身份驗證手段一直在進步，但依然不是絕對可靠的。

口令的安全漏洞很多。用戶選擇短小又明顯的口令或者跨賬戶使用同一個口令的現象屢見不鮮。同時，理應保護客戶數據的公司企業經常遭遇數據泄露事件，動輒數百萬客戶憑證失竊。所有這些都導致我們無法信任現在的身份驗證標準。

不過，別慌!口令并非身份驗證唯一因素，數字證書、硬件令牌、生物特征等都可以用作身份標識因素。如今，生物特征識別十分流行。這主要是因為用起來很方便，按下手指或者刷個臉就能登錄，完全不用費心去記冗長艱澀的口令。微軟Hello和蘋果FaceID就明顯昭示了身份驗證的未來在于生物特征識別。
但是，生物特征識別技術真的可以解決身份驗證中的所有安全問題嗎?
那可未必。生物特征是相當精準沒錯，但并非完全可靠。過去幾年，黑客和研究人員已多次騙過了生物特征識別解決方案。我們不妨看看以下4起生物特征識別黑客事件：
1. 小熊軟糖打敗指紋讀取器
說起生物特征，第一個浮現在腦海的恐怕會是指紋。指紋讀取器是計算界首批投入使用的生物特征識別設備之一，時至今日它們已無處不在。然而，它們同時也是研究人員首先攻破的生物識別技術，而且騙過指紋讀取器的方法非常簡單。

2002年，名為松本勉的研究人員用普通小熊軟糖就騙過了指紋讀取器。松本用類似司法取證的方法從玻璃上粘下指紋，然后用粘性材料按取到的指紋做成手指。稍加處理，這些人造“手指”就能騙過指紋傳感器了。
當然，隨著時間流逝，生物特征識別也有所發展。現代傳感器分辨率更高，有的還會查看其它因素，比如溫度和心跳。不過，相應的攻擊方法也沒有停下進化的腳步。2013年，iPhone的TouchID推出后不久，混沌計算機俱樂部就破解了這一生物特征識別技術。更近一些，研究人員用紙張和膠水就黑掉了指紋讀取器。
雖然指紋讀取讓我們可以更方便地解鎖智能手機，但我們還不能完全信任這種方法。
2. 騙過虹膜掃描器
電影里的虹膜掃描可炫酷了，但這種基于眼球的生物特征識別并非僅僅存在于科幻電影中。
但不幸的是，虹膜掃描比指紋讀取也安全不到哪兒去。2012年，研究人員用復制的虹膜圖像騙過了虹膜讀取器。其中最有趣的一點是，他們用生物特征識別系統數據庫中存儲的虹膜數據來復制的假虹膜。就像口令數據庫泄露造成口令被盜一樣，虹膜數據庫泄露也會導致眼球掃描器被騙過。

3. 紙片人臉愚弄人臉識別
生物特征識別最新的熱門趨勢就是人臉識別了。比如微軟的Hello，你看向電腦或手機就可以解鎖這些設備。這聽起來像是人們夢寐以求的理想可用性，然而，愚弄人臉識別技術并不困難。
早在2011年，一位安全博主就發現，僅使用靜態照片就可騙過安卓人臉掃描器。給自己照張相，把相片擺到手機前，進入得毫無阻礙。后來，廠商升級了人臉掃描技術，添加了“活性”檢查，要求做某種動作以確保看向攝像頭的是真人。

4. 3D打印機擊敗3D人臉掃描器
2017年，蘋果推出了名為FaceID的新人臉識別功能。表面上，用戶使用該技術的體驗與其他人臉掃描器毫無二致。但在手機屏幕背后提供支撐的，是確保人臉識別更加準確更難以被騙過的技術。
基本上，手機里安裝了發送無數紅外光線的傳感器(TrueDepth)，可以準確地繪制用戶的臉。這樣手機里就會存儲用戶人臉的3D數字表示，可從很多角度進行識別。蘋果用機器學習強化了該功能，即便用戶帶著帽子、眼鏡或其他可能混淆傳統人臉掃描器的裝飾品，都依然能識別出來。
這些努力都應能使人臉生物特征識別相當可信，也確實強化了該識別技術。但是，就在蘋果推出FaceID一周后，越南某安全團隊就宣稱攻克了該技術。該團隊宣稱：利用3D打印機、2D人眼紅外圖像和石粉，再加上手工揉捏，就可以制作出能夠騙過FaceID的面具。老實說，還沒其他研究團隊獨立驗證過這一攻擊方法。

或許未來會出現更新的技術讓生物特征識別更難以被騙過，但目前為止2D和3D人臉掃描都還達不到完美的程度。
不過，這并不是說生物特征識別的未來形勢嚴峻。生物特征識別提供商會從這些失敗案例中汲取教訓，添加新的功能，讓識別系統更加健壯。同時，新的生物識別特征也會持續涌現，比如心跳、輸入節奏，甚至腦電波。
縱觀黑客史，意志堅定的攻擊者總能找到方法復制、盜取或繞過他們需要的驗證因素。如果僅依賴生物特征，我們會再次遭遇口令驗證所經歷的那些問題。而且，在利用生物特征識別身份驗證的情況下，如果你的指紋或人臉特征被盜，你就再也不能使用它們進行身份驗證了。
在未來，生物特征將在身份認證中起到重要作用。然而，任何身份認證令牌都不是牢不可破的。最安全的做法不是完全依賴某種新式高級生物識別技術，而是實現多因子身份認證——使用1種以上的因子參與認證過程。