身份驗證手段一直在進步，但依然不是絕對可靠的。

口令的安全漏洞很多。用戶選擇短小又明顯的口令或者跨賬戶使用同一個口令的現(xiàn)象屢見不鮮。同時，理應(yīng)保護客戶數(shù)據(jù)的公司企業(yè)經(jīng)常遭遇數(shù)據(jù)泄露事件，動輒數(shù)百萬客戶憑證失竊。所有這些都導(dǎo)致我們無法信任現(xiàn)在的身份驗證標(biāo)準(zhǔn)。

不過，別慌!口令并非身份驗證唯一因素，數(shù)字證書、硬件令牌、生物特征等都可以用作身份標(biāo)識因素。如今，生物特征識別十分流行。這主要是因為用起來很方便，按下手指或者刷個臉就能登錄，完全不用費心去記冗長艱澀的口令。微軟Hello和蘋果FaceID就明顯昭示了身份驗證的未來在于生物特征識別。
但是，生物特征識別技術(shù)真的可以解決身份驗證中的所有安全問題嗎?
那可未必。生物特征是相當(dāng)精準(zhǔn)沒錯，但并非完全可靠。過去幾年，黑客和研究人員已多次騙過了生物特征識別解決方案。我們不妨看看以下4起生物特征識別黑客事件：
1. 小熊軟糖打敗指紋讀取器
說起生物特征，第一個浮現(xiàn)在腦海的恐怕會是指紋。指紋讀取器是計算界首批投入使用的生物特征識別設(shè)備之一，時至今日它們已無處不在。然而，它們同時也是研究人員首先攻破的生物識別技術(shù)，而且騙過指紋讀取器的方法非常簡單。

2002年，名為松本勉的研究人員用普通小熊軟糖就騙過了指紋讀取器。松本用類似司法取證的方法從玻璃上粘下指紋，然后用粘性材料按取到的指紋做成手指。稍加處理，這些人造“手指”就能騙過指紋傳感器了。
當(dāng)然，隨著時間流逝，生物特征識別也有所發(fā)展。現(xiàn)代傳感器分辨率更高，有的還會查看其它因素，比如溫度和心跳。不過，相應(yīng)的攻擊方法也沒有停下進化的腳步。2013年，iPhone的TouchID推出后不久，混沌計算機俱樂部就破解了這一生物特征識別技術(shù)。更近一些，研究人員用紙張和膠水就黑掉了指紋讀取器。
雖然指紋讀取讓我們可以更方便地解鎖智能手機，但我們還不能完全信任這種方法。
2. 騙過虹膜掃描器
電影里的虹膜掃描可炫酷了，但這種基于眼球的生物特征識別并非僅僅存在于科幻電影中。
但不幸的是，虹膜掃描比指紋讀取也安全不到哪兒去。2012年，研究人員用復(fù)制的虹膜圖像騙過了虹膜讀取器。其中最有趣的一點是，他們用生物特征識別系統(tǒng)數(shù)據(jù)庫中存儲的虹膜數(shù)據(jù)來復(fù)制的假虹膜。就像口令數(shù)據(jù)庫泄露造成口令被盜一樣，虹膜數(shù)據(jù)庫泄露也會導(dǎo)致眼球掃描器被騙過。

3. 紙片人臉愚弄人臉識別
生物特征識別最新的熱門趨勢就是人臉識別了。比如微軟的Hello，你看向電腦或手機就可以解鎖這些設(shè)備。這聽起來像是人們夢寐以求的理想可用性，然而，愚弄人臉識別技術(shù)并不困難。
早在2011年，一位安全博主就發(fā)現(xiàn)，僅使用靜態(tài)照片就可騙過安卓人臉掃描器。給自己照張相，把相片擺到手機前，進入得毫無阻礙。后來，廠商升級了人臉掃描技術(shù)，添加了“活性”檢查，要求做某種動作以確保看向攝像頭的是真人。

4. 3D打印機擊敗3D人臉掃描器
2017年，蘋果推出了名為FaceID的新人臉識別功能。表面上，用戶使用該技術(shù)的體驗與其他人臉掃描器毫無二致。但在手機屏幕背后提供支撐的，是確保人臉識別更加準(zhǔn)確更難以被騙過的技術(shù)。
基本上，手機里安裝了發(fā)送無數(shù)紅外光線的傳感器(TrueDepth)，可以準(zhǔn)確地繪制用戶的臉。這樣手機里就會存儲用戶人臉的3D數(shù)字表示，可從很多角度進行識別。蘋果用機器學(xué)習(xí)強化了該功能，即便用戶帶著帽子、眼鏡或其他可能混淆傳統(tǒng)人臉掃描器的裝飾品，都依然能識別出來。
這些努力都應(yīng)能使人臉生物特征識別相當(dāng)可信，也確實強化了該識別技術(shù)。但是，就在蘋果推出FaceID一周后，越南某安全團隊就宣稱攻克了該技術(shù)。該團隊宣稱：利用3D打印機、2D人眼紅外圖像和石粉，再加上手工揉捏，就可以制作出能夠騙過FaceID的面具。老實說，還沒其他研究團隊獨立驗證過這一攻擊方法。

或許未來會出現(xiàn)更新的技術(shù)讓生物特征識別更難以被騙過，但目前為止2D和3D人臉掃描都還達不到完美的程度。
不過，這并不是說生物特征識別的未來形勢嚴峻。生物特征識別提供商會從這些失敗案例中汲取教訓(xùn)，添加新的功能，讓識別系統(tǒng)更加健壯。同時，新的生物識別特征也會持續(xù)涌現(xiàn)，比如心跳、輸入節(jié)奏，甚至腦電波。
縱觀黑客史，意志堅定的攻擊者總能找到方法復(fù)制、盜取或繞過他們需要的驗證因素。如果僅依賴生物特征，我們會再次遭遇口令驗證所經(jīng)歷的那些問題。而且，在利用生物特征識別身份驗證的情況下，如果你的指紋或人臉特征被盜，你就再也不能使用它們進行身份驗證了。
在未來，生物特征將在身份認證中起到重要作用。然而，任何身份認證令牌都不是牢不可破的。最安全的做法不是完全依賴某種新式高級生物識別技術(shù)，而是實現(xiàn)多因子身份認證——使用1種以上的因子參與認證過程。