不聽忽悠 手機指紋加密真安全嗎?
最近在手機領域又開始出現了一個新的賣點,就是指紋加密。比如iPhone 5S、iPhone 6,比如華為MATE 7,再比如魅族MX4 PRO等等,無一不是將指紋加密作為賣點。
最近在手機領域又開始出現了一個新的賣點,就是指紋加密。比如iPhone 5S、iPhone 6,比如華為MATE 7,再比如魅族MX4 PRO等等,無一不是將指紋加密作為賣點。指紋識別功能的戰爭,已經從“要不要放”升級到了“該放在正面還是反面”了。
這其中一方面是因為用戶不滿足于手機已經具備的基本功能,另一方面也因為用戶的安全意識增強,手機承載了太多敏感信息,必須有一套足夠安全的防護措施。
可能因為指紋是每個人獨一無二的,因此造成了指紋比密碼更安全的感覺。但事實真的如此嗎?如果拋開手機廠商的各種忽悠,仔細琢磨一下指紋識別本身,似乎就是另一回事了。
我們對指紋的使用已經逐漸豐富起來。如今一些手機上,只需要手指在指紋傳感器上輕輕一按,一秒鐘之內指紋就能被識別出來,并且讓手機響應與之對應的操作,比如解鎖,或者付款等等。這是如何實現的呢?
早在iPhone 4時代,蘋果APP Store里就有指紋加密應用。只需要把手指貼在屏幕上,就可以進行加密、解密等操作,看起來像是把觸屏變成了指紋傳感器。其中絕大多數是騙人的,但并非沒有道理。本質上,手機上使用的這種指紋傳感器也是一種電容屏,兩者工作原理幾乎是相同的。只不過相對于觸屏而言,指紋傳感器的分辨率高出了幾個量級,因此能夠識別出指紋特征。
不能否認,指紋識別器到手機系統之間的部分,是相當安全的。從硬件到軟件,每一家廠商都在這個環節下足了功夫。有專門負責加密的硬件,有專有的傳輸協議,有防止破解的多重防護,一個強大加密網絡把他們緊密聯系起來,已經安全到幾乎無法破解。如果將指紋系統比作一把鎖,這里就相當于鎖芯的部分,而且這個鎖芯近乎無敵。但是,如果你復制了鑰匙……
問題的關鍵就在這。雖然指紋具有唯一性,但指紋在我們的生活環境中太常見了。不論工作、生活、娛樂,我們在做任何事情的時候都不可能把雙手扔在家里或者藏匿起來。手會和各種東西接觸,于是手指皮膚分泌出的化學物質,讓我們在各種各樣的環境中都留下了指紋。早在1892年,警察叔叔就已經學會了通過指紋認定犯罪嫌疑人,而這種指紋一定是當事人不想留下的。
指紋能夠用來偵破,是因為特定的指紋與特定的人之間有對應關系。但可惜這種對應關系是不對等的,也就是說通過一個指紋信息能鎖定一個人,但是反過來則不成立,也就是說一個人在特定情況下,留下的可能并非他的指紋。因為不論你愿不愿意,都在到處灑落指紋信息,讓別人有條件竊取并偽造你的指紋。
這種通過平面指紋重新生成立體指紋的問題是成本太高,因此手機中的內容要非常有價值才值得嘗試。但是在反竊密的過程中,指紋傳感器卻成了降低成本的豬隊友。如何輕松獲取正確的指紋信息呢?接下來就看一個實例。下圖是國內某知名IT網站的魅族MX4 PRO手機評測圖:
如果看不清楚重點在哪的話,熱心的編輯還在圖庫里提供了高分辨率的原圖:
似乎已經不用廢話了,接下來需要一點碳粉外加一段透明膠帶……
這是典型的鑰匙忘在了鎖頭上。指紋識別就是這樣一種東西,用戶一邊以看似“獨一無二”鎖的方式保護了自己,一邊把能解開這把鎖的“鑰匙”四處亂扔,還以為竊賊發現不了,其實竊賊是覺得不值得罷了。
那么問題來了,為什么指紋能夠被破解,卻流行起來呢?因為指紋是最方便的加密方式。手機不加密最方便但不安全,手機加密碼安全但最不方便,而指紋正好處于兩者之間,在方便和安全上找到了一個易于讓用戶接受的平衡點。在手機產品上,即使有機會破解指紋,也不能保證竊密的投入與收益相當,指紋識別拉高了竊密成本和風險。
也就是說指紋識別是通過拉高成本逼退竊密者,而非安全性。但是隨著各種移動支付的興起,指紋識別已經不單單用來保護重要的信息,還將直接與個人財產緊密關聯,那指紋識別還會安全么?只要值得,一定會有人破解。不難想象在移動支付等新應用方式興起之后,指紋搜集、破解也一定會形成一條產業鏈。所以如果真相信指紋比密碼安全,恐怕會損失慘重。
- 下一篇:互聯網四箴言,小米為何始亂終棄?
- 上一篇:陳歐已沉默了夠久,聚美醒了沒有?