手機指紋解鎖很安全？其實未必

　　自從蘋果在iPhone5s上添加了Touch ID功能，就讓指紋識別成為一股旋風(fēng)，橫掃了整個手機市場。如今，市場上主流的產(chǎn)品幾乎都配備了指紋識別功能。通過指紋來解鎖手機、支付費用似乎已經(jīng)成為常態(tài)，并且多數(shù)人認為，指紋加密要比密碼更為安全，然而事實并非如此。

　　就像世界上不存在完全相同的兩片樹葉那樣，指紋的確具備獨一性，因為每個人手指上特殊的中斷、分叉或轉(zhuǎn)折而形成的特征點各不相同，以這些獨一無二的特征點所制成的指紋鎖就代表了你自己。而裝備在手機中的每一個指紋模組就是要將你的指紋信息加以記錄、識別以及儲存。

　　不可否認，為了維護指紋識別的安全，智能手機廠商幾乎已經(jīng)挖空心思，當(dāng)前每一部裝配有指紋識別的手機都采用了SoC硬件級加密，其中的傳輸協(xié)議甚至都是專有，并且驗證步驟也只在本地進行，多重驗證機制確保了黑客們無法從芯片中盜取指紋信息。換言之，如果把指紋與手機的關(guān)系比喻為普通門鎖，現(xiàn)如今手機廠商已經(jīng)將鎖芯打造成了銅墻鐵壁。

　　但若是“鑰匙”被復(fù)制了呢？

　　相信不少讀者都在近期看到了這樣一條新聞：一個名叫Ashlynd Howell的六歲小朋友趁著媽媽打盹的間隙，用媽媽的拇指解鎖iPhone，偷偷打開亞馬遜（同樣通過了指紋驗證）大肆消費了250美元。而這就是指紋的不安全所在。

　　雖然指紋具備唯一性，與特定用戶的身份一一對應(yīng)，通過指紋信息手機可以驗證解鎖的是否就是特定用戶，但在我們的工作生活中，留下指紋比喝下一口水更容易，只要與物品相接處，皮膚分泌的油脂就會在環(huán)境中留下指紋。這意味別有居心的人能夠輕松竊取你的指紋，并偽造出那把打開手機的“鑰匙”。

　　可別以為偽造指紋是什么技術(shù)活，實際上要偽造一份指紋的成本并不太高，一瓶氰基丙烯酸鹽粘合劑，碳粉、膠帶、明膠/硅膠，不到10塊錢就能快速模擬出一層足夠騙過大部分指紋識別器的指紋膜，而早在2013年的Syscan，黑客Marc Rogers就曾經(jīng)用這樣的方法成功攻破了iPhone 5s，一年后又同樣對待了iPhone6。

　　為此，2016下半年開始，不少手機廠商都開始表明自己的指紋識別帶有“活體檢測”功能，聲稱可以以此杜絕假指紋，但這也并非絕對可靠。這是當(dāng)前智能手機所采用的電容式指紋傳感器的原理所決定的：“當(dāng)用戶將手指放在正面時，皮膚就組成了電容陣列的一個極板，電容陣列的背面是絕緣極板。由于不同區(qū)域指紋的脊和谷之間的距離也不相等，使每個單元的電容量隨之而變，由此可獲得指紋圖像。”這意味著活體監(jiān)測的體征仍舊是電信號，只不過杜絕了此前硅膠類材料，但在市面上仍舊存有可以充當(dāng)“極板”的材料，它們依舊可以輕松騙過傳感器。

　　事實上指紋信息的泄露以及丟失遠比想象的要嚴(yán)重，在1892年高爾頓建立《指紋學(xué)》時就已經(jīng)確立指紋終生不變、可識別以及可分類三大特征，這意味著指紋不像密碼那樣，在泄漏后可以通過直接更換來補救，一旦指紋信息泄露就意味著與這根手指有關(guān)的所有加密信息全都處于不安全狀態(tài)，其安全性將終生不可恢復(fù)。

　　世界上本不存有絕對的安全，所謂的安全只是將可能面臨風(fēng)險的概率降低至可接受的范圍，因此相比傳統(tǒng)密碼加密，我認為指紋驗證的優(yōu)勢并不在于“安全”，它更突出的特點無疑是“便捷”，對于普通用戶而言，指紋的加入降低了用戶守護安全的使用成本，它所帶來的安全感，也已經(jīng)處于“可接受范圍”。

　　但是在這種安全感之外，我們?nèi)匀灰�知道，指紋識別的確沒有你想的那么安全，當(dāng)它成為解開財富的密鑰時，必定會引來貪婪的野獸。