未来,智能机的安全将与人们的使用行为相挂钩。一不小心,便可能使政府更容易解锁你的设备。
指纹解锁 图/Glenn Chapman
十几年前,一场大型网络安全年度会议上,主讲人阔步走到聚光灯下,预测用于身份验证的“密码”将会消亡。“它们并不能保护你真正想要保护的东西”,他对在场的计算机专家们说。这位主讲人是杰出的网络先知比尔·盖茨,但他那关于密码的预言尚未成为现实。
不过,我们确实越来越接近“密码”失效之时。如今,数百万人正在用指纹来解锁自己的智能手机,科技公司更在开发新的安全保护功能——依靠用户的说话习惯或虹膜特征等这类生物识别技术来取代密码。
在不久的将来,新一代高端设备甚至能仅仅依据人机互动的特定习惯来判断眼前的使用者是否为授权用户。谷歌就计划在2016年年底前把“无密码登陆服务”植入安卓应用。那时,系统会参考安卓用户的键入模式、行走模式、当前所处位置等各种信号来为其解锁。
然而,对传统密码的颠覆带来了相应的法律问题:美国宪法第五修正案禁止政府强迫人们说出智能手机的密码,但新型的解锁方式还能享受相同的宪法保护吗?
基于生物识别技术或行为特征进行身份验证的设备处于灰色地带
显然,美国宪法第五修正案的保护范围并非无限延伸。它规定被告有权不自证有罪,不必透露自己头脑中的所思所想(这是植根于英国法律的宪法保障,最早可追溯到17世纪,其目的是防止被审讯者受折磨,被强迫说出可能对自己不利的信息);而像指纹、DNA等其他生物识别特征是客观存在的实物,被强迫交出并不违宪。 因此,一个被记忆的密码受明确的法律条文保护,基于生物识别技术或行为特征进行身份验证的设备处于法律的灰色地带
2013年,苹果公司推出其第一款配备指纹识别器的新型iPhone,当时,就有专家推测宪法第五修正案可能不会保护“指纹锁”。
果不其然,在Touch ID功能问世仅一年后,弗吉尼亚法官Steven Frucci便在一件谋杀未遂的案件中裁定,办案人员可以强行要求iPhone用户用其指纹解锁手机。而今年2月,洛杉矶的联邦法官签署了一项搜查令,迫使一名29岁的女性执行相同的命令。
反对之声:利用生物识别技术解锁的设备应当被特别保护
不过,斯坦福互联网与社会中心主任Albert Gidari认为,这些已经做出的判决并不意味着关于第五修正案与指纹识别器的争议就此结束了。对于法官签署“批准指纹解锁”搜查令的行为,他持反对意见。
最高法院曾裁定第五修正案仅适用于“让人自证有罪的沟通或交流”, 依据规定,指纹识别确实不在法律保护范围之内。但在Gidari看来,用指纹解锁设备的行为应当被划入特别保护的范畴。他说,“其实,把指纹压到手机上就是在沟通,这等于告诉手机:‘你好,是我,请解锁!’”
Gidari更表示,无论是基于虹膜物理特征或独特说话模式验证身份,还是利用输入或点击的行为特点解锁,任何程序化的操作本质上都是一种沟通方式,因此都应获得特殊保护。
生物识别安全系统往往与传统密码结合起来使用
与Gidari观点不同,前美国司法部计算机犯罪法律专家、现任华盛顿大学法学教授Orin Kerr认为,成文的密码与生物识别系统就是截然不同的。他在一封邮件中写道:“利用生物识别技术解锁的设备并不会引发关于宪法第五修正案的争议。”
显然,随着使用生物信息验证系统进行安全保护的智能设备逐渐普及,越来越多的法官将不得不思考一个问题:法律该如何对待新科技?可制定出通用的标准怕是要些时日。
眼下,生物识别安全系统往往与传统密码验证手段结合起来使用。例如,在重启或闲置48小时后,苹果手机的指纹解锁功能只有在完成一次密码解锁之后才能激活。
比起iPhone,谷歌的Project Abacus系统更为复杂。它运行于设备后台,不间断地评估用户的操作行为、对比已建立的行为模型,从而形成当前登录用户的“信任积分”。若设备被习惯性地使用,“信任积分”就会很高,使得设备保持解锁状态;若出现异常的键入方式,“信任积分”会下降,设备会要求重输密码。
一个牢不可破且被记住的密码仍然是王道
在如此微妙的系统面前,警方即使有正式的法庭命令在手,也很难弄清是否可以迫使用户从智能机中检索信息。当然,Orin Kerr分析到,如果某个人为了获得法律保护,故意举止反常导致设备要求输入密码,这人可能会受到法院惩罚。然而,未来也可能会诞生更先进的系统,它能够探测到因恐惧而产生的轻微震颤,从而锁住设备。
只是,在设备能够充分感知主人的行为之前,在法院确定如何对待生物识别安全系统之前,一个牢不可破且被记住的密码仍然是你启用第五修正案以免责的最佳办法,也是你确保手机牢牢锁住的唯一途径。
参考文献:
Kaveh Waddell,Will the Constitution Protect Your Next Smartphone,The Atlantic.
Sarah Perez,Google plansto bring password-free logins to Android apps by year-end,TechCrunch
网友评论