當(dāng)黑客竊取你的“心跳”時(shí)，生物數(shù)據(jù)安全何去何從

在這個(gè)“以人為本”的時(shí)代，利用生物識(shí)別進(jìn)行人的身份識(shí)別和訪(fǎng)問(wèn)管理讓人趨之若鶩。因?yàn)樯镒R(shí)別技術(shù)十分精確、難以偽造，或許未來(lái)會(huì)有所改變，甚至為濫用生物識(shí)別數(shù)據(jù)而付出代價(jià)。生物識(shí)別，現(xiàn)在正在快速發(fā)展，未來(lái)將不僅局限于面部識(shí)別。

然而，技術(shù)越進(jìn)步，安全越重要。安全專(zhuān)家應(yīng)該了解生物特征的狀態(tài)以及如何管理生物特征數(shù)據(jù)。

基本生物識(shí)別：可穿戴設(shè)備

大多數(shù)人可能都攜帶過(guò)某種類(lèi)型的含有芯片的鑰匙卡，但是現(xiàn)在很多可穿戴設(shè)備能代替這些鑰匙卡實(shí)現(xiàn)相同的功能。比如，低耗能藍(lán)牙設(shè)備就可以取代錢(qián)包中的射頻識(shí)別（RFID）鑰匙卡實(shí)現(xiàn)相同的功能。但所有的身份識(shí)別技術(shù)進(jìn)行合并時(shí)，會(huì)帶來(lái)更大的便捷性體驗(yàn)。即使可穿戴設(shè)備能夠進(jìn)行健康監(jiān)控想必也不會(huì)讓人驚訝了，心跳數(shù)據(jù)也有可能變成人們身份識(shí)別的下一個(gè)“鑰匙”。

在心跳的話(huà)題上，如果用激光代替可穿戴設(shè)備來(lái)測(cè)量心臟的輸出功率又如何呢？那么以下場(chǎng)景將成為可能，在具有一定距離的地方就可以檢測(cè)到這個(gè)人的心跳，穿過(guò)人們的輕薄的衣服檢測(cè)由心跳引起的微小振動(dòng)并進(jìn)行識(shí)別。隨著使用心臟測(cè)量進(jìn)行識(shí)別和認(rèn)證的能力增強(qiáng)，面部識(shí)別可能很快就會(huì)成為過(guò)去。

通過(guò)眼睛和聲音都可以進(jìn)行身份識(shí)別

生物識(shí)別技術(shù)不僅僅可以識(shí)別身份，還可以識(shí)別人的心情。即使戴著口罩，只要通過(guò)眼睛就可以識(shí)別出人的心情。虹膜掃描生物識(shí)別技術(shù)可捕獲人眼圈中的圖案照片，并驗(yàn)證人們的身份。虹膜識(shí)別是非接觸式的，而且十分準(zhǔn)確。它也可以遠(yuǎn)距離使用，只需要用戶(hù)看一眼即可。

此外，語(yǔ)音識(shí)別發(fā)展由來(lái)已久，可以追溯到20世紀(jì)50年代。由IBM在1960年代初期開(kāi)發(fā)的Shoebox Machine 能夠識(shí)別16個(gè)口頭單詞，從零到9的十個(gè)數(shù)字以及一系列命令，例如“加號(hào)”，“減號(hào)”和“總計(jì)”。如今，有兩種類(lèi)型的語(yǔ)音身份驗(yàn)證方法，一種是與文本無(wú)關(guān)的文本（使用任何類(lèi)型的語(yǔ)音進(jìn)行身份驗(yàn)證），另一種是與文本相關(guān)的（需要特定密碼短語(yǔ)）。因?yàn)槲覀兊穆曇羰仟?dú)特的，在強(qiáng)度、動(dòng)態(tài)和音調(diào)方面有所差異，所以作為身份識(shí)別具有唯一性。

生理和行為上的雙重識(shí)別方式

從某種程度上來(lái)說(shuō)，這種生物識(shí)別方式是令人恐懼的、毛骨悚然的。我們甚至還沒(méi)有討論檢測(cè)人們的步行模式（某些警察機(jī)構(gòu)已經(jīng)開(kāi)始使用）、監(jiān)視氣味、跟蹤微生物細(xì)胞或從人們的體形進(jìn)行識(shí)別的能力。越來(lái)越多的組織正在尋找多樣的非接觸式身份驗(yàn)證方法。

所有這些生物識(shí)別技術(shù)的共同點(diǎn)是，它們使用生理方法和行為方法的某種組合來(lái)確?！澳憔褪悄恪薄Ｒ?yàn)樵谏锾卣魃?，很多事情是不能偽造的，比如無(wú)法偽造虹膜指紋，甚至心跳。就步行方式、打字方式和簽名方式，每個(gè)人也都是獨(dú)特的。

如果這些識(shí)別技術(shù)普及開(kāi)來(lái)，那么即將進(jìn)行的是一場(chǎng)認(rèn)證革命。當(dāng)我們不再使用那些RFID卡或者ID卡，一旦人們出行，激光識(shí)別將開(kāi)始工作，進(jìn)行人們的身份識(shí)別。當(dāng)出現(xiàn)可疑人員時(shí)，便可快速制服。由此可見(jiàn)，獨(dú)特的身份驗(yàn)證技術(shù)具有很大的價(jià)值，而那些犯罪分子似乎也“在劫難逃”？

風(fēng)險(xiǎn)總是來(lái)自數(shù)據(jù)

然而，新事物、新技術(shù)的出現(xiàn)總是伴隨著風(fēng)險(xiǎn)，或許現(xiàn)在黑客無(wú)法復(fù)制人們的心跳，但是在未來(lái)呢？比如利用3D打印技術(shù)復(fù)制另外一個(gè)人，并“上傳”心跳，這似乎是一件不可思議的事。

這一切現(xiàn)在聽(tīng)起來(lái)像科幻小說(shuō)，但生物識(shí)別存在的技術(shù)風(fēng)險(xiǎn)危害有多大？這是難以估量的。畢竟，合法的研究人員正在證明他們可以使用AI擊敗面部識(shí)別軟件。虹膜識(shí)別可以被高質(zhì)量的圖像所擊敗，擁有一些基本音頻編輯軟件的用戶(hù)可以欺騙語(yǔ)音識(shí)別。以下三個(gè)風(fēng)險(xiǎn)表示我們不能輕視生物識(shí)別技術(shù)的潛在危害。

風(fēng)險(xiǎn)一：生物識(shí)別技術(shù)的管轄權(quán)

企業(yè)對(duì)于生物識(shí)別技術(shù)的使用程度應(yīng)該有所把握，過(guò)度使用終將會(huì)出現(xiàn)問(wèn)題。企業(yè)需要平衡生物識(shí)別技術(shù)的風(fēng)險(xiǎn)并進(jìn)行安全成本的投資。例如，數(shù)據(jù)處理的方式正在變化中。7月，歐洲法院干預(yù)了企業(yè)外部數(shù)據(jù)的處理方式。當(dāng)組織弄清楚如何管理數(shù)據(jù)時(shí)，他們將面臨壓力，如何節(jié)省成本的壓力。

風(fēng)險(xiǎn)二：大數(shù)據(jù)

大數(shù)據(jù)具有多個(gè)潛在風(fēng)險(xiǎn)。首先，如果企業(yè)決定使用生物識(shí)別認(rèn)證策略，那么將要在員工中收集大量個(gè)人身份信息（PII）。比如個(gè)人健康信息（PHI），那么1996年《健康保險(xiǎn)攜帶和責(zé)任法案》（HIPAA）將以某種新形式實(shí)施，并適用于持有生物識(shí)別信息的任何人。

生物識(shí)別技術(shù)和大數(shù)據(jù)也存在管理問(wèn)題。這些數(shù)據(jù)可能會(huì)不安全，因?yàn)閿?shù)據(jù)的傳感器是端點(diǎn)，如果有人在這些設(shè)備上安裝嗅探器或竊取工具，是否就可以獲取所有這些生物識(shí)別數(shù)據(jù)？一旦如此，那么所有這些PII和PHI將保留在企業(yè)的數(shù)據(jù)資產(chǎn)負(fù)債表上。

風(fēng)險(xiǎn)三：生物識(shí)別和隱私

最后，監(jiān)視范圍過(guò)大會(huì)引起隱私問(wèn)題。在對(duì)人們進(jìn)行身份驗(yàn)證時(shí)，利用生物識(shí)別技術(shù)和系統(tǒng)中的數(shù)據(jù)進(jìn)行校對(duì)，那么勢(shì)必會(huì)檢測(cè)人們很多的動(dòng)作等，進(jìn)行嚴(yán)格的審查，如果不一致，則會(huì)被判為異常，會(huì)存在一定的誤判率。

生物識(shí)別下的身份驗(yàn)證技術(shù)有很大的誘惑，但是如果無(wú)法確保生物信息的安全，并做好應(yīng)對(duì)風(fēng)險(xiǎn)的準(zhǔn)備，還是先暫緩，否則將因此付出巨大代價(jià)。