亚马逊正在悄悄测试新的支付方式：用手掌支付

最近，有媒体报道，亚马逊正在悄悄测试新的支付方式：用手掌支付。亚马逊的工程师们正在测试一种可以识别人手掌动作的扫描仪，不需要用户直接接触，机器会扫描并辨别手掌的形状和动作，自动完成支付。未来几个月他们打算在美国旗下的全食超市（Whole Foods Market）中推广这一工具。

生物识别信息正在泄露

国内主流的移动支付工具，微信和支付宝，很早就将指纹用于支付身份验证，随着微信和支付宝的大力推进，面部识别方式也正推广开来。现在，亚马逊又加入手掌信息，支付工具对生物识别信息的使用越来越广泛。

除了支付，解锁智能手机、开智能锁、刷门禁。..。..生物识别信息的应用范围越来越广。使用的种类也越来越多：指纹、虹膜、面部识别。..。..但是，当这些生物信息被大规模使用时，泄露的风险也在增加。而且，真实的案例正在发生。

2019年8月14日，英国《卫报》就曾报道过一起大规模的数据泄露事件。一家叫做Suprema的生物科技公司，把大量未加密的用户数据放到网上，这些数据包含了100多万人的指纹、面部识别等敏感信息。由于数据未加密，也没有其他防护，其他人可以轻易获取。这些数据来自公司服务的各大机构，包括政府、银行、英国大都会警察局等。目前，还没有数据被其他人获取并滥用的报道，但造成的后果还不好说。

相较之下，印度的例子要严重得多。2009年，印度启动了一项宏大的计划，将全国超过95%人口的生物识别信息纳入国家数据库Aadhaar，大约11亿人的姓名、地址、手机号，以及指纹、相片、虹膜扫描等信息被保存。

但滑稽的是，这些数据并没有得到严格的保护，数据库很快就被黑客攻破，现在，通过WhatsApp上的匿名群组，任何人都能以500卢比（相当于人民币50块钱）的低廉价格买到这11亿人的生物识别信息。未来，将有无数人可以使用这些信息，和这11亿人的信息相比，Suprema泄露的信息甚至显得有些微不足道。

过去，我们使用账号密码的方式验证身份，保护不当泄露的话，可能会遭受不少损失。现在使用生物识别信息验证身份，信息也发生了泄露，只是这些信息的泄露要严重很多，账号密码是可更改的，可以随时变换。但生物信息是唯一的且不可更改的，一旦泄露，风险就会伴随终生。

指纹、面部识别没你想的那么安全

尽管所有的服务商都会强调自己的生物识别技术非常先进，破解非常困难，十分安全。但事实上它们并没有那么安全，现在市面上最常见的指纹识别和面部识别两种方式都是可以破解的。

指纹识别最早是在2011年出现在手机上的，当时的摩托罗拉Atrix 4G就使用了指纹识别，但真正开始流行起来是在2013年，当时苹果发布iPhone 5s，再次把指纹识别用到了手机上，并称其为Touch ID。随后，一众手机厂商开始追随苹果，指纹识别开始流行开来。

为了提高Touch ID的安全性，苹果下了不少功夫，为此还花3.56亿美元收购了Authentec，一家全球顶尖的指纹认证传感器方案提供商。对手机上的指纹识别模块，苹果也一再强调其安全性。然而，距iPhone 5s开售仅仅24小时，Touch ID就被黑客破解了。

无独有偶，苹果2017年发布iPhone X的时候，使用了面容识别系统Face ID，在发布会上苹果大费周章地展示这个技术的强大，并表示这个新技术无比安全，但最后还是打了脸。先是被报道可能会被双胞胎骗过验证，接着，在2019年举办的世界黑帽安全大会上，被腾讯团队使用一副特制的眼镜就破解了。

苹果的Touch ID和Face ID的技术在业界都是领先的，尚且会被破解，其他使用屏下指纹和2D面容识别的手机，破解难度也不会高过苹果，事实上，相关的破解新闻在互联网上很容易搜到，使用生物信息识别并没有那么安全。

当然，对于普通人来说，手机被破解的风险实际上是很小的。因为这些破解方法都很复杂，成本也不低，普通人的手机，根本不值得黑客浪费精力破解。

先说指纹识别，黑客想要破解，首先需要获取一份清晰的指纹图像样本，黑客需要确定用户使用的是哪一只手指，并且还要确保手指干净，这些条件已经比较苛刻。怎样提取清晰的指纹样本同样复杂，没有专业的知识很难办到。制造一份假的指纹副本还需要昂贵的设备。面对这么高昂的成本，黑客不可能随便去破解一个人的手机。

对Face ID的破解相对简单一些，腾讯团队利用苹果活体检测的漏洞，特制了一副叫做“X-glasses”的眼镜，他们在眼镜上贴上一张黑胶布，并在黑胶布中央贴上一小块白胶布，借此伪装成人眼，骗过苹果的活体检测。不过这个破解同样有很多局限，首先需要使用到被破解者本人的面容，还需要被破解者不作任何反抗。《福布斯》的记者们也曾使用3D打印的人脸石膏模型破解市面上的一些旗舰手机：LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6，但是他们没能破解iPhone的Face ID。

所以说，尽管可以破解，但是获取信息的成本和破解的成本都是比较高的，普通人暂时不需要担心安全问题。

使用生物识别需要慎重

但是，除了手机，对于其他使用生物识别信息的设备，获取成本是否同样这么高呢？而且，生物识别信息的使用有逐渐扩大的趋势，各个服务商对信息的保护能力是不同的，一旦这些信息的使用规模变大，获取生物信息的成本也许就不那么高了。

而且，泄露这些不可更改的生物识别信息之后，不仅仅是相关服务会面临长期隐患，在一些犯罪活动中，这些信息也可能被利用，犯罪分子可以伪造生物识别信息作为证据，也可以用于伪造身份，这可能使普通人面临自证的困难。所以，当生物识别信息被大规模应用，获取成本降低之后，风险可能比我们想象的大。

在生物识别逐渐普及的今天，普通人在使用相关服务时，还是应该谨慎一些，比如：那些会在云端存储生物识别信息的服务能不用就不用，毕竟服务商保护信息的能力参差不齐；尽可能减少生物识别信息的使用，减少泄露的风险；保护好自己的隐私，不要随便泄露自己的生物识别信息。

确实有很多人愿意为便利付出一些代价，随意使用生物识别信息也是个人自由，只是，为自由付出的代价也要自己承担。所以，对个人而言，如果愿意减少一些风险，使用生物识别信息时还是谨慎一些比较好。对于服务商来说，如果没有足够的能力保护信息安全，还是不要轻易获取客户的这些信息。同时，还是希望有可靠的机制保证服务商获取信息的途径是合法的，使用的方式是合理的。