请忘记那些没完没了的密码吧!生物识别,最性感的支付时代已来

来源: 阿里研究院   分类: 微金融   时间: 2014-10-11 17:05   阅读:3184次


大数据显示:互联网用户平均每人拥有26个账号、6.5个密码,每天需要使用密码登录8次。如果为了向黑客致敬,再保证各个密码的唯一性,且做到三个月一换。天啊,光是背住这些繁琐的数字和字母就需要相当大的脑存量。

当然,也可以把这些秘密记在小本本上。同时,每天食指戳着食指的担忧,万一丢了或被人偷了,该怎么亡羊补牢。

难道就没有一条路既通往简洁体验又能保证极致安全?支付宝安全产品技术团队的算法工程师和研发人员脑洞大开,邀请神探夏洛克“入职”,誓要在生物识别支付上杀出一条血路。

与神探夏洛克这样龟毛的人做朋友也许并不是一件惬意的事儿,但如果只是请他住进支付宝钱包,像门神一样保护着我们的账户安全呢?大约所有用户都会举双手双脚赞成吧。

和英剧里那个怪物一样,支付宝钱包里的这位也是以明察秋毫著称。到底是不是本人在操作账户呢,大侦探通过用户输入的笔迹或者用户敲打键盘的节奏就可以分析出来。

凭什么笔迹或者说敲击键盘的行为就可以判断一个人的身份?要知道,包括笔迹、敲击键盘等行为在内,每个人大约有500种独特的身体行为方式,这些行为方式合在一起形成了所谓的“eDNA”,或者叫“电子DNA”。像DNA一样,eDNA几乎是不能造假的,因为你很难以一种非我的方式操作电脑和上网。

就像我们可以通过指纹获得大量信息一样,我们也可以通过eDNA获得大量信息。这套“演绎法”,在真实的世界里也被称作生物行为识别技术,它主要基于个体的行为举止,从而实现对个体身份的验证。更重要的是,这套eDNA不会遗忘或丢失,防伪性能好,不容易伪造或被盗,方便“随身携带“,随时随地可用。在大数据时代,它正逐步取代传统数字密码,成为高科技互联网公司用来验证用户身份的方式。

刷脸卡不是梦

《美国队长2》里面有这样一个情节,神盾局指挥官尼克•法瑞想要通过一个门禁,可眼球权限已经被取消了。他得意的摘掉独眼眼罩,用另一颗潜伏许久的好眼球冲破了坏人设置的最后一道屏障。这就是传说中的虹膜技术,提起生物识别很多人首先就想到它。

但若要将虹膜技术用于移动支付,需要再装一个外部设备来支持移动终端虹膜识别,或者一个内置近红外模组的手机。哎,炫酷成本真心有点大啊。更让人泄气的是,在强太阳光下有时候反射出的光斑还会影响识别,这就意味着,就算你带齐了设备,想在女朋友面前秀一把,不料烈日当空,一切算计全部付之东流。还是老老实实玩接地气的人脸识别吧。

其实,脸部识别不是什么新事物。 在国外,很多重视安全的公司,早就开始将高大上的脸部识别系统运用于门禁、安检、视频监控或考勤。这项技术,不用肢体接触,对设备要求不高,采集和识别都是快捷又方便,真是好用到没朋友。只是,刷脸卡支付,暂时仅限于实验室里的小白鼠阶段。

脸部识别的难点证明了互联网上今年最流行的那句话no zuo no die。要知道,有些姑娘上了妆堪比林志玲卸了妆比凤姐还可怕,这真是让智能设备左右为难极了。再加上,岁月这把杀猪刀对脸部的二次雕刻,真心也超出了机器的理解范围,以及不同光线不对拍摄效果的影响……哎,哪能办呢?最后只能再次感谢大数据时代的到来,支付宝的小伙伴得以大胆采用最新的深度学习算法进行人脸识别。这种算法试图模仿人的视觉系统,听上去就好值得期待哦。

掌心里的秘密

“摊开你的掌心,让我看看你,玄之又玄的秘密”在光良的歌里,掌心的纹路记录着一个人的爱情密码。但在威漫创造的科幻世界里,掌心也代表着进入核心权限的唯一通行密码。

也许你没有注意,掌纹识别技术在科幻大片里的场景实在是太多了。最近的一例当属《变形金刚4》。KSI这样的集团,身份验证绝对是最严苛的。电影里,CEO约书亚正是通过识别整个手掌来确保身份验证的万无一失。在现实中,这种神奇的技术被称作掌静脉识别技术,经常在安全要求很高的场所里得到应用。但因为它它需要近红外线影像,需要专有设备,一直没有飞入寻常百姓家。

相比之下,支付宝目前正在进行的掌纹技术就要接地气多了。相较于指纹,它有更大面积更丰富的纹理信息,相较于人脸,能更轻易的分辨双胞胎,相较于虹膜,无需外接设备,易于被大家接受。嗯,看来,掌纹很有可能成为生物识别应用与支付场景中的潜力股呢。

指纹尝鲜体验

当掌纹和脸部识别技术仍然在娘胎中酝酿之时,指纹已经领先一步,哇哇坠地应用到实际支付场景中。现在,只要有一台三星GALAXY S5手机,已经可以在支付宝钱包上体验指纹支付了。

指纹支付开通完成后,在支付宝钱包内进行购物和转账时,不再需要输入数字密码,取而代之的是用手指在位于HOME键位置的指纹传感器上“刷指纹”,即可完成支付。只是,一想到指纹打卡普及以来,万能的淘宝上用来代替手指进行打卡的假指模越做越逼真,很难想象万一指纹信息泄露,天下会乱成什么样子。

其实,这一切顾虑,支付宝安全技术团队的小伙伴早就考虑到了。所以,支付宝的指纹支付不仅会对指纹进行识别,还会识别真皮层,硅胶或树脂指纹、无生命体征的手指是无法通过验证的。另外,用户录入的指纹数据是加密存储在用户自己手机的安全区域的,不会上传至服务器或云端。这意味着,任何人都无法获取到用户的指纹数据。各位亲,就请放心使用吧。

见字如面,见信如晤

还记得在手写飞鸿传相思的那个时代,我们总是在信的开头文绉绉的来一句“见字如面,见信如晤”,希望收信人在看到字的那一刻感觉就像亲自见面一样。同样强烈的期待也来自支付宝的安全技术团队。我们通过笔迹识别技术希望实现的是通过笔迹证明移动用户端前的那一位就是用户本人。

这是如何做到的呢?原来,每个人的笔迹都具有不可替代的唯一性。只要能够采集到用户足够丰富的笔迹样本,就能找出其中的规律,建立专属笔迹书写模型。这样在需要用户验证身份时,他只需要输入和样本一样的图形或文字,系统就能自动识别了。

好学的小明提出,如果仅仅是这样,若能盗取样本,照着模仿不就能蒙混过关?哎,事情并没有这么简单。笔迹识别技术从来就不是简单的笔迹图形比对。它包括一个“动态笔迹识别”的过程,识别的关键点并不是笔迹的样子,而是书写过程的行为模式,其包含坐标、速度和压力等变化信息.

敲击键盘,行为识人

支付宝请来了神探夏洛克之后,英国人发现支付宝用户在熟悉了自己的帐户和密码以后,敲击键盘的节奏是非常固定的。打个比方,同样一张信用卡,16个数字,每一个人拿到之后输入的节奏各不一样。记性好的人可能一次性输完,更多人习惯四个数字一组,有些也会三个数字一组, 有些用一个指头输入,有些喜欢双手同时录入……

正所谓细节决定成败,细节也帮助支付宝安全中心更好的识别出了用户的身份。在科学严谨的研究之后,支付宝的技术团队与模型团队以用户每次敲击键盘时的节奏进行智能分析,建立独一无二的波形图。当一张卡的一次新的击键节奏进入系统时,就和历史的击键行为进行对比,判断是否是会员本人操作。

如此一来,就算一个人的卡、账户、密码被盗,但敲击键盘这个行为,作为一个人的生理行为特征,被盗人是很难模仿的,它不会硬件设备的丢失或盗劫而改变。更重要的是,敲击键盘行为的收集是在用户是无感知的情况下进行的,不仅不会影响用户体验且还能提高用户账号安全性。谁说简洁体验与高度安全不能两全?这不已经往前进了一大步了么!

本文首发于阿里研究院,转载请注明出处。

0