炫酷的生物识别技术真的安全吗？

酒店入住时，刷脸就能免交押金；饭店付款时，按指纹就可以买单；甚至走近家门，智能硬件就能识别主人身份自动将门打开……这些只出现在科幻片中的炫酷场景，依赖于生物识别技术的推广，未来将进入普通人的生活。

由普通的账号密码验证体制到生物识别体系，会让互联网变得更安全吗？账号密码被盗，更改密码就可以，但生物识别信息都是唯一的，如果被盗其影响将是终生的，某种意义上说，岂不是更危险？

科技圈这两年最炫酷的，当之无愧是生物识别技术。一些手机已支持指纹解锁、指纹支付，但尚未大面积普及。

身份认证是互联网的基础应用，在传统互联网时代，注册、登陆、支付等等行动都需要确认身份。但系统很难辨别用户输入身份信息的真实性，“你永远也不知道互联网对面是个人还是条狗”。

生物识别和大数据时代的到来，本质上改变了这种现状。指纹、人脸、掌纹、眼纹、虹膜、人的DNA，各种可穿戴设备对人的健康信息的采集等，都将成为生物识别的数据。这些信息都是第一无二的，就像世界上没有完全相同的两片树叶一样。

应用生物识别技术，并配合大数据，在身份认证时能做到精准识别一个人，而非一个账号。通过网络获取用户的真实身份变成可能，整个信用体系交易成本将极大降低。

炫酷的生物识别技术也受到了年轻人的欢迎，他们追求极致炫酷的用户体验，未来很多场景都可以刷脸刷穿戴式设备通过，更远的未来，甚至可以省略扫描过程，科幻场景完全可能变为现实。

谷歌新推出安卓M操作系统、苹果推出指纹识别系统，各大巨头都在试图开发生物识别，但国际上并未形成统一的行业标准。

这个风尖浪口上，蚂蚁金服倡导成立了网络可信身份认证产业联盟互联网金融分会（IFAA），试图形成一个统一的技术标准，引领行业健康发展。

6月18日，IFAA由蚂蚁金服发起成立。合作伙伴包括三星、华为、中兴、OPPO、酷派等手机厂商，以及高通、握奇等为代表的芯片厂商、安全厂商、算法厂商、检测机构，试图将产业链各方融入其中。

蚂蚁金服安全产品技术部资深总监冯春培认为，传统互联网做的是识别账号，但账号有可能被盗，被他人操作，在互联网金融领域，要做得更安全，就需要识别人，了解是否是本人在进行操作。

“未来真正能识别一个人可能不是通过密码，也许通过其他的关于你个人本身的一些特征，你是独有的，别人很难去模仿复制。在这种意义上，生物识别让互联网变得更安全”，冯春培称。

安全与危险从来都是相对的。

青藤云安全CEO张福认为，生物识别技术可能让互联网变得更危险。网络黑客黑产一直存在，传统的账号信息泄露，可以通过修改密码解决，但生物信息泄露，难以更改。“你只有十个手指头，这些指纹信息都是唯一的，如果泄露对人产生的影响是终生的，基本没有方法可以修复”。

互联网发展史中，我们仍可以找到类似的例子。

2007年，韩国引入网络实名制。其初衷是打击当时盛行的网络暴力和网络犯罪，让互联网变得更安全。

但推行实名制的同时，信息安全机制没有跟进。当时韩国黑产盛行，黑客们攻击网站，轻而易举就可以获得用户的个人信息，导致大批量个人隐私信息泄漏，满网横飞。

网络实名制与保护用户信息安全发生巨大的矛盾，韩国民众被激怒，强烈要求政府取消实名制。

2012年8月，韩国不得不宣布取消实名制。

一项旨在让互联网变得安全的举措，反而让互联网变得更不安全。生物识别技术的推广，如果只是追求炫酷，而忽视信息安全，将可能面临韩国当年的命运。

蚂蚁金服也意识到这点，“保护生物信息的安全，是最为重要的，必须比传统的账号保护更高级更严密”，冯春培说。

握奇数据开发了一套保护生物信息的安全系统，其高级产品经理杨子光称，生物识别数据非常安全，比如手机用户用指纹进行支付和交易，指纹信息会加密存储在手机隔离区中，不会上传到云端。

用户需要支付时，数据不会联网，会在可信执行环境中进行指纹数据的校验，“就像一个进行了物理隔离的信息孤岛，这个孤岛只有一个入口一把钥匙，“杨子光称，这把钥匙只在手机商的手中，即便手机丢失，也没有人可踏入孤岛获取生物数据。

目前来看，生物数据是相对安全的。但黑客攻击能力也在不断提升，恐怕要不断提高防守能力才能阻止黑产侵袭。