⑴自从苹果在iPhones上添加了Touch ID功能,就让指纹识别成为一股旋风,横扫了整个手机市场。如今,市场上主流的产品几乎都配备了指纹识别功能。通过指纹来解锁手机、支付费用似乎已经成为常态,并且多数人认为,指纹加密要比密码更为安全,然而事实并非如此。
⑵就像世界上不存在完全相同的两片树叶那样,指纹的确具备独一性,因为每个人手指上特殊的中断、分叉或转折而形成的特征点各不相同,以这些独一无二的特征点所制成的指纹锁就代表了你自己。而装备在手机中的每一个指纹模组就是要将你的指纹信息加以记录、识别以及储存。
⑶不可否认,为了维护指纹识别的安全,智能手机厂商几乎已经挖空心思,当前每一部装配有指纹识别的手机都采用了SoC硬件级加密,其中的传输协议甚至都是专有,并且验证步骤也只在本地进行,多重验证机制确保了黑客们无法从芯片中盗取指纹信息。换言之,如果把指纹与手机的关系比喻为普通门锁,现如今手机厂商已经将锁芯打造成了铜墙铁壁。
⑷但若是“钥匙”被复制了呢?
⑸相信不少读者都在近期看到了这样一条新闻:一个名叫Ashlynd Howell的六岁小朋友趁着妈妈打盹的间隙,用妈妈的拇指解锁iPhone,偷偷打开亚马逊(同样通过了指纹验证大肆消费了美元。而这就是指纹的不安全所在。
⑹虽然指纹具备唯一性,与特定用户的身份一一对应,通过指纹信息手机可以验证解锁的是否就是特定用户,但在我们的工作生活中,留下指纹比喝下一口水更容易,只要与物品相接处,皮肤分泌的油脂就会在环境中留下指纹。这意味别有居心的人能够轻松窃取你的指纹,并伪造出那把打开手机的“钥匙”。
⑺可别以为伪造指纹是什么技术活,实际上要伪造一份指纹的成本并不太高,一瓶氰基丙烯酸盐粘合剂,碳粉、胶带、明胶/硅胶,不到块钱就能快速模拟出一层足够骗过大部分指纹识别器的指纹膜,而早在年的Syscan,黑客Marc Rogers就曾经用这样的方法成功攻破了iPhone s,一年后又同样对待了iPhone。
⑻为此,下半年开始,不少手机厂商都开始表明自己的指纹识别带有“活体检测”功能,声称可以以此杜绝假指纹,但这也并非绝对可靠。这是当前智能手机所采用的电容式指纹传感器的原理所决定的:“当用户将手指放在正面时,皮肤就组成了电容阵列的一个极板,电容阵列的背面是绝缘极板。由于不同区域指纹的脊和谷之间的距离也不相等,使每个单元的电容量随之而变,由此可获得指纹图像。”这意味着活体监测的体征仍旧是电信号,只不过杜绝了此前硅胶类材料,但在市面上仍旧存有可以充当“极板”的材料,它们依旧可以轻松骗过传感器。
⑼事实上指纹信息的泄露以及丢失远比想象的要严重,在年高尔顿建立《指纹学》时就已经确立指纹终生不变、可识别以及可分类三大特征,这意味着指纹不像密码那样,在泄漏后可以通过直接更换来补救,一旦指纹信息泄露就意味着与这根手指有关的所有加密信息全都处于不安全状态,其安全性将终生不可恢复。
⑽世界上本不存有绝对的安全,所谓的安全只是将可能面临风险的概率降低至可接受的范围,因此相比传统密码加密,我认为指纹验证的优势并不在于“安全”,它更突出的特点无疑是“便捷”,对于普通用户而言,指纹的加入降低了用户守护安全的使用成本,它所带来的安全感,也已经处于“可接受范围”。
⑾但是在这种安全感之外,我们仍然要知道,指纹识别的确没有你想的那么安全,当它成为解开财富的密钥时,必定会引来贪婪的野兽。