許多記者誤以為指紋或臉部識別等生物驗證功能足以保護他們的數位設備。雖然這項技術有許多優點,但它並不足以取代高強度密碼和多重身份驗證。

生物驗證看似安全…

  • 熱門趨勢。坊間有越來越多手機等設備,將指紋或臉部識別等生物驗證運用在解鎖功能,因為使用者不需記住任何密碼,而且只要用人臉或指紋就能輕鬆解鎖,而兩者都不太可能更改或複製。
  • 它有保障的功能。許多新開發的技術都能確保訪問設備的人活著或有意識:蘋果的Touch ID 指紋掃描會檢查電導率和脈搏運動,其他一些使用臉部識別的應用程式則會要求使用者依指示眨眼、微笑或移動頭部。
  • 生物識別資料已加密。一般來說,使用指紋或臉部識別時所需的資訊都經過高度加密,而且只儲存在設備上,不儲存在雲端或母公司。它看起來像是一種有效的安全工具,但如同所有新興技術,它在使用上也有其侷限和風險,對握有工作相關敏感資訊的記者來說尤其如此。

…但它不能保障設備安全

  • 生物辨識資料可能會被移交給當局。首先,我們無法確保設備製造商不會在當局要求之下分享其儲存的生物識別資料。
  • AI可以生成假指紋。其次,隨著人工智慧不斷發展,某些仍處於早期階段的新科技已經可以用AI生成的指紋(如 DeepMasterPrints)騙過生物驗證系統。
  • 生物辨識資料可以直接在網上找到。此外,當局或第三方可以竊取記者的臉部或指紋圖像,藉此直接在網路上或監控系統中取得記者的生物識別資料。
  • 生物辨識資料已於有關當局註冊。在某些國家/地區,人們必須提供指紋才能取得身份證或入境,所以當局可以訪問顯示他們的臉部和指紋的個人檔案。
  • 記者可能會被迫解鎖設備。任何第三方都可以脅迫一個人將手指放在他們的設備上,或者將設備對著他們的臉迫使他們解鎖。

密碼和多重身份驗證仍有其必要

  • 使用高強度密碼。記者在處理敏感資訊時,應以高強度密碼驗證作為保護設備的主要手段,避免被握有各種高科技的有關當局或第三方入侵。通常破解密碼或強迫使用者供出密碼的難度較高。
  • 使用多重身份驗證。如果記者決定使用生物識別身份驗證,他們應該要以高強度密碼搭配加密牆等多重身份驗證機制作為額外的安全防護。
  • 使用雙設備。建議記者攜帶兩部手機或設備:一部存有敏感資訊,用多重身份驗證加以保護,另一部可以在當局要求記者交出設備時當作誘餌。