最近，有媒體報道，亞馬遜正在悄悄測試新的支付方式：用手掌支付。亞馬遜的工程師們正在測試一種可以識別人手掌動作的掃描儀，不需要用戶直接接觸，機器會掃描并辨別手掌的形狀和動作，自動完成支付。未來幾個月他們打算在美國旗下的全食超市（Whole Foods Market）中推廣這一工具。

生物識別信息正在泄露

國內主流的移動支付工具，微信和支付寶，很早就將指紋用于支付身份驗證，隨著微信和支付寶的大力推進，面部識別方式也正推廣開來。現在，亞馬遜又加入手掌信息，支付工具對生物識別信息的使用越來越廣泛。

除了支付，解鎖智能手機、開智能鎖、刷門禁。..。..生物識別信息的應用范圍越來越廣。使用的種類也越來越多：指紋、虹膜、面部識別。..。..但是，當這些生物信息被大規模使用時，泄露的風險也在增加。而且，真實的案例正在發生。

2019年8月14日，英國《衛報》就曾報道過一起大規模的數據泄露事件。一家叫做Suprema的生物科技公司，把大量未加密的用戶數據放到網上，這些數據包含了100多萬人的指紋、面部識別等敏感信息。由于數據未加密，也沒有其他防護，其他人可以輕易獲取。這些數據來自公司服務的各大機構，包括政府、銀行、英國大都會警察局等。目前，還沒有數據被其他人獲取并濫用的報道，但造成的后果還不好說。

相較之下，印度的例子要嚴重得多。2009年，印度啟動了一項宏大的計劃，將全國超過95%人口的生物識別信息納入國家數據庫Aadhaar，大約11億人的姓名、地址、手機號，以及指紋、相片、虹膜掃描等信息被保存。

但滑稽的是，這些數據并沒有得到嚴格的保護，數據庫很快就被黑客攻破，現在，通過WhatsApp上的匿名群組，任何人都能以500盧比（相當于人民幣50塊錢）的低廉價格買到這11億人的生物識別信息。未來，將有無數人可以使用這些信息，和這11億人的信息相比，Suprema泄露的信息甚至顯得有些微不足道。

過去，我們使用賬號密碼的方式驗證身份，保護不當泄露的話，可能會遭受不少損失。現在使用生物識別信息驗證身份，信息也發生了泄露，只是這些信息的泄露要嚴重很多，賬號密碼是可更改的，可以隨時變換。但生物信息是唯一的且不可更改的，一旦泄露，風險就會伴隨終生。

指紋、面部識別沒你想的那么安全

盡管所有的服務商都會強調自己的生物識別技術非常先進，破解非常困難，十分安全。但事實上它們并沒有那么安全，現在市面上最常見的指紋識別和面部識別兩種方式都是可以破解的。

指紋識別最早是在2011年出現在手機上的，當時的摩托羅拉Atrix 4G就使用了指紋識別，但真正開始流行起來是在2013年，當時蘋果發布iPhone 5s，再次把指紋識別用到了手機上，并稱其為Touch ID。隨后，一眾手機廠商開始追隨蘋果，指紋識別開始流行開來。

為了提高Touch ID的安全性，蘋果下了不少功夫，為此還花3.56億美元收購了Authentec，一家全球頂尖的指紋認證傳感器方案提供商。對手機上的指紋識別模塊，蘋果也一再強調其安全性。然而，距iPhone 5s開售僅僅24小時，Touch ID就被黑客破解了。

無獨有偶，蘋果2017年發布iPhone X的時候，使用了面容識別系統Face ID，在發布會上蘋果大費周章地展示這個技術的強大，并表示這個新技術無比安全，但最后還是打了臉。先是被報道可能會被雙胞胎騙過驗證，接著，在2019年舉辦的世界黑帽安全大會上，被騰訊團隊使用一副特制的眼鏡就破解了。

蘋果的Touch ID和Face ID的技術在業界都是領先的，尚且會被破解，其他使用屏下指紋和2D面容識別的手機，破解難度也不會高過蘋果，事實上，相關的破解新聞在互聯網上很容易搜到，使用生物信息識別并沒有那么安全。

當然，對于普通人來說，手機被破解的風險實際上是很小的。因為這些破解方法都很復雜，成本也不低，普通人的手機，根本不值得黑客浪費精力破解。

先說指紋識別，黑客想要破解，首先需要獲取一份清晰的指紋圖像樣本，黑客需要確定用戶使用的是哪一只手指，并且還要確保手指干凈，這些條件已經比較苛刻。怎樣提取清晰的指紋樣本同樣復雜，沒有專業的知識很難辦到。制造一份假的指紋副本還需要昂貴的設備。面對這么高昂的成本，黑客不可能隨便去破解一個人的手機。

對Face ID的破解相對簡單一些，騰訊團隊利用蘋果活體檢測的漏洞，特制了一副叫做“X-glasses”的眼鏡，他們在眼鏡上貼上一張黑膠布，并在黑膠布中央貼上一小塊白膠布，借此偽裝成人眼，騙過蘋果的活體檢測。不過這個破解同樣有很多局限，首先需要使用到被破解者本人的面容，還需要被破解者不作任何反抗。《福布斯》的記者們也曾使用3D打印的人臉石膏模型破解市面上的一些旗艦手機：LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6，但是他們沒能破解iPhone的Face ID。

所以說，盡管可以破解，但是獲取信息的成本和破解的成本都是比較高的，普通人暫時不需要擔心安全問題。

使用生物識別需要慎重

但是，除了手機，對于其他使用生物識別信息的設備，獲取成本是否同樣這么高呢？而且，生物識別信息的使用有逐漸擴大的趨勢，各個服務商對信息的保護能力是不同的，一旦這些信息的使用規模變大，獲取生物信息的成本也許就不那么高了。

而且，泄露這些不可更改的生物識別信息之后，不僅僅是相關服務會面臨長期隱患，在一些犯罪活動中，這些信息也可能被利用，犯罪分子可以偽造生物識別信息作為證據，也可以用于偽造身份，這可能使普通人面臨自證的困難。所以，當生物識別信息被大規模應用，獲取成本降低之后，風險可能比我們想象的大。

在生物識別逐漸普及的今天，普通人在使用相關服務時，還是應該謹慎一些，比如：那些會在云端存儲生物識別信息的服務能不用就不用，畢竟服務商保護信息的能力參差不齊；盡可能減少生物識別信息的使用，減少泄露的風險；保護好自己的隱私，不要隨便泄露自己的生物識別信息。

確實有很多人愿意為便利付出一些代價，隨意使用生物識別信息也是個人自由，只是，為自由付出的代價也要自己承擔。所以，對個人而言，如果愿意減少一些風險，使用生物識別信息時還是謹慎一些比較好。對于服務商來說，如果沒有足夠的能力保護信息安全，還是不要輕易獲取客戶的這些信息。同時，還是希望有可靠的機制保證服務商獲取信息的途徑是合法的，使用的方式是合理的。