走進無密碼時代——拯救還在用123456做密碼的你

新聞 06-16

撰文：Nate Lanxon

年復一年，全球最常用的登錄密碼依然是「123456」

比爾·蓋茨(Bill Gates)在13年前就預言了密碼的終結，但這一終結遲遲沒有到來

如今，有關海量數據泄露的新聞層出不窮，但面對如此不祥的現況，相對於安全，多數人依然更看重密碼的方便性。這就是為什麼年復一年，全球最常用的登錄密碼依然是「123456」，這個密碼組合是如此明顯，以至於在登錄管理服務商Keeper Security分析的1000萬個泄露密碼中，它自己就佔了17%。

拋棄密碼？

當然，解決問題的方法就是徹底拋棄密碼。生物識別技術（尤其是指紋掃描）已經在穩步取代鍵入密碼的需求——密碼會被黑客的機智演算法輕易攻破。如今，隨著世界一步步接受了諸如Amazon Echo和Google Home等語音激活設備，企業也開始研發能夠識別個人語音模式的技術。面部識別也開始流行起來。

Google Home是是谷歌發布的內置揚聲器的語音激活設備，可以通過語音控制家庭設備

「我們的願景就是徹底消滅密碼，」雅虎公司(Yahoo! Inc.)的產品管理副總裁迪倫·凱西(Dylan Casey)表示，這家公司也遭遇過重大安全攻擊問題。

「未來，當我們回顧眼前這個時代，我們會嘲笑自己居然有過這樣的密碼要求。不但要10個字元，還得包括大小寫字母、一個數字以及特殊字元；就像今天的孩子一定會嘲笑當年聽音樂還要買CD一樣。」

問題在於，企業能否說服用戶切換至生物識別的登錄方式，以及這些新技術能否證明它們比老式密碼更經受得住黑客的攻擊。

從2015年3月起，雅虎郵箱的用戶已經可以不再牢記自己的密碼了。用戶可通過手機簡訊接收一個一次性的隨機密碼。

同年10月，雅虎進一步拓展了這一應用，以更好地發揮智能手機的優勢：用戶無需鍵入一組密碼，只需在收到服務方發來的詢問通知時，確認是本人登錄即可。由於現在的許多智能手機均配有生物識別感測器，這個方式可能比簡訊更安全，因為它不僅需要用戶手邊有一隻手機，還需要用戶對手機進行解鎖。

此類系統之所以能大行其道，很大一部分功勞要記在蘋果公司(Apple)身上，蘋果於4年前在iPhone中加入了指紋掃描器，隨後又陸續將之加入了其MacBook產品線中，從而推動了該技術的普及。

微軟公司(Microsoft)也行動了起來。4月，其Outlook.com、Xbox.com、Skype.com等基於雲端的服務的約8億用戶開始可以通過在智能手機上掃描指紋的方式登入這些服務。到2017年的10月或11月，微軟公司身份識別部門的產品負責人亞歷克斯·西蒙斯(Alex Simons)表示：

「你可以拿起手機，走向你的Windows 10個人電腦，然後按一下拇指指紋，即可登入電腦。」

」

一向重視安全的銀行業已經採納了其中一些最尖端的技術。早在2014年，英國的巴克萊銀行(Barclays)就開始允許高凈值客戶在使用電話銀行服務時，用語音確認他們的身份，2016年，這一方式也成了該行普通客戶們的選擇。

巴克萊銀行在英國、印度和菲律賓的客服中心的負責人西蒙·希帕爾干(Simon Separghan)表示，「我們的聲音識別技術是要採集一段錄音，然後分析不同的聲音模式、語調、音高以及語速。」他也透漏，該行正將此技術整合在銀行的手機應用程序之中。滙豐銀行(HSBC)、花旗集團(Citi)及西班牙國際銀行(Santander)也都開始允許顧客使用聲音登入他們的電話銀行賬戶。

面部識別也在日益普及開來。萊斯銀行(Lloyds Banking Group Plc.)2017年4月宣布將會試用微軟的Windows Hello技術，用戶可通過將面部對準電腦的網路攝像頭，登入他們的網路賬戶。聯合服務汽車協會(United Services Automobile Association)以及另一家來自英國的原子銀行(Atom)也在智能手機應用上推出了相同的服務。

新技術的隱患

這些新技術一定能將黑客擋在門外嗎？巴克萊的希帕爾干對該行的語音激活登錄系統胸有成竹，他說迄今為止還沒出現過被入侵的情況。「我們非常有信心，這個系統就像你的指紋一樣獨一無二，」他說。「因此，不論是有人模仿，還是播放錄音，系統都能識別出來。」

但市場調研機構ABI Research的數字安全調研總監米凱拉·門汀(Michela Menting)則沒有這麼確定。她說：

「通過人工智慧，你可以讓機器克隆人的聲音，或許就能假裝成另一個人。」

」

2017年4月，一家蒙特利爾人工智慧創業公司的三名開發人員發布了他們的語音合成工具Lyrebird（琴鳥）的測試版本，他們表示，該工具只需要最短60秒的錄音，即可「複製任何人的聲音」。他們也公布了一些樣本，分別模擬了貝拉克·奧巴馬(Barack Obama)、希拉里·柯林頓(Hillary Clinton)及唐納德·特朗普(Donald Trump)的聲音。

Lyrebird的官網顯示該工具可以「複製任何人的聲音」

亞歷山大·德·布雷比松(Alexandre de Brébisson)是Lyrebird的創始人之一，目前在蒙特利爾大學學習人工智慧，他說他們團隊的動機是改進語音合成技術，而非任何邪惡的目的。「未來，我們相信語音人機界面會越來越普遍，我們想讓它變得更好，」他說。

那麼，他的軟體能否騙過基於語音的身份鑒別系統呢？「我們還沒在那些系統上測試過我們的技術，」他說，「但如果我們目前的技術已經能騙過它們，我們也不會感到驚訝。」

面部識別領域也存在類似的擔憂。據微軟透露，其Hello技術目前已適用於許多基於Windows的電腦，很快，它也將在萊斯銀行、哈利法克斯銀行(Halifax)及蘇格蘭銀行(Bank of Scotland)展開測試，該技術的工作原理是利用紅外線感測器打造出一幅可靠的人臉畫面。微軟表示，在鏡頭前放一張照片不可能矇混過關。