最近在手機領域又開始出現了一個新的賣點,就是指紋加密,比如iPhone 5S、iPhone 6,比如華為MATE 7,再比如魅族MX4 PRO等等,無一不是將指紋加密作為賣點,指紋識別功能的戰爭,已經從“要不要放”升級到了“該放在正面還是反面”了。這其中一方面是因為使用者不滿足於手機已經具備的基本功能,另一方面也因為使用者的安全意識增強,手機承載了太多敏感資訊,必須有一套足夠安全的防護措施。可能因為指紋是每個人獨一無二的,因此造成了指紋比密碼更安全的感覺,但事實真的如此嗎?如果拋開手機廠商的各種忽悠,仔細琢磨一下指紋識別本身,似乎就是另一回事了。 我們對指紋的使用已經逐漸豐富起來。如今一些手機上,只需要手指在指紋感測器上輕輕一按,一秒鐘之內指紋就能被識別出來,並且讓手機響應與之對應的操作,比如解鎖,或者付款等等。這是如何實現的呢? 早在iPhone 4時代,蘋果APP Store裡就有指紋加密應用。只需要把手指貼在螢幕上,就可以進行加密、解密等操作,看起來像是把觸屏變成了指紋感測器。其中絕大多數是騙人的,但並非沒有道理。 本質上,手機上使用的這種指紋感測器也是一種電容屏,兩者工作原理幾乎是相同的,只不過相對於觸屏而言,指紋感測器的解析度高出了幾個量級,因此能夠識別出指紋特徵。 不能否認,指紋識別器到手機系統之間的部分,是相當安全的。從硬體到軟體,每一家廠商都在這個環節下足了功夫。有專門負責加密的硬體,有專有的傳輸協議,有防止破解的多重防護,一個強大加密網路把他們緊密聯絡起來,已經安全到幾乎無法破解。 如果將指紋系統比作一把鎖,這裡就相當於鎖芯的部分,而且這個鎖芯近乎無敵。 但是,如果你複製了鑰匙…… 問題的關鍵就在這兒。雖然指紋具有唯一性,但指紋在我們的生活環境中太常見了。不論工作、生活、娛樂,我們在做任何事情的時候都不可能把雙手扔在家裡或者藏匿起來。手會和各種東西接觸,於是手指面板分泌出的化學物質,讓我們在各種各樣的環境中都留下了指紋。 早在1892年,警察叔叔就已經學會了透過指紋認定犯罪嫌疑人,而這種指紋一定是當事人不想留下的。 指紋能夠用來偵破,是因為特定的指紋與特定的人之間有對應關係,但可惜這種對應關係是不對等的,也就是說透過一個指紋資訊能鎖定一個人,但是反過來則不成立,也就是說一個人在特定情況下,留下的可能並非他的指紋,因為不論你願不願意,都在到處灑落指紋資訊,讓別人有條件竊取並偽造你的指紋。 這種透過平面指紋重新生成立體指紋的問題是成本太高,因此手機中的內容要非常有價值才值得嘗試,但是在反竊密的過程中,指紋感測器卻成了降低成本的豬隊友。如何輕鬆獲取正確的指紋資訊呢?接下來就看一個例項。 似乎已經不用廢話了,接下來需要一點碳粉外加一段透明膠帶…… 這是典型的鑰匙忘在了鎖頭上。 指紋識別就是這樣一種東西,使用者一邊以看似“獨一無二”鎖的方式保護了自己,一邊把能解開這把鎖的“鑰匙”四處亂扔,還以為竊賊發現不了,其實竊賊是覺得不值得罷了。 那麼問題來了,為什麼指紋能夠被破解,卻流行起來呢?因為指紋是最方便的加密方式。 手機不加密最方便但不安全,手機加密碼安全但最不方便,而指紋正好處於兩者之間,在方便和安全上找到了一個易於讓使用者接受的平衡點。在手機產品上,即使有機會破解指紋,也不能保證竊密的投入與收益相當,指紋識別拉高了竊密成本和風險。 也就是說指紋識別是透過拉高成本逼退竊密者,而非安全性,但是隨著各種移動支付的興起,指紋識別已經不單單用來保護重要的資訊,還將直接與個人財產緊密關聯,那指紋識別還會安全麼?只要值得,一定會有人破解。 不難想象在移動支付等新應用方式興起之後,指紋蒐集、破解也一定會形成一條產業鏈,所以如果真相信指紋比密碼安全,恐怕會損失慘重。
最近在手機領域又開始出現了一個新的賣點,就是指紋加密,比如iPhone 5S、iPhone 6,比如華為MATE 7,再比如魅族MX4 PRO等等,無一不是將指紋加密作為賣點,指紋識別功能的戰爭,已經從“要不要放”升級到了“該放在正面還是反面”了。這其中一方面是因為使用者不滿足於手機已經具備的基本功能,另一方面也因為使用者的安全意識增強,手機承載了太多敏感資訊,必須有一套足夠安全的防護措施。可能因為指紋是每個人獨一無二的,因此造成了指紋比密碼更安全的感覺,但事實真的如此嗎?如果拋開手機廠商的各種忽悠,仔細琢磨一下指紋識別本身,似乎就是另一回事了。 我們對指紋的使用已經逐漸豐富起來。如今一些手機上,只需要手指在指紋感測器上輕輕一按,一秒鐘之內指紋就能被識別出來,並且讓手機響應與之對應的操作,比如解鎖,或者付款等等。這是如何實現的呢? 早在iPhone 4時代,蘋果APP Store裡就有指紋加密應用。只需要把手指貼在螢幕上,就可以進行加密、解密等操作,看起來像是把觸屏變成了指紋感測器。其中絕大多數是騙人的,但並非沒有道理。 本質上,手機上使用的這種指紋感測器也是一種電容屏,兩者工作原理幾乎是相同的,只不過相對於觸屏而言,指紋感測器的解析度高出了幾個量級,因此能夠識別出指紋特徵。 不能否認,指紋識別器到手機系統之間的部分,是相當安全的。從硬體到軟體,每一家廠商都在這個環節下足了功夫。有專門負責加密的硬體,有專有的傳輸協議,有防止破解的多重防護,一個強大加密網路把他們緊密聯絡起來,已經安全到幾乎無法破解。 如果將指紋系統比作一把鎖,這裡就相當於鎖芯的部分,而且這個鎖芯近乎無敵。 但是,如果你複製了鑰匙…… 問題的關鍵就在這兒。雖然指紋具有唯一性,但指紋在我們的生活環境中太常見了。不論工作、生活、娛樂,我們在做任何事情的時候都不可能把雙手扔在家裡或者藏匿起來。手會和各種東西接觸,於是手指面板分泌出的化學物質,讓我們在各種各樣的環境中都留下了指紋。 早在1892年,警察叔叔就已經學會了透過指紋認定犯罪嫌疑人,而這種指紋一定是當事人不想留下的。 指紋能夠用來偵破,是因為特定的指紋與特定的人之間有對應關係,但可惜這種對應關係是不對等的,也就是說透過一個指紋資訊能鎖定一個人,但是反過來則不成立,也就是說一個人在特定情況下,留下的可能並非他的指紋,因為不論你願不願意,都在到處灑落指紋資訊,讓別人有條件竊取並偽造你的指紋。 這種透過平面指紋重新生成立體指紋的問題是成本太高,因此手機中的內容要非常有價值才值得嘗試,但是在反竊密的過程中,指紋感測器卻成了降低成本的豬隊友。如何輕鬆獲取正確的指紋資訊呢?接下來就看一個例項。 似乎已經不用廢話了,接下來需要一點碳粉外加一段透明膠帶…… 這是典型的鑰匙忘在了鎖頭上。 指紋識別就是這樣一種東西,使用者一邊以看似“獨一無二”鎖的方式保護了自己,一邊把能解開這把鎖的“鑰匙”四處亂扔,還以為竊賊發現不了,其實竊賊是覺得不值得罷了。 那麼問題來了,為什麼指紋能夠被破解,卻流行起來呢?因為指紋是最方便的加密方式。 手機不加密最方便但不安全,手機加密碼安全但最不方便,而指紋正好處於兩者之間,在方便和安全上找到了一個易於讓使用者接受的平衡點。在手機產品上,即使有機會破解指紋,也不能保證竊密的投入與收益相當,指紋識別拉高了竊密成本和風險。 也就是說指紋識別是透過拉高成本逼退竊密者,而非安全性,但是隨著各種移動支付的興起,指紋識別已經不單單用來保護重要的資訊,還將直接與個人財產緊密關聯,那指紋識別還會安全麼?只要值得,一定會有人破解。 不難想象在移動支付等新應用方式興起之後,指紋蒐集、破解也一定會形成一條產業鏈,所以如果真相信指紋比密碼安全,恐怕會損失慘重。