王瑞祥,台湾创业公司Airsig联合创始人。"AirSig"是"Air Signature(空中签名)"的缩写,是一种基于手势识别的身份认证方法。在空中签个名,就能完成身份认证。如果把这个技术做在一个小小的智能戒指上面会有什么样的效果?你的一天会是什么样?我是台湾一家新创公司的共同创办人,我的专长是资讯安全。我研究的领域包含黑客攻防技术,社交工程,还有国际资讯安全的标准。在这些里面,最吸引我的其实是黑客攻防技术。它就像一股黑暗的力量,吸引着我。
在刚接触资讯安全的时代,互联网没有现在这么发达。每当我们在网络上看到一个新的黑客手法,想要试一下的时候,是没有办法在家里试的。我们会把这个黑客手法带到办公室,去和自己的同事尝试。我有两个儿子。各位都知道,青少年,你只要给他一只智能手机可以上网,他可以三天三夜不睡觉,不做任何事情。所以我们家的规矩是,国中之前,我们不买智能手机给小朋友。但事实上我觉得,这个年龄层要拉高。我的小儿子那时候上国中。他非常古灵精怪。我其实一直怀疑他趁我不注意的时候,偷用我的手机。可是想一想觉得不太可能。我们自己是学资安的,我们的手机都有上屏幕锁,那时候是画一个图形的方式解锁。他一个国中生,又不懂电脑,怎么可能破解我的屏幕锁黑进我的手机呢?但是我心里还是很怀疑,所以我想要证实这件事情。我就制造了一个机会:有一天,只有他跟我两个人在家,我就假装有事情要出去,把手机留在家里面。结果回来把手机拿起来一看:没错,凶手就是他。我是怎么确定的呢?我出去之前,把手机的屏幕擦干净,回来把手机拿起来一看,上面全部都是他的指纹,还有很清楚的解锁的图形。所以,凶手就是他。后来我发现,他也是用同样的手法偷到我的屏幕解锁图形。所以我们家一直在上演着黑客攻防。我们家其实只是一个小小的缩影,类似的情节随时都在企业、互联网上发生。互联网上有一句话:在网络的另外一端,你永远不知道,他是一条狗。意思就是,在数码世界里面,你要如何证明“我是谁”,又要如何防止别人去伪冒你的身份。这是一个很基本,但是很重要的课题。我们目前最常用的身份辨识的方式是密码,但是密码其实并不太安全。我在这边做一个现场调查:密码是123456的,请举手。好,有人举手。我要告诉你,密码是不能跟别人讲的。我刚才用的是社交工程法。除了我刚刚讲的123456,其实还有一些密码是不安全的。你们当中一定有人的密码是取的叫做PASSWORD,有人觉得说,PASSWORD不安全,所以要取PASSWORD123,PASSWORD456。还有QWERTY,你自己的英文名字,你的出生年月日。这些在我们做资安的人的眼里看起来,都是不安全的密码。这样的密码黑客要破解,需要多久的时间?瞬间!所以,它非常不安全。除了这些问题之外,密码还有三个问题。如果你的密码取的比较复杂,比较长,它不好记,这是它第一个问题。第二个问题,屏幕键盘这么小一颗,你的拇指这么大一颗,不好打,常常会打错。第三,你在打密码的时候,会怕旁边有人在偷看;再加上,我们现在到处都有监视器,可能会侧录你的密码。所以密码本身并不安全。因此,现在新的身份辨识的技术都想要取代密码,让使用者更方便、更安全。经历了被一个国中生破解我的手机密码之后,后来我换手机的时候,就换了一种屏幕锁:脸部辨识。其实刚用人脸识别的时候,我们觉得还蛮安全,蛮方便的。但是我们资安人员在思考事情的时候,都会从黑客角度出发去思考。我们常常说“Think like a hacker”:你要知道人家怎么攻,才能够防。当时我就思考一个问题:密码可以被偷,我的解锁图形可以被偷,那我的脸有没有可能被偷?我就做了一个测试:拿了一张我的照片放在手机前面。结果,我的手机果然毫不犹豫地就解锁了。后来有厂商意识到这个漏洞,做了一个加强措施,叫做“活人检查”:就是你在做脸部辨识的时候,不可以面无表情。你要挤眉弄眼一下,证明你是活人,才可以通过。这样子的加强措施有没有用呢?其实用处不大:你只要录一段影片,或者是说把你原来的相片脸部的附近做一些变化,做一个GIF动画,就可以轻易破解。所以,脸部辨识并不安全。后来我又考虑大家常常听到的指纹辨识。指纹辨识非常方便,感觉也蛮安全的。现场我想调查一下,手机上有指纹辨识功能的,请举手。好,其实不多。原因是什么呢?是因为指纹辨识需要搭配一个指纹扫描的硬体模组。这样的一个硬体模组,成本要4到7块钱美金,通常都会只出现在高阶手机上面。2014年底的数据显示,全世界的手机大概只有两成到两成五有配备指纹辨识。你会质疑说,我多花点钱买安全,总是值得的吧!但是事实上,一个五岁的小孩就有可能破解你的指纹辨识。你上了一天班,很累了,回到家很舒服地躺在沙发上拿出手机开始玩,不知不觉睡著了。在你睡著的这个过程当中,一个五岁的小朋友拿着你的手机扫描解锁,不小心上网买了一台法拉利。所以,指纹辨识其实并没有我们大家想像中的这么安全。![]()
安全跟方便一直在天平的两端。如果说很安全,可能就不得不牺牲一点便利性。所以,为了安全,平常我们的手机会设定屏幕锁。但是,在你要用手机APP的时候,你要做几个动作:第一,你要解开屏幕锁;第二,你要找到那个APP;第三,你要去打开那个APP。如果这个APP你一天要用20次的话,这个步骤你要做60次,很烦。后来我们团队就想到,有没有可能把安全跟方便做到一个完美的平衡,把这三个步骤合一,变成一个步骤。当我的手机在屏幕锁定的状况之下,用它在空中写了一个FB。不到1秒钟的时间,它辨识了我的身份,屏幕解锁,打开Facebook的APP,非常快速,非常方便。而且重点是,只有我本人写,它才能够通过;别人写,没办法通过。我再做一次给各位看一下:我刚刚写了一个cam,它就辨识我的身份,同时把照相机这个APP打开来。这个技术是我们团队开发出来的一个技术,我们称它为”空中签名」。它其实并不是一个新的概念,10年前就有了。可是为什么这10年来,全世界都看不到一个人把这样的技术很成熟的把它做出来。主要是因为,要实做出来的技术同时达到“快,准, 狠”,这是很困难的。什么叫“快,准,狠”?速度要快,辨识要准,要很安全。我们的技术突破了这样的瓶颈。接下来看一下我在速度方面的表现。在国外,有一个跟我们做相同研究的一个团队。他们的辨识速度大概是要10秒钟,就是说你签个名,要等10秒钟。而且,他们的动作要划很大,所以,如果你在地铁上用的话,会打到旁边的人。我们的辨识,只需要0.1秒的时间就可以完成。所以你们刚刚看到我的动作非常快。![]()
再来看看准确度。通常针对这种生物特症辨识的技术,我们在评估它的准确度的时候会用一个数值,叫做Equal Error Rate。这个数值越低就表示越准确。那EER简单地讲,就是本人的不通过率跟非本人的通过率相同的这个值。国外这个研究团队的EER是4%,也就是本人每签1000次可能会有40次不通过。我们的EER是0.8%,也就是你每签1000次,可能只有8次会不通过。所以我们在“快”跟“准”的部分突破了一个瓶颈。那安全性呢?我签名的时候背对你签,如果你都没有看到,破解我们的技术的难度有多高?它的难度就像中乐透:连续100次,换算成几率的话,大约是2的两千次方分之一,非常困难。如果像我刚刚这样 你看到我签,你要模仿我签的话,那破解的可能性是多高?我们先用密码来做个对照。如果是密码被别人看到的话,破解的可能性是多高?100% 对不对?我们的技术在被看到的状况之下,被破解的可能性只有0.8%。因为即便你知道我签什么,也必须要签得跟我的轨跡、旋转、力道、速度都要一样,才有可能破解。所以,它的安全性是非常高的。因为结合了身份辨识,这样的技术还有控制的功能,在未来有无限的可能性。![]()
我们去年在南港展览馆参加一个智慧城市展。有一家做小笼包很有名的企业来到我们的摊位,问我们相关的技术问题。我们那时候就很好奇,为什么一家做小笼包的企业,对空中签名的技术有兴趣?后来了解之后才发现,原来他们要建立一个员工上下班的签到系统。他们本来打算用指纹辨识这个技术来做,但是后来发现行不通。因为做小笼包的师傅手上常常会粘到面粉,(有 )面粉再指纹辨识,辨识率会下降很多——扫不过。他们没有办法用这个技术,所以就问我们“空中签名”这样的技术有没有可能用在他们的签到系统上面。各个不同產业的feedback让我们了解到 其实这个技术在未来真的有非常非常多的可能性。运用这样的技术,我们每个人都有可能像哈利波特一样,只要挥挥手,就可以完成工作上、 生活上大大小小的事情。
有没有那么神奇?我DEMO给大家看:一般来讲,你要开门的话,可能要掏出钥匙去开门。也有一些用手机开门的技术:用NFC 的技术,你必须要把手机很靠近这个门,才有办法打开。它的缺点是什么?万一手机掉了,邻居捡到了,就可以把你们家门打开了。它其实不太安全。用我们这个技术,你只要在空中签个名就可以。想像一个未来的情景:如果把我们的技术做在一个小小的智能戒指上面,它会有什么样的效果?你的一天会是什么样?我描述给大家听:早上起来,你要去上班。然后出门你要开车,不用拿出车钥匙,只要用手指在空中写个Car,你的车门自动打开,引擎自动发动,里面的空调,音乐跟座椅的位置,调到你最舒适的设定。到了办公室的门口,在空中签个名,自动签到,而且办公室门自动打开。早上上班的时候想打个电话给妈妈,用手指在空中写个Mom,手机自动拨号出去给你妈妈。到了下午精神不好,想上网买一台MacBook。一台MacBook好几万,大概是一个月的薪水,用密码去结帐好像不太放心。拿出手机,签一下你的名结帐,完成交易。方便快速又安全。下了班回到家站在家门口,在空中写一个 Open,门就打开。进到房子里面之后,写一个light,灯光打开,并且调到最适合你的亮度。晚上吃完晚饭,女儿到客厅要看电视,她拿起客厅的遥控器,写个TV,电视自动打开,而且辨识是女儿的身份,自动转到她最喜欢的卡通频道。好不容易等到夜深人静有了自己的时间,你到了客厅拿起遥控器,写个 TV,电视自动打开,它辨识是你的身份,所以自动转到你的什么频道。这就是运用新的技术,在未来非常有可能发生的你一天的生活场景。技术它本身是冷冰冰的,但是人性是温暖的。我们希望用最接近、最人性的方式,运用新的技术去改变全世界。微信号:yixiclub
网址:yixi.tv
微博:@一席YiXi
版权声明:公众账号如转发须保证文字、视频和图片的完整,并在显著位置注明“转自一席演讲(微信号yixiclub)”,合作:yixitv@vip.163.com
留言