隨著5S的推出以來,出現了很多捧指紋識別的文章。這些文字初看有道理,但細想完全不是這么回事。指紋識別本身并不是新技術,應用在手機上也不是頭一回。盡管5S采用了最新的技術來實現,但整個認證的基本原理是一致的,即掃描指紋、對比驗證、返回結果。這個流程,除了驗證數據的獲取階段外,和傳統密碼別無二致。
既然指紋識別早不是新技術,為什么這么多年來都沒有取代密碼,而5S一出便有人高呼“密碼將被終結”呢?這些人真的是抱的實事求是的心態說的這些話么?想想那些被頻繁調戲的指紋打卡機,心里就大致有數了。
那么我們先簡單從輸入速度、輸入過程安全性、通用性、以及盜取難度等四個方面,看看指紋和密碼的優勢對比。
輸入速度
以目前的技術來說,即使是5S的技術,指紋識別速度依然算不上秒刷。其識別有一個過程,而且不排除誤差的可能。在當前條件下,指紋識別的輸入速度對比傳統密碼并不占優勢。如果密碼位數不是特別長的話,不會有太大區別。
當然,相信隨著科技發展,這點來說指紋的優勢會慢慢追上來。
輸入過程安全性
任何錄入過程都有一個錄入“介面”,以及之后的處理過程。要確保錄入安全性,從介面開始就需要保證安全性。從這點來說,指紋和密碼完全一樣,適用于密碼的破解方案也同樣適用于指紋。
有人說蘋果一定會對指紋識別部分做如何如何的保護。其實這些保護也同樣適用于密碼。比如將輸入介面運行于一個高級別權限的沙盒中,將已存儲密碼和或指紋加密并同樣以高權限限制的方式存放等等。
但該破的一樣可以破,破不掉的一樣破不掉,沒有區別,只是消耗相應的時間而已。
通用性
指紋屬于生物誤別,以生物特征進行判定。密碼可以根據你的喜好在不同的地方使用不同的密碼,這將取決于個人的安全認識水平。有人說密碼會容易被猜到,這也與個人有關。比如我的某個密碼是借用了以前扔掉的某臺電腦的電源序列號的排列組合,把我祖墳挖了也猜不出來啊。。
而選擇了指紋識別就沒有這么大的可選范圍了,你一共只有10個手指,還得考慮到手指受傷的情況。如果大量應用指紋識別,一旦被破解,這些數據都將暴露。
當然,你還可以像網上那些惡搞者一樣,選擇腳紋、你家的貓、或者你的RT之類的。不過相應的問題也會接踵而來,比如在公共場合解鎖,或者貓走丟了之類的。。
隱私及敏感性
密碼毫無疑問也是屬于隱私和敏感的東西,但至少你有選擇權。你可以選擇你破Chu的日子作為密碼,也可以像我一樣隨便打開機箱找個配件的序列號抄上。也因此,現在流行的密碼驗證往往被放到網上,也就是在線驗證。這是優點也是缺點。
但毫無疑問的,在目前來說指紋不能這么做,因為指紋太私人太敏感。所以蘋果在發布會上明確申明不會上傳到iCloud。存在本地的指紋驗證數據不能說比放在服務器上就更安全或危險,但一旦丟失,引起的問題將不僅僅是你的應用驗證信息丟失這么簡單。
盜取難度
盜取難度上,密碼應該比指紋更具優勢。因為指紋作為生物驗證信息,例如人臉識別、虹膜識別等,是屬于“擺在明面上”的驗證信息。也就是說,答案就在那里,只是看你怎么去取得。
而密碼則記憶在大腦中,獲取密碼的難度同樣受到使用者水準的影響,但對盜取者來說,除了電影大片什么分析擊鍵頻率再猜出密碼(還居然在幾十秒內就一次成功猜中。。)外,往往是需要直接“看到”錄入過程才可以獲知密碼,因此對于盜取者來說,不確定因素更多。
注意這里說的看到,一般是指真的看到。如果有人說盜號木馬什么的,這已經屬于侵入錄入介面了,參見上面的“輸入過程安全性”,這種攻擊方式同樣適用于指紋。
在剛剛提到的三種生物識別中,人臉識別盜取難度最低,即使未進化到立體掃描,知道你長啥樣配合3D打印,復制一張你的臉絕非難事。虹膜獲取難度最高,當然隨著GoogleGlass之類的設備推出,不排除未來也成為可輕易獲得數據之一。指紋來說,獲取難度位于中列,但畢竟指紋是暴露在外的,只要有接觸,就有獲取可能,甚至設備本身就是個很好的指紋收集裝備。
說了這么多,只是想說明指紋識別這項“老技術”在安全性上并不具備完全取代密碼的優勢。在移動設備上集成高精度的指紋識別功能,并不能說沒有意義,拋開帶來的隱私問題外,優勢主要體現在下面這些。
免記憶性
密碼的使用成本隨安全性增加而增加。如果在不同的地方使用了不同的密碼,記憶成本較高。
編碼與輸入過程均不受用戶認識水平影響
密碼的安全性與使用者有非常直接的聯系。這包括了密碼的編碼方式,以及輸入時的安全防范意識。而對于指紋用戶來說,就完全不需要考慮這些,死活一摁了事。
總的來說,指紋識別的應用,更多的是帶來便捷性而不是安全性。無論什么技術,蘋果一用必然會火,這已經成了當前市場的定律。所以預期在之后的一段時間內,移動設備集成指紋識別可能會成為一股風潮。但這個系統倒底對安全性帶來多大幫助,對指紋這種個人敏感數據又會產生多大的威脅,還要看各個廠商在實踐中的努力。
