V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rogwan
V2EX  ›  问与答

密码才是最安全的方案吗?

  •  
  •   rogwan · 2019-12-15 09:56:01 +08:00 via iPhone · 5337 次点击
    这是一个创建于 1803 天前的主题,其中的信息可能已经有所发展或是发生改变。
    kneron 公司制作的 3d 面具👹骗过几乎所有的人脸识别,微:信,支:付宝都不能幸免。

    硅胶伪造指纹早就解决指纹安全了,现在人脸也靠不住,剩下只有虹膜了吗?(认为美瞳应该可以骗过虹膜,只是现在没有爆出案例)

    看下来,还是存在大脑中的密码才是安全系数最高的
    50 条回复    2019-12-16 12:46:18 +08:00
    Cu635
        1
    Cu635  
       2019-12-15 09:59:05 +08:00   ❤️ 1
    现在来看,是的,原因在于口令是可以更改的,就算被蒙中骗过或者泄露了,更改一下就可以止损;而那些生物特征是无法更改的,泄露或者被骗过就只能堵上这个门才能解决了。
    weiruanniubi
        2
    weiruanniubi  
       2019-12-15 10:01:55 +08:00 via Android   ❤️ 1
    肯定的,核弹发射用的可都是密码,没听说有用生物特征的。
    ruandao
        3
    ruandao  
       2019-12-15 10:05:28 +08:00
    人脸识别---》明文密码(随着科技发展,复制能力提升后)
    Tumblr
        4
    Tumblr  
       2019-12-15 10:09:32 +08:00
    现在安全领域中不是在提倡 zero trust, multi-factor authentication 么?

    1. 没有“最安全的方案”;
    2. 多因子验证总会比单因子验证更安全一些。

    当然,以上是基于领域而非基于个人去说。
    geelaw
        5
    geelaw  
       2019-12-15 10:10:51 +08:00 via iPhone   ❤️ 7
    “安全”不太好度量,比如密码通常可以通过锤子提取。

    最近看了一个很有趣的研究的介绍,是利用人脑中的不可提取的习惯作为密钥,比如以某种节奏敲击键盘。这种节奏是新教给密钥持有者的。在被俘获、刑讯的时候,由于紧张会导致难以准确还原该节奏,且多次尝试很可能会导致完全忘记该节奏。
    ytmsdy
        6
    ytmsdy  
       2019-12-15 10:10:58 +08:00 via iPhone
    是的!生物特征最大的问题就是不可修改,一旦泄露,其他使用这个生物特征的地方都 gg 了
    HvangStormstout
        7
    HvangStormstout  
       2019-12-15 10:11:38 +08:00   ❤️ 34
    我觉得人脸应该是 user,而不是 password
    smdbh
        8
    smdbh  
       2019-12-15 10:18:09 +08:00   ❤️ 1
    早说了是这样,面容就是把密码写在脸上,让别人抄。指纹好歹没那么容易看到。
    但是大公司都不这么想,认为自己的人脸识别,不会被破解
    bequt
        9
    bequt  
       2019-12-15 10:23:37 +08:00 via Android
    我觉得嘛,多因子验证吧才是牛逼。
    红膜 脸 指纹 密码 短信 一套全部验证才是安全极致
    或者类似核弹,多人授权密码,才可以。
    love
        10
    love  
       2019-12-15 10:26:21 +08:00
    @HvangStormstout 那全国这么十几亿人总有很多长得太相似分不出来的,或双胞胎,这些人要共享一个支付宝?
    cmdOptionKana
        11
    cmdOptionKana  
       2019-12-15 10:41:52 +08:00
    安全与便利永远矛盾。

    指纹、人脸被骗过,完全没有关系,完全不影响指纹、人脸识别的实用性。

    看到有些说法,说那些公司以为人脸识别安全性很高,这个说法不对,事实上没人任何公司认为人脸识别安全性很高。指纹、人脸的支付都是限额的,不会造成太大损失(同时便利性却极大地提高)。大额资金操作永远会增加更多验证要求。
    loading
        12
    loading  
       2019-12-15 10:42:22 +08:00
    如果只是简单防御都不行的,还需要结合风控系统。
    abcbuzhiming
        13
    abcbuzhiming  
       2019-12-15 10:48:47 +08:00
    人脸和指纹一直都不安全,很早就有中国银行的专家提过“生物信息是不可修改,一旦泄露后果严重”
    hoyixi
        14
    hoyixi  
       2019-12-15 10:48:57 +08:00   ❤️ 4
    你以为厂商和 gov 喜欢推人脸识别,是为了让你安全?
    snw
        15
    snw  
       2019-12-15 10:57:33 +08:00 via Android
    @bequt
    像这样?😂
    youtu.be/f2_Re7wmd2o
    Osk
        16
    Osk  
       2019-12-15 11:00:28 +08:00 via Android
    我从不认为指纹和人脸安全,纯粹方便,所以我一直拒绝在重要的地方使用纯生物验证。

    真到我发现了 Windows hello 可以使用双因素验证, 人脸 + PIN 不要太爽。
    真香,真香。

    解决了一部分痛点:
    担心生物验证出现偏差,错误通过了陌生人验证。
    生物信息已泄漏。

    好吧,主要还是用于公共场合,比如办公室,有人看到你输入密码不知道回避,而生物验证则能补上这一个缺陷。
    laoyur
        17
    laoyur  
       2019-12-15 11:00:37 +08:00 via Android   ❤️ 1
    @geelaw 然后提取不出来,就得多挨锤子😂
    laoyur
        18
    laoyur  
       2019-12-15 11:04:07 +08:00 via Android
    @love 那是你技术没到位的锅,并不能以此推翻”人脸是 user”的论断
    hehheh
        19
    hehheh  
       2019-12-15 11:32:41 +08:00 via iPhone
    你们没有用 Microsoft Authenticator 的?
    Buges
        20
    Buges  
       2019-12-15 11:38:43 +08:00 via Android   ❤️ 2
    人脸识别这种技术最大的优势在于无需你配合利于强制性推广且极难变更和遮掩。
    love
        21
    love  
       2019-12-15 12:57:31 +08:00 via Android
    @laoyur 人脸在这么大规模下并不具有唯一性,我就不信哪家公司敢直接单一用人脸就能刷
    imn1
        22
    imn1  
       2019-12-15 14:40:37 +08:00
    生物 DNA
    你前面说的都是基于图像分析,做过图形匹配的都知道一个概念叫做“临界值”,调高了,本人判别错误增多;调低了,他人判别为正确就增多

    安全和方便虽然不是互斥,但交集比较小(目前来说)
    cedoo22
        23
    cedoo22  
       2019-12-15 14:46:40 +08:00
    赞同 #7, 人脸应该是 user,不是 password,用人脸当 passwd, 泄露了就直接玩完。密码还可以改, 面部特征怎么改?整容?
    rogwan
        24
    rogwan  
    OP
       2019-12-15 14:47:36 +08:00 via iPhone
    @imn1 DNA 识别安全那是没跑了,检测设备一时半会成本降不下来吧,另外识别速度目前公安部门要 1 个小时,至少要达到秒级才能铺开。DNA 隐私安全估计也更重了
    imn1
        25
    imn1  
       2019-12-15 15:12:09 +08:00
    @smdbh
    “97%的用户是安全的”,都不知道是哪家开了这么个先例,大厂貌似都是这么强势

    @rogwan
    我觉得密码也是分级别的,有些对个人并不重要,但服务供应商是按自己的立场设定密码使用途径,规避风险还是其他目的就不可而知了
    如果提供一种协议写着“被盗将因为无法判定而难以申诉”的方便方式选择(现实中已经大量例子难以申诉),我个人是可以接受的,我自己衡量安全性还是方便性的需求
    例如 T 家,扫码登陆够安全吧,但被盗了 T 家的申诉不也是难于上青天?
    psirnull
        26
    psirnull  
       2019-12-15 15:40:30 +08:00
    密码最安全的存储介质是你的大脑!
    troyl
        27
    troyl  
       2019-12-15 16:13:20 +08:00 via iPhone
    @imn1 #22 @rogwan #24 呃……建议多了解一下 Biometric Security,首先是同卵多胞胎的 DNA 完全相同无法区分,再者,随着骨髓捐赠和移植的普及,接受移植者的 DNA 慢慢变成捐赠者的案例已经越来越多,所以在生物识别安全领域,DNA 的安全等级甚至不如指纹……
    troyl
        28
    troyl  
       2019-12-15 16:21:46 +08:00 via iPhone
    @troyl #27 当然,骨髓移植改变的是干细胞 DNA,不过忽略这点的话 DNA 依然安全性低于指纹,因为同卵双胞胎的指纹尽管 DNA 相同,指纹 /掌纹依然是不同的。
    imn1
        29
    imn1  
       2019-12-15 16:37:29 +08:00
    @troyl
    准确度只是安全性的其中一个因素
    但安全性还有其他因素,例如获取过程,对比过程……

    指纹因为在体表,外因影响就太多了,手指脏了、皮屑、损伤……
    DNA 目前来说没有什么快速对比方法,反过来变成采样过程相对谨慎,因为有足够时间做活体鉴别这个步骤
    如果将来有可能做到快速远程鉴别 DNA,你所列举的情况都要考虑,那时候把 DNA 降低安全级别就有可能
    rogwan
        30
    rogwan  
    OP
       2019-12-15 16:39:58 +08:00 via iPhone
    @troyl 这个 DNA 安全系数我不是专业,也不敢问。。。😓 信息来源于公开媒体
    troyl
        31
    troyl  
       2019-12-15 18:21:39 +08:00 via iPhone
    @imn1 #29 ……没明白你的观点……
    现阶段 DNA 采集对比慢 → 所以 DNA 比指纹安全?
    而且为了克服你说的那些指纹磨损、毁坏、伪装,指纹识别这些年一直都在进化,比如一代 Touch ID 的活体识别,而且其范围也早已超出了「指纹」的范畴,Apple 这些年在 Apple Watch 上一直在测试的 Vein Pattern 不就是为了下一代 Touch ID / Face ID 技术吗?
    mrcn
        32
    mrcn  
       2019-12-15 18:50:07 +08:00 via Android
    @love 支付.宝不就是吗?
    wnanbei
        33
    wnanbei  
       2019-12-15 18:59:18 +08:00   ❤️ 1
    人脸识别、指纹识别这些东西不都是为了解锁的时候方便一点吗?
    任何生物学的特征用来解锁安全性肯定是不够的,因为是明文的,你的长相,指纹、虹膜都是存储在明文环境里的。
    只有密码这种,存储在你的记忆里的,才是真正安全的。
    直到记忆能被读取的那一天。
    laoyur
        34
    laoyur  
       2019-12-15 19:11:50 +08:00
    @love 你觉得不具有唯一性,还是因为技术、精度不到位的锅啊
    love
        35
    love  
       2019-12-15 19:14:36 +08:00
    @mrcn 我没用过刷脸,你用过?直接就是只刷脸不用一点别的?
    love
        36
    love  
       2019-12-15 19:16:54 +08:00
    @laoyur 有些东西不是精度的问题,而是测试目标本身就没那个精确度
    pod
        37
    pod  
       2019-12-15 19:18:52 +08:00 via iPhone
    @rogwan 骨髓移植那些怎能办?
    henryshen233
        38
    henryshen233  
       2019-12-15 19:23:00 +08:00
    @geelaw 兄弟换发型了啊
    summerl0l
        39
    summerl0l  
       2019-12-15 19:26:32 +08:00 via Android
    昨天晚上还在说这事
    密码在读心术方面之前确实是最安全的。
    这个安全说的是指在自己未知的情况下被破解。指纹、人脸、虹膜这些都可以在不经过你的“同意”而获取到。只有记忆中的密码不行。
    imn1
        40
    imn1  
       2019-12-15 19:31:32 +08:00
    @troyl
    观点很简单,一个安全通道是由多个环节构成的,其中一个环节很弱的话,适用短板理论
    指纹检测的话,现在活体鉴定这个环节大部分是没有的
    DNA 目前来说,在采样过程基本就带有活体鉴定,部分国家还有严格要求(谁有权采样,怎样采样),部分国家没那么严格,但也不至于直接就用未知来源鉴定

    图形鉴定的话,用一个模具做标准,用相同或复制的模具做匹配,是通过的,换言之,指纹、面部、瞳孔等等都可以“造”出来,就是采集后可以不限次数复制。除非鉴定过程带有活体鉴定这步,否则每一个步骤,都无法判断是真手指,还是模具
    DNA 目前不能“造”(我好奇是否已经有技术可以造一个生物 DNA ),只能“采”,采样后也无法复制,最多只能样品分发,这样的话所有步骤共同作用,最短板要比指纹长

    为什么分目前和将来呢,因为目前 DNA 鉴别成本较高,相对来说活体鉴别反而成本低,作为安全补充意愿强;而指纹识别等则相反,识别步骤成本低,如果加入成本更高的热敏、超声波活体鉴别作为补充,意愿很低,这也是为什么目前很多指纹识别系统完全没有活体鉴别的原因,这何尝不是一个短板呢。将来如果成本都降低了,可能全部都带有活体识别时,情况就不同了

    前面有一楼说,生物特征理应只是鉴别 user,不是 password,我很同意这观点,因为被盗将面临无法更换的问题,应该补充 password 协同鉴别
    deplives
        41
    deplives  
       2019-12-15 20:43:23 +08:00 via iPhone
    目前为止,所有的生物密码都不安全。毕竟被盗用了连修改的机会都没有,而记忆密码即是被盗了,还是有机会修改的
    FS1P7dJz
        42
    FS1P7dJz  
       2019-12-15 22:18:28 +08:00
    生物信息起码目前来说造假成本还是很高的啊
    你在外面输入密码...边上人瞄一眼就能记下来了...
    laoyur
        43
    laoyur  
       2019-12-15 22:25:34 +08:00
    @henryshen233 换了头像都没能认出 基 law 哥来😁
    troyl
        44
    troyl  
       2019-12-15 23:44:12 +08:00 via iPhone
    @imn1 #40 可是按你这个思路想想,这不正是 DNA 的短板吗?指纹什么的尚需伪造,从而间接加大破解密码的难度……而 DNA 不需要啊,如果你都能接触到目标到复制指纹的程度了,那 DNA 只需要死皮、毛发或者体液,根本不需要伪造,直接获取就是 100% 可以通过验证的……
    qceytzn
        45
    qceytzn  
       2019-12-16 00:03:06 +08:00
    哪里能买到定制的人脸硅胶面具?
    imn1
        46
    imn1  
       2019-12-16 00:55:48 +08:00
    @troyl
    不对啊
    1.采集参考样本
    2.采集比对样本
    3.比对
    4.通过鉴定,放行
    好像我们讨论的不在一个点上,你基于 2/3/4 同一个人完成( DNA 和指纹相同),我认为不是,指纹可以,但 DNA 不能,至少目前不能

    步骤一不用说,当然是本人提供
    DNA 比对自己不能做(侵入者不能操作鉴别仪器),步骤三需要一个第三方,第三方是需要你提供步骤二这个 DNA 样本的来源许可
    就是说步骤三目前来说,必然附带一个身份或活体鉴别的补充步骤
    如果这个第三方本身就非法(或检测仪器来源非法),那也不用讨论下去了,而且这样也无法到达步骤四

    指纹就不需要,步骤三自己也能做,或者说识别的仪器就在侵入者手上(例如别人的手机)
    locoz
        47
    locoz  
       2019-12-16 01:15:36 +08:00
    @geelaw #5
    “在被俘获、刑讯的时候,由于紧张会导致难以准确还原该节奏,且多次尝试很可能会导致完全忘记该节奏。”
    然后...“你 tmd 玩老子是吧”,接着一锤子下去。
    geelaw
        48
    geelaw  
       2019-12-16 01:49:57 +08:00 via iPhone
    @laoyur #17
    @locoz #47

    刑乃手段,讯为目的,不能获取信息的加害没有意义,没有动机去加害秘密持有者。此外实际的目标是(用任何方法都)不可提取,而不是单纯防止用刑。

    另外之前的描述很不准确,毕竟记忆比较久远了。找了一下当时的视频,是这个
    大概 1:40 左右开始
    charlie21
        49
    charlie21  
       2019-12-16 10:06:26 +08:00
    密码应该是可以更改的。密码怎么能不可更改?不可更改的东西就不是密码
    ac2sherry
        50
    ac2sherry  
       2019-12-16 12:46:18 +08:00
    两步认证我觉得安全性就很高了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1158 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 103ms · UTC 23:05 · PVG 07:05 · LAX 15:05 · JFK 18:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.