密碼再見吧!

還在為最近國內大型網站接二連三地出現用戶賬戶、密碼泄露等問題而憂心忡忡嗎？來了解一下即將應用到電腦、手機上的圖形、生物特征識別等新一代驗證技術吧，字符式的密碼驗證技術很快將成為過去時。

早在2004年，時任微軟公司董事長的比爾#8226;蓋茨就曾在RSA安全會議上說過，傳統密碼將成為過去，因為它無法應對日益嚴峻的安全挑戰。與此同時，比爾#8226;蓋茨也表示，微軟內部已經開始使用智能卡系統來代替傳統密碼，智能卡使用便利并具有很強的擴展性，能夠結合虹膜掃描和指紋識別等各種生物特征識別技術進行安全驗證。

作為傳統密碼的替代品，生物識別系統涉及數以億計的龐大市場，當前幾乎所有相關的廠商都緊盯這一領域的發展。而國內大型網站接二連三的密碼泄露事件，也讓廣大互聯網用戶開始對新一代驗證技術充滿期待。下面，CHIP將展示下一代驗證技術目前的發展狀況，評估新技術的便利性以及安全性。

圖片密碼

便利度：

安全性：

適用范圍：配備觸摸屏的Windows 8

用戶可以選擇任何圖片來設置圖片密碼，在圖片上圈住某一個區域，然后按住圖片中的某一點畫直線到另一點，以上3步操作可以被設定為一個圖片密碼，登錄時只需在圖片上重復同樣的操作即可通過驗證。在圖片密碼驗證失敗時也不必擔心，Windows 8會提供一個傳統的賬戶密碼登錄方式供用戶使用。

很明顯，這一驗證方式特別適合配備觸摸屏的設備，而對于使用鼠標操作的設備來說會不太方便，至于安全性，或許觸摸屏上留下的指痕會成為猜測用戶圖片密碼的線索。

屏幕鍵盤

便利度：

安全性：

適用范圍：智能手機、平板電腦

許多用戶選擇使用PIN碼鎖定手機，在特別為觸摸界面優化的Windows Phone 7和Windows 8系統中，系統將提供一個類似的登錄方式，用戶可以通過屏幕上的軟鍵盤鍵入PIN碼登錄系統。

安全與便利通常無法兼得，大部分人都不愿意記憶更長的密碼，但是常見的4位數PIN碼很容易被暴力破解工具攻破，因而，從安全的角度考慮，我們應該使用起碼6位數的PIN密碼。

人臉識別

便利度：

安全性：

適用范圍：配備攝像頭的設備

人臉識別技術通過用戶下巴、眼睛、鼻子、嘴和額頭的獨特特征進行驗證，通過攝像頭軟件可以捕獲和比較當前請求登錄用戶的臉部特征是否與用戶數據庫相匹配，在大部分特征吻合的情況下，即可通過驗證授予用戶訪問的權限。

人臉識別技術特別適用于筆記本電腦、上網本、智能手機和平板電腦，因為這些設備都內置攝像頭。不過，人臉識別技術并不是牢不可破的，在黑帽大會上，黑客就曾經演示了如何通過用戶的照片來騙過人臉識別驗證設備。因而，人臉識別技術的相關開發廠商隨后在人臉識別設備中加入了現場檢測技術，避免設備被合法用戶的照片所欺騙。

現在，在Windows XP/Vista/7等系統中，我們已經可以通過Luxand的Blink（luxand.com/blink）或Nemitec（nemitec.com）軟件將人臉識別作為驗證方式，其中Nemitec加入了現場檢測技術，因此驗證用戶身份可能需要花費更多的時間，但是卻能夠獲得更高的安全性。根據開發商的介紹，在Windows中使用人臉識別技術驗證用戶身份，即使用戶戴太陽鏡、留胡須或者改變發型，都不會影響識別的準確性，因為通過臉部其他部位的特征仍然足以辨別出用戶。

指紋

便利度：

安全性：

適用范圍：機場、筆記本電腦

指紋驗證設備通過掃描儀捕獲用戶的指紋并將其存儲到用戶數據庫中作為一個指紋模板，當有人試圖登錄系統時，驗證設備將通過掃描儀捕獲用戶手指的指紋并與用戶數據庫中的指紋對比，如果有匹配程度接近百分之百的指紋，即會通過用戶的身份驗證。

用戶的指紋模板通常直接保存在指紋掃描儀或智能卡上，它如果被竊取，利用Photoshop之類的圖像編輯軟件即可對指紋模板進行編輯，這有可能會突破指紋識別設備的防線。事實上，指紋識別并不如一般人所想象的那么安全，早在2002年，日本的密碼專家Tsutomu Matsumoto就曾經通過Photoshop和一些透明膠帶，制作出人工手指，成功地騙過了指紋識別設備。因而，現如今如Dermalog ZF1之類的高端指紋識別設備，都加入了熱量和光線折射率等檢測技術，用以區分掃描的對象是一個活生生的人還是一個物件。不過，類似的設備價格昂貴，并不是所有人都能夠負擔得起的，甚至許多設備都不允許授予給個人用戶使用。

OPEN ID

便利度：

安全性：

適用范圍：登錄Web服務

OPEN ID是雅虎、微軟、Facebook和谷歌等行業巨頭支持的一個互聯網身份驗證系統，該系統擁有龐大的用戶群，根據德國聯邦信息技術安全機構（BSI）的統計，OPEN ID的用戶數量估計超過500萬。

我們只需要在OPEN ID網站上（myopenid.com）注冊一個OPEN ID，然后在所有支持OPEN ID的網站上，我們都不需要再單獨進行注冊，只需要選擇“Sign-in with your Open-ID”，網站就會自動轉到OPEN ID系統的站點，并在我們登錄之后自動轉回原網站，使我們能夠以網站注冊用戶的身份繼續進行操作，而網站則直接從OPEN ID網站獲得我們的用戶名等一些基本信息。

OPEN ID是一項前景非常廣闊的免費服務，不過，它面臨一個重大的問題，那就是OPEN ID非常容易受到釣魚式攻擊。攻擊者可能會制作一個看上去是OPEN ID系統的網站，例如A網站，在用戶試圖使用OPEN ID登錄A網站時黑客通過某種攻擊手段將用戶帶到偽造的網站，從而盜取用戶輸入的OPEN ID賬戶和密碼。許多用戶通常不去分辨、也很難分辨網站的真假。

BROWSER ID

便利度：

安全性：

適用范圍：登錄Web服務

Mozilla基金會推出了一項類似OPEN ID的服務，這項名為BROWSER ID的服務采用非對稱式的加密技術和數字證書技術，BROWSER ID服務提供商在用戶使用一個電子郵件注冊后，將為用戶創建包含一個私鑰和一個公鑰的密鑰對，在用戶嘗試登錄支持BROWSER ID的網站時，可以通過密鑰對驗證用戶的身份。

BROWSER ID有多個復雜程度不同的版本，以其中一個簡單的版本為例，用戶密鑰對的私鑰將可以通過瀏覽器調用，而公鑰存儲于服務系統中，在用戶嘗試登錄一個支持BROWSER ID的網站時，只需要輸入自己注冊BROWSER ID時使用的電子郵件地址而不需要輸入密碼，網站將通過服務系統獲得用戶的BROWSER ID公鑰，并與用戶瀏覽器提供的私鑰相互印證即可完成身份驗證，整個驗證的過程既安全又方便。

BIO ID

便利度：

安全性：

適用范圍：登錄Web服務

最昂貴因此也可能是最安全的Web服務驗證技術是由弗勞恩霍夫研究所開發的BIO ID，該技術融合了Open ID與生物特征識別技術。雖然這聽起來很復雜，但是對于用戶來說它非常簡單，首先用戶只需要在BIO ID服務站點（bioid.com）進行注冊。注冊需要一個攝像頭和一個麥克風，BIO ID將記錄用戶的臉部特征和語音樣本，在用戶進行登錄驗證時使用。當用戶嘗試登錄一個支持Open ID的網站時，只需要對著鏡頭和麥克風說幾句話，即可通過BIO ID的驗證并成功登錄網站。

毫無疑問，一個雙重生物特征識別保護的系統是更安全的登錄驗證系統，黑客即使能夠獲得用戶的BIO ID數據，也很難重建用戶的臉與聲音。類似的技術特別適合用于筆記本電腦等設備，因為所需硬件在這些設備上都是現成的。

圖形鎖

便利度：

安全性：

適用范圍：智能手機

圖形鎖是近期很流行的一種智能手機解鎖方式，特別是在Android手機上。用戶可以通過屏幕上顯示的9個圓點，用手指連接圓點組成一個特殊的圖形，并將其設置為用于解鎖手機的圖形鎖。手機在待機狀態下需要解鎖時，只需要在屏幕的9個圓點上畫出設置的圖形即可成功解鎖。

在Windows的電腦上，使用工具軟件XUS PC Lock Tool（www.edesksoft.com）也可以實現類似的功能。對于配備觸摸屏的設備來說，使用該功能有一定的樂趣。至于圖形鎖的安全性，觸摸屏上留下的指痕或許會成為他人破譯解鎖圖形的線索，其次，部分手機在接聽來電時可以不需要解鎖，手機上的數據可能因此面臨危險。

智能卡/閃存盤

便利度：

安全性：

適用范圍：登錄商用電腦

對安全性要求較高的公司，通過智能卡和閃存盤驗證用戶的身份是一種行之有效的方式，智能卡可以存儲用戶的密碼和指紋等生物特征驗證信息，還可以存儲用戶的個人資料。驗證設備可以在用戶插入智能卡登錄時，通過多種識別技術驗證用戶身份。

在電腦上我們也可以使用Dekart Logon (www.dekart.com)之類的軟件，這些軟件可以把閃存盤變成登錄驗證的工具，而且，在我們需要離開電腦時，只需要拔出閃存盤即可鎖定電腦。通過智能卡與閃存盤實現的驗證技術安全性極高，并且，具有很強的可擴展性，可以結合各種生物特征識別技術提高安全性。

體感驗證

便利度：

安全性：

適用范圍：通過微軟Kinect登錄

Kinect是微軟為Xbox 360設計的體感游戲設備，通過多個攝像頭識別用戶的身體動作進行游戲。目前，Kinect已經具備了人臉識別功能，能夠根據識別的結果自動使用用戶的Kinect ID進行游戲。在此基礎上，許多業界人士建議可以進一步地開發該設備，他們認為Kinect既能完成人臉識別功能，又能識別用戶的身體動作，那么利用用戶的這些身體特征，將可形成一種新的生物特征識別技術。為此，微軟也成立了一個名為“Kinect SDK Dynamic Time Warping （DTW） Gesture Recognition”的項目，幫助感興趣的程序員開發相關的應用。

這一驗證技術目前來看具有不錯的安全性，但是負責采集數據和驗證的軟件是否能提供足夠高的準確率將會是一個問題。而目前可以確定的是，在未來的Windows 8中，我們將可以使用Kinect的識別功能操作電腦和各種應用程序。

掃描眼睛登錄

目前iPad 2和iPhone以及各種Android手機都配備了前置攝像頭，似乎已經具備使用虹膜和視網膜掃描等眼睛掃描技術的條件，因而，一些開發者嘗試在這些設備上開發采用眼睛掃描技術的應用程序。

在蘋果App Store中有兩款適用于iPad 2和iPhone 4可通過前置攝像頭進行眼睛掃描的應用程序，不過，這些應用程序目前并不能夠真正用于登錄驗證，而僅僅是一個娛樂程序。其中的Eye Scanner-iris identification（0.99美元）模擬通過虹膜掃描登錄系統的過程，而另一個程序retinal scan（1.99美元）則真正嘗試掃描眼睛和識別其特征，但是它并不保存捕獲的數據，當然也就不可能提供身份驗證等具體的應用功能。

Android設備的開發者則已經開始測試真正具備實用價值的功能，當前，Android程序BioLock已經能夠真正使用虹膜掃描技術檢驗用戶身份。不過，由于虹膜在不同的光線下會產生變化，因而，要確保各種環境下的虹膜掃描準確率有一定的困難。因此，BioLock也提供人臉識別、語音識別驗證以及一個傳統的字符式密碼，確保即使所有生物特征驗證手段都失敗，用戶仍然能夠訪問所需的功能。

BioLock除了能夠保護手機，用于登錄手機系統和解鎖手機，還可以保護應用程序與手機上的個人文件。不幸的是，該程序目前并不公開提供給所有的用戶使用，是否會胎死腹中仍很難說。不過，對眼睛掃描技術感興趣的用戶可以在Android和蘋果的軟件市場找到許多有意思的程序，這些程序大部分都是免費的。