不听忽悠 手机指纹加密真安全吗?

  最近在手机领域又开始出现了一个新的卖点,就是指纹加密。比如iPhone 5S、iPhone 6,比如华为MATE 7,再比如魅族MX4 PRO等等,无一不是将指纹加密作为卖点。指纹识别功能的战争,已经从“要不要放”升级到了“该放在正面还是反面”了。

  这其中一方面是因为用户不满足于手机已经具备的基本功能,另一方面也因为用户的安全意识增强,手机承载了太多敏感信息,必须有一套足够安全的防护措施。

  可能因为指纹是每个人独一无二的,因此造成了指纹比密码更安全的感觉。但事实真的如此吗?如果抛开手机厂商的各种忽悠,仔细琢磨一下指纹识别本身,似乎就是另一回事了。

  我们对指纹的使用已经逐渐丰富起来。如今一些手机上,只需要手指在指纹传感器上轻轻一按,一秒钟之内指纹就能被识别出来,并且让手机响应与之对应的操作,比如解锁,或者付款等等。这是如何实现的呢?

  早在iPhone 4时代,苹果APP Store里就有指纹加密应用。只需要把手指贴在屏幕上,就可以进行加密、解密等操作,看起来像是把触屏变成了指纹传感器。其中绝大多数是骗人的,但并非没有道理。本质上,手机上使用的这种指纹传感器也是一种电容屏,两者工作原理几乎是相同的。只不过相对于触屏而言,指纹传感器的分辨率高出了几个量级,因此能够识别出指纹特征。

  不能否认,指纹识别器到手机系统之间的部分,是相当安全的。从硬件到软件,每一家厂商都在这个环节下足了功夫。有专门负责加密的硬件,有专有的传输协议,有防止破解的多重防护,一个强大加密网络把他们紧密联系起来,已经安全到几乎无法破解。如果将指纹系统比作一把锁,这里就相当于锁芯的部分,而且这个锁芯近乎无敌。但是,如果你复制了钥匙……

  问题的关键就在这。虽然指纹具有唯一性,但指纹在我们的生活环境中太常见了。不论工作、生活、娱乐,我们在做任何事情的时候都不可能把双手扔在家里或者藏匿起来。手会和各种东西接触,于是手指皮肤分泌出的化学物质,让我们在各种各样的环境中都留下了指纹。早在1892年,警察叔叔就已经学会了通过指纹认定犯罪嫌疑人,而这种指纹一定是当事人不想留下的。

  指纹能够用来侦破,是因为特定的指纹与特定的人之间有对应关系。但可惜这种对应关系是不对等的,也就是说通过一个指纹信息能锁定一个人,但是反过来则不成立,也就是说一个人在特定情况下,留下的可能并非他的指纹。因为不论你愿不愿意,都在到处洒落指纹信息,让别人有条件窃取并伪造你的指纹。

  这种通过平面指纹重新生成立体指纹的问题是成本太高,因此手机中的内容要非常有价值才值得尝试。但是在反窃密的过程中,指纹传感器却成了降低成本的猪队友。如何轻松获取正确的指纹信息呢?接下来就看一个实例。下图是国内某知名IT网站的魅族MX4 PRO手机评测图:

  如果看不清楚重点在哪的话,热心的编辑还在图库里提供了高分辨率的原图:

  似乎已经不用废话了,接下来需要一点碳粉外加一段透明胶带……

  这是典型的钥匙忘在了锁头上。指纹识别就是这样一种东西,用户一边以看似“独一无二”锁的方式保护了自己,一边把能解开这把锁的“钥匙”四处乱扔,还以为窃贼发现不了,其实窃贼是觉得不值得罢了。

  那么问题来了,为什么指纹能够被破解,却流行起来呢?因为指纹是最方便的加密方式。手机不加密最方便但不安全,手机加密码安全但最不方便,而指纹正好处于两者之间,在方便和安全上找到了一个易于让用户接受的平衡点。在手机产品上,即使有机会破解指纹,也不能保证窃密的投入与收益相当,指纹识别拉高了窃密成本和风险。

  也就是说指纹识别是通过拉高成本逼退窃密者,而非安全性。但是随着各种移动支付的兴起,指纹识别已经不单单用来保护重要的信息,还将直接与个人财产紧密关联,那指纹识别还会安全么?只要值得,一定会有人破解。不难想象在移动支付等新应用方式兴起之后,指纹搜集、破解也一定会形成一条产业链。所以如果真相信指纹比密码安全,恐怕会损失惨重。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:霍尼韦尔高管:看好中国安全防护产品市场