不聽忽悠 手機(jī)指紋加密真安全嗎?

責(zé)任編輯:editor006

2014-12-05 14:22:19

摘自:百度百家

最近在手機(jī)領(lǐng)域又開始出現(xiàn)了一個(gè)新的賣點(diǎn),就是指紋加密。在手機(jī)產(chǎn)品上,即使有機(jī)會破解指紋,也不能保證竊密的投入與收益相當(dāng),指紋識別拉高了竊密成本和風(fēng)險(xiǎn)。也就是說指紋識別是通過拉高成本逼退竊密者,而非安全性。

最近在手機(jī)領(lǐng)域又開始出現(xiàn)了一個(gè)新的賣點(diǎn),就是指紋加密。比如iPhone 5S、iPhone 6,比如華為MATE 7,再比如魅族MX4 PRO等等,無一不是將指紋加密作為賣點(diǎn)。指紋識別功能的戰(zhàn)爭,已經(jīng)從“要不要放”升級到了“該放在正面還是反面”了。

這其中一方面是因?yàn)橛脩舨粷M足于手機(jī)已經(jīng)具備的基本功能,另一方面也因?yàn)橛脩舻陌踩庾R增強(qiáng),手機(jī)承載了太多敏感信息,必須有一套足夠安全的防護(hù)措施。

可能因?yàn)橹讣y是每個(gè)人獨(dú)一無二的,因此造成了指紋比密碼更安全的感覺。但事實(shí)真的如此嗎?如果拋開手機(jī)廠商的各種忽悠,仔細(xì)琢磨一下指紋識別本身,似乎就是另一回事了。

我們對指紋的使用已經(jīng)逐漸豐富起來。如今一些手機(jī)上,只需要手指在指紋傳感器上輕輕一按,一秒鐘之內(nèi)指紋就能被識別出來,并且讓手機(jī)響應(yīng)與之對應(yīng)的操作,比如解鎖,或者付款等等。這是如何實(shí)現(xiàn)的呢?

早在iPhone 4時(shí)代,蘋果APP Store里就有指紋加密應(yīng)用。只需要把手指貼在屏幕上,就可以進(jìn)行加密、解密等操作,看起來像是把觸屏變成了指紋傳感器。其中絕大多數(shù)是騙人的,但并非沒有道理。本質(zhì)上,手機(jī)上使用的這種指紋傳感器也是一種電容屏,兩者工作原理幾乎是相同的。只不過相對于觸屏而言,指紋傳感器的分辨率高出了幾個(gè)量級,因此能夠識別出指紋特征。

不能否認(rèn),指紋識別器到手機(jī)系統(tǒng)之間的部分,是相當(dāng)安全的。從硬件到軟件,每一家廠商都在這個(gè)環(huán)節(jié)下足了功夫。有專門負(fù)責(zé)加密的硬件,有專有的傳輸協(xié)議,有防止破解的多重防護(hù),一個(gè)強(qiáng)大加密網(wǎng)絡(luò)把他們緊密聯(lián)系起來,已經(jīng)安全到幾乎無法破解。如果將指紋系統(tǒng)比作一把鎖,這里就相當(dāng)于鎖芯的部分,而且這個(gè)鎖芯近乎無敵。但是,如果你復(fù)制了鑰匙……

問題的關(guān)鍵就在這。雖然指紋具有唯一性,但指紋在我們的生活環(huán)境中太常見了。不論工作、生活、娛樂,我們在做任何事情的時(shí)候都不可能把雙手扔在家里或者藏匿起來。手會和各種東西接觸,于是手指皮膚分泌出的化學(xué)物質(zhì),讓我們在各種各樣的環(huán)境中都留下了指紋。早在1892年,警察叔叔就已經(jīng)學(xué)會了通過指紋認(rèn)定犯罪嫌疑人,而這種指紋一定是當(dāng)事人不想留下的。

指紋能夠用來偵破,是因?yàn)樘囟ǖ闹讣y與特定的人之間有對應(yīng)關(guān)系。但可惜這種對應(yīng)關(guān)系是不對等的,也就是說通過一個(gè)指紋信息能鎖定一個(gè)人,但是反過來則不成立,也就是說一個(gè)人在特定情況下,留下的可能并非他的指紋。因?yàn)椴徽撃阍覆辉敢?,都在到處灑落指紋信息,讓別人有條件竊取并偽造你的指紋。

這種通過平面指紋重新生成立體指紋的問題是成本太高,因此手機(jī)中的內(nèi)容要非常有價(jià)值才值得嘗試。但是在反竊密的過程中,指紋傳感器卻成了降低成本的豬隊(duì)友。如何輕松獲取正確的指紋信息呢?接下來就看一個(gè)實(shí)例。下圖是國內(nèi)某知名IT網(wǎng)站的魅族MX4 PRO手機(jī)評測圖:

如果看不清楚重點(diǎn)在哪的話,熱心的編輯還在圖庫里提供了高分辨率的原圖:

  似乎已經(jīng)不用廢話了,接下來需要一點(diǎn)碳粉外加一段透明膠帶……

這是典型的鑰匙忘在了鎖頭上。指紋識別就是這樣一種東西,用戶一邊以看似“獨(dú)一無二”鎖的方式保護(hù)了自己,一邊把能解開這把鎖的“鑰匙”四處亂扔,還以為竊賊發(fā)現(xiàn)不了,其實(shí)竊賊是覺得不值得罷了。

那么問題來了,為什么指紋能夠被破解,卻流行起來呢?因?yàn)橹讣y是最方便的加密方式。手機(jī)不加密最方便但不安全,手機(jī)加密碼安全但最不方便,而指紋正好處于兩者之間,在方便和安全上找到了一個(gè)易于讓用戶接受的平衡點(diǎn)。在手機(jī)產(chǎn)品上,即使有機(jī)會破解指紋,也不能保證竊密的投入與收益相當(dāng),指紋識別拉高了竊密成本和風(fēng)險(xiǎn)。

也就是說指紋識別是通過拉高成本逼退竊密者,而非安全性。但是隨著各種移動支付的興起,指紋識別已經(jīng)不單單用來保護(hù)重要的信息,還將直接與個(gè)人財(cái)產(chǎn)緊密關(guān)聯(lián),那指紋識別還會安全么?只要值得,一定會有人破解。不難想象在移動支付等新應(yīng)用方式興起之后,指紋搜集、破解也一定會形成一條產(chǎn)業(yè)鏈。所以如果真相信指紋比密碼安全,恐怕會損失慘重。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號