iPhone 5S的Touch ID,是否会将生物认证变成移动设备上的标配?
文 | 曲琳
“活了一辈子,发现自己只是活出了几个账号。”就像网络上一篇文章的题目那样,在互联网世界里,你是由你的ID与一连串数据组成的。
身份认证与个人数据安全是互联网公司需要面对的长久议题,但移动互联网让它们有了变数。iPhone 5S推出了Touch ID,与邮箱地址相比,它是一个让数据与本人严格匹配的ID,而在手机完全成为私人财产的今天,个人数据越积越多,隐私也更容易被窃取,数据安全面临严峻挑战。
而这些新方式与新挑战,勾勒出一个更有颠覆性(或者破坏性)的场景:通过对个人数据的挖掘利用,互联网可以是完全个性化的;指纹识别、虹膜识别等生物识别技术让人们拥有新的“身份证”,移动支付、智能产品操控会变得异常便捷;从隐私的角度,你还可以将个人数据通过一些产品锁起来。或许在未来,走进一家星巴克就可以瞬间实现自动付款,注视一款新型智能机就可以将自己的数据全部导入。
这种既便利又科幻的生活,听起来是大势所趋,但与数据安全相关的话题总是充满争议,更像是巨头的游戏,甚至成为社会基础设施中的一部分。创业公司能否分一杯羹?
生物识别:有望成为标配
代表产品:iPhone 5S、GALAXY S5、KeyLemon、Nymi、音付、FIDO
手势、指纹、人脸、眼球、声音这些方式都能够识别出独一无二的你。iPhone 5S中引入了Touch ID,苹果为此收购了指纹感应器制造商AuthenTec;三星GALAXY S5将会通过虹膜扫描解锁;瑞士初创企业KeyLemon可以鉴别用户的脸和声音;加拿大实验室推出的Nymi能够通过心电图感应器来检测用户的心跳频率;中国天津的“音付”可以将用户的语音口令存入个人数据库来进行确认,目前已经应用于话费、网费、快速支付和转账。
每种识别方式都可以衍生出几种解决方案,有个名叫FIDO(Fast Identity Online)的联盟希望提供一套完整、标准的身份解决方案,成员包含了联想、黑莓、LG、Paypal等软硬件公司,下一步将说服苹果进入。而对于Touch ID的另一种猜想是,它会成为标配,向其他App打开接口。
移动支付与智能产品操控:认证之后,可适用于各种场景
代表产品:PayPal、Google Glass、挖财
在完成认证之后,最容易联想到的应用场景是移动支付,它会使支付更简便、更安全。PayPal正在测试人脸识别,据说支付宝也在考虑加入生物识别元素。
而更进一步的授权与操控,应用面非常广泛。Google Glass会采用视觉认证机制来操控通过WiFi联网的智能家居,但如果加入了虹膜认证,还可以授予不同操作者以不同权限。还有汽车产业,车主走到汽车旁自动认证并打开车门,也并不是神话。
加密与密码管理:做移动智能设备的“保安”
代表产品:1KEY、GalaRing、Aptiq、微护照、认证宝、手机密令
一些产品正在借助移动外设来进行加密,以保护你的信息安全。1KEY是一款蓝牙接口外设,可以辅助进行用户身份识别,备份和恢复手机通讯录等隐私信息;一款名叫GalaRing的智能戒指可以通过触碰带有NFC功能的智能手机进行程序锁定,将隐私信息锁起来禁止他人应用。
通过软件来加密,也可以做到对用户各种密码的管理,甚至替代。认证管理公司Aptiq的加密工具是一个虚拟密钥,国内创业公司认证宝、微护照的加密工具是动态二维码。或者通过软件来构建通用账号平台,手机密令是一款聚合型手机令牌产品,可以在一款App中同时管理淘宝、人人、财付通等社交平台与支付平台的账号,希望达到一个身份登陆所有产品的效果。这些模式也有望与生物识别结合。
打造设备的身份库:只跟踪智能设备,不跟踪人
代表公司:通付盾
这类产品的初衷往往是为金融机构提供风控管理。追踪用户的支付记录会触及用户隐私,中国企业“通付盾”构建了一个“网籍库”,为每一台PC、pad、手机等智能设备进行编码,收集其所在网络、操作系统、使用习惯的信息,通过分析设备行为,控制支付风险,为了与支付对接,它开发了多种认证方式。[page]
自白
苹果推Touch ID是在抢底层
顾晨炜:挖财总裁
通过更电子化、智能化的方式去做认证,肯定是趋势。挖财内部刚刚发起了一个项目:想让用户在我们的App里买基金,想要完成这种大额、远程、“无磁”支付,必须提前认证。在认证之前,这盏象征安全的灯是暗的,认证之后就亮了,但亮的程度有很多种。我们可以自己做,可以和Touch ID对接,或者找公安部、移动运营商对接身份证号与手机号码,甚至推给基金公司去做后续的认证工作。但毫无疑问,这盏灯的亮与暗之间的区别非常大。
认证这件事情,是所有做支付、电商、社交的公司都需要考虑到的。其中的悖论是,大家都要在安全和便利性之间找平衡,想要安全就导致不便利;如果要便利,就无法确定百分之百是你,很难判断“屏幕对面的是人还是一条狗”。
尤其是在手机上,大家还在做新的尝试。Touch ID的推出让我觉得苹果非常聪明。10年前,我还在Capital One(美国一家基于数据挖掘成长起来的信用卡公司)做风险控制,大家开会时冒出过很多点子,通过每个人特有的指纹、音调甚至气味来认证。我认为Touch ID可以接上无数种应用,在使用App进行一些特定操作的时候,直接加上一步,让用户验证指纹。
而且苹果在抢底层,它太厉害了。一旦生物认证做起来,苹果、英特尔、思科这些公司都会介入,它们会做得非常底层,放到芯片里面,就没人能超越了嘛。以前我认为,创业者只要拿出很牛的技术、硬东西就会成功,进入互联网行业才发现,成功是个概率事件,97%以上的创业公司都在专注做一件事,如果没有巨头收购,也许就死掉了。
当然也有别的可能,例如可以提炼出很多认证的层级,创业公司可以做SDK,或者有资源的创业者去做一套中国特有的标准。但认证是更容易被“大家伙”做的事,甚至由国家来建立标准,你吭哧吭哧做半天,万一人家不认怎么办?
创业公司想推动一个认证体系,几乎不可能
张冲:安天实验室、Maker-X团队创始人
GalaRing相当于一把钥匙,可以通过NFC与手机之间交换信息。现在大家在手机上用的九宫格密码或者数字密码,其实强度比较弱。如果用戒指,把输入简化,利用NFC芯片在触碰的同时能够传递高位数密码,就比较难破解。
现在手机上,尤其是Android机上面的安全机制不太好,安装App之后,不经意间通信录、短信等信息就会被传到云端。在iOS上是信息只传给苹果,如果苹果不滥用就问题不大,但是Android就很难,会传到黑客那里,黑客会把数据转卖。安天是一家反病毒引擎技术供应商,一直处于“安全圈”内,我们清楚这种交易很多,在中国尤其严重。
目前在网上,比较流行通用账号体系,用QQ号、新浪微博可以登录的地方非常多,而且巨头之间实际上有一套通用账号体系的协议,可以根据自己的业务放一些权限给其他公司,即使两家公司有竞争,之间也有数据和权限的分享。再比如,以前微博和阿里的数据是割裂的,现在有些数据库就是打通的。
我听说国家层面也在推动一套eID(网络身份认证),如果以后变成国家大力推,那我们每个人都会有一个ID,它可能直接跟QQ号等等互联。所以这是一个极大的生意,就像发放身份证。
GalaRing现在还是发烧友玩的东西,我们想和一些有自己账号体系的公司去谈,把这个东西变成它们体系里的一部分。假设与小米联合出产品,在GalaRing里面把小米的账号绑定进去,就变成MI系列的ID了,整个体系都可以用这个东西保护。这种方式更现实一些,我们自己想推动一个体系几乎是不可能的。
目前这个阶段,个人认证与数据安全都需要关注,我个人认为这个阶段是必然要走的,越来越多的地方需要互联网服务,如果没有方便安全的认证,很多业务和体验都没法做到极致。苹果推出指纹认证,它的产品覆盖面又这么大,因而可能在这一块儿取得一定的主导权。[page]
点评
个人数据可能会越来越开放
蔡金:GuruDigger创始人
GuruDigger帮助互联网企业寻找靠谱的技术人才,方法是在工程师授权自己Email及社交账户之后,通过API及账户授权,在一些技术论坛及社交网络中获取工程师的个人数据,推荐给招聘企业。
关于移动设备上的生物认证,我个人研究不太多,但是从互联网上的个人数据方面,我认为大家对隐私的界定以及介意程度都在变化。
在互联网上获取个人相关数据的方式有很多种,例如软件利用cookie记录用户的动作。以浏览器举例,理论上,只要你打开它,访问各种网页的信息都缓存在服务器里面;还有像我们这样在网上爬数据;移动互联网的SDK也会收集到一些数据。
利用这些个人数据,不一定会构成对隐私的侵犯,反而可以形成新的模式。例如,早期Gmail推出的时候,谷歌称会扫描用户邮件内容,利用自然语言分析判断内容,推送广告给用户,当时很多人反对,现在多数人都不在乎。Facebook这些大公司一直在修改服务条款,GuruDigger的模式是通过ID和email来爬你在互联网上的脚印,但它们未必和隐私有关。换句话说,某张隐私图片被放到网上了,很可能被别人利用,但责任在于那个把图片放到网上的人。
个人数据甚至会越来越开放。几年前是没有“开放平台”的,每家公司的数据完全不会泄露,社交开放之后,现在开发者可以通过豆瓣、Twitter的API接口,导出与用户相关的信息。例如,豆瓣可以把你看过的书、电影、说过的话都导出来,目前豆瓣比较开放,新浪微博、人人网稍封闭一些。
Email依然是PC互联网上的重要认证,我们通过那几家的API导出数据时,需要获取到工程师的email,发给对方来提取。Email是可验证的。指纹、人脸等生物识别技术,在我看来也相当于给你一个ID,每次识别的时候再去比对。
但隐私永远是值得讨论的议题,最近火起来的Snapchat不就号称防止隐私泄露吗?
现实社会的行为数据,在网上也会变得容易获得
刘二海:君联资本董事总经理
人的一生花在自我介绍上的时间着实不少,有了身份,还需要识别身份。现实世界中,识别个体的生物身份最可信赖的应该是DNA检测,但并不容易。于是就出现了很多替代方式。生物方法包括指纹、面部、眼底等。密码及钥匙是最古老的方法。
由于网络的虚拟特性,自然引出了身份识别的新问题,我认为网络上一切活动的开始,都是身份,匿名也是一种身份,正如现实社会中一样,身份是社会运作的基础。
身份识别要求便捷和安全。两者之间是有矛盾的,通过手机识别身份是便捷的方式,但我们必须考虑手机丢失带来的安全问题。
一旦身份在网络能够识别,则很多业务可以通过网络完成。最基础的自然是与财富相关的业务,如网络购物、网上支付、网络汇款等。
另外,社交网络也成了人们了解对方的一个重要途径。据说,很多大学招生录取学生,单位招收员工、高管,都要研究其在Facebook和Twitter上的言论。也就是说,身份识别会与网上行为分析相结合。
可以预见的是,其一,身份识别的技术会越来越先进,诸如指纹、面部、密码、加密装置等,一旦加密技术打开大门,网络对现实世界的渗透会越来越广泛;其二,社交网络的发展以及日益增多的网上活动,为个人网络行为分析提供了可能,这也是所谓的大数据分析;其三,现实社会的行为数据在网上也会变得容易获得,比如个人信用调查、个体资格查询(如:毕业证、学位证)等;其四,移动互联网迅速发展,手机外设成本降低,手机会在身份认证中扮演重要角色;其五,网络越重要,网络安全和隐私也会变得越受关注;其六,与身份认证相关的业务技术性强、应用广泛、市场容量大,往往会出现赢者通吃或少数玩家胜出的局面。