蚂蚁金服技术专家黄冕
黄冕表示,其实密码加速了互联网的发展。在互联网时代,一个用户名+一个密码的模式被广泛应用。密码为大家开启了互联网之门,但随着黑色产业链、黑客技术、以及网络的发展,个人信息在互联网上传播就意味着会有泄露的风险,密码慢慢就变得不够安全。
黄冕介绍了他在支付宝时遇到的一个很大的挑战。那是在2011年,有些IT网站发生了密码泄露的情况,密码泄露就带来了一个问题:据网信办统计,大概75%的用户在互联网上用的是一组密码,这意味着用户的密码在网上泄露了之后,可能会导致用户在金融机构网上服务方面的一些密码也被泄露。而安全意识比较高的用户会采用密码分级的方式设置多组密码,但这始终是有限的。另外,有些人设置密码会用自己的生日、姓名的全拼、重复的数字等等,所以密码成为了一个比较严峻的安全问题,所以我们开始考虑怎样才能加强安全。
支付宝在2011~12年的时候就开始尝试用生物识别代替密码。当时支付宝第一个考虑的就是指纹,因为指纹可以第一时间识别你是谁,同时不需要有记忆成本,风险率很低。支付宝2011年开始研究指纹技术,但直到2014年才推出第一款指纹支付产品。这其中有个很大的因素就是涉及到产业链。以前大家喜欢用短信验证、安全盾等校验方法有个很大的原因就是不需要产业链的合作,但是指纹识别的产业链非常长,会涉及到芯片厂商、手机主芯片厂商、OEM厂商、TEE厂商、应用厂商等。当时支付宝最开始调研做指纹时找OEM厂商聊,OEM厂商也许还要自己去调研一下做这个东西成本能不能收回来。
终于在2013年的时候,支付宝与一些主流手机厂商达成共识准备做指纹支付,但后来突然发现没有方案,不知道要怎么做指纹才是安全的。于是又开始讨论方案,这其中就涉及到TEE、TA等,于是又谈了一年,最后终于弄清了方案把大家都聚在一起做指纹支付的时候已经到了2013年底。而开始做之后又一共做了6个月,因为在过程中大家各自会出现一些问题,你改一下我改一下,又没有统一的标准,所以支付宝做出中国第一款指纹支付产品用了3~4年时间,周期很长。
这让支付宝明白了一件事:如果要打破现在的认证体系格局,要优化它,要对它进行改革,光凭一个应用厂商是不够的,这需要整个上下游产业链一起来做。我们需要有统一的标准,联合的创新才是王道。于是支付宝开始考虑要不要建立一个产业联盟。
而生物识别应用实践的增速非常快。在支付宝推出指纹支付后,2015年双十一整个蚂蚁金服的支付量占比中,指纹支付占了10%,现在会更高。并且从最新统计数据来看,支付宝平台上注册指纹支付的用户超过5300万人,同时现在以每月500万人的速度在增长。
这些例子说明了两件事:一是用户接受指纹、接受指纹支付;二是厂商越来越多的手机产品支持指纹识别。
另外,支付宝也不仅仅是做指纹,还包括人脸识别等其他生物识别技术。人脸解决的问题其实跟指纹不一样。指纹识别解决的是用户体验、替代密码的问题;人脸解决的是识人的问题。
为什么要解决识人的问题?以前我们要认识一个人需要出示身份证,但在网上你没法出示身份证,所以在网上就变成了出示身份证照片。一旦出示身份证照片,这个照片就有可能被复制,所以这就是广泛应用时遇到的难题,要如何解决身份证照片在网上传输时的安全问题。所以支付宝考虑直接用人脸进行比对,因为公安网直接就有人脸图片。而人脸识别可以解决的一个问题还有活动作弊。现在网站上会有很多活动,但如果只是在账户的维度,大家可以不停注册新账户来拿到补贴,但如果采用人脸识别,无论注册多少个账户他还是他,就解决了作弊问题。作为支付宝来说,在登陆、身份认证等应用场景已经可以使用。