测心率手环做身份密钥，靠谱？

用手环测心率，用心率当密钥，再也不用担心密码会忘记啦！

今日，美国一家安全创业公司 Bionym 发布了一款可穿戴设备，它可以利用内置的 ECG 传感器来检测人的心跳频率并将所收集的心率当作密码，取代了以往复杂的密码输入过程。这套设备运行原理比较复杂，而且经过多家媒体的测评后得出这一设备并不适合在市场大面积普及，因为它“不能完全保证用户随时都可以用心率来作为密码”。

这款心率手环的名字为 Nymi，它内置的传感器可以通过脉搏来检测人的心率并绘制电子心电图。当手环佩戴者的心率被 Nymi 识别并通过验证之后，它就可以为任何其支持的电子设备提供身份认证信息，比如说汽车、门锁、计算机网络等。在整个心率验证过程中有是哪个关键组件：Nymi 心率手环、与手环配对的移动设备，以及预设的心率签名（即用户使用设备之前录入的标准心率）。在 Nymi 的宣传视频中，我们可以看到用户可以带着它去睡觉、去机场、去宾馆、去咖啡店，无忧无虑地使用这个手环来解锁、认证。看起来非常诱人。

不过，我们并没有发现 Nymi 内部是否使用了突破性的科学技术来保证用户身份的安全，又或者只是拿以前的技术来唬人。Bionym 的创始人 Karl Martin 说，这款设备确实没有特殊的安全措施。也就是说，只需要动动脑筋就可以破解 Nymi 心率手环。

比如，黑客获得了用户的心率签名之后通过简单的线圈就可以重复这个心率来获得身份验证。或者是通过获取用户心率签名认证之后的数据包，然后将其破解，然后黑客再利用其他设备来获取验证信息。获得了破解后的身份信息的黑客只需要把数据拷入另外一个手环，就可以轻松地出入需要身份验证的各种场所。

此外，黑客还可以发起连锁攻击，当用户用手环解锁手机之后，黑客控制与 Nymi 相连接的手机来解锁停在外面的汽车。或者是拦截 Nymi 给手机发送的信息来破解身份验证信息，然后控制电脑获取数据。

但是有安全专家说用户身份信息被破解之后，其他人的行为是可以在移动设备上显示的。

Martin 解释说，Nymi 在设计过程中就考虑到了这种黑客攻击，已经可以对此类攻击进行防御。Nymi 在数据传输过程中采用椭圆曲线密码算法（ECC）来加密数据，所以其他设备即便能黑入设备也不能破解密码。而且，Nymi 的设计非常精巧，如果用户使用它解锁了设备的话，就会震动一下，如果其他人破了身份验证信息去解锁其他设备，用户肯定会得到提示，黑客的连锁攻击也就很难实现。

便携吗？

假如说 Nymi 能够抵御黑客的攻击，能保证用户身份认证信息的安全，还有一点我们需要考虑，那就是便携性。如果手环或者手机丢了，那是不是就没法开门了呢？Nymi 的设计师在设计时也考虑到了这一点，它可以为用户提供临时解锁选项。

如果用户发生了心脏病或者在就医，心率并不能通过认证，怎么办？人的心电图是独一无二的吗？心电图数据的保存方式是不是科学、安全呢？这些答案我们都不得而知。Martin 说，未来几个月，Nymi 的详细数据会慢慢发布出来，届时硬件和软件都会相当成熟，更现在的更安全。

就先在来看，消费者就把 Nymi 当作一款比较神秘、高端的可穿戴设备就可以了，先不要认为心率解锁是多么高端、多么安全的方法。因为任何设备在被验证之前，都只能是假设。研究人员 Joe Bonneau 在其博士论文中写道：“对于绝大多数用户来说，心率密钥非常不错，可以取代密码。如果有设备能实现这一点的话就好了。当然最好有专家能证明它的实用性。”

来源： ArsTechnica