商对声纹锁的安全防御几乎为零。”在现实生活中，没有任何防范措施的情况下，只要录制半个小时的语料，并掌握用户开声纹锁的汉字密码，解开声纹锁就易如反掌。

从以上的例子可以看出，活体密码并没有人们想象的那么安全，至少在现在还是不太安全。拿传统的密码作为比较，密码如果不是不小心透露，被别人猜出来的可能性还是比较小的，当然这是在密码不是过于简单的前提下。而所谓的活体密码就不同了，你的活体密码就暴露在周围环境中，不是你想不想暴露的问题，而是会以一种什么样的方式暴露。不小心发了朋友圈，瞳孔信息暴露了，不小心摸了一下什么，指纹信息暴露了。所以说，，在当前的条件下，活体密码相较于传统密码，其暴露丢失的可能性更大。所以活体密码在现有的条件下，总的来说并不安全。