指紋識(shí)別使用起來(lái)很方便 但安全性就不好說(shuō)了

　　在安全和易用性上，智能手機(jī)制造商必須保持微妙的平衡。例如，最新的手機(jī)許多都安裝了生物指紋閱讀器，但是它是否安全卻一直存在爭(zhēng)議：到底指紋識(shí)別讓手機(jī)更安全了，還是更不安全了，這是一個(gè)復(fù)雜的問題。

　　為手機(jī)添加指紋閱讀器，你就沒有必要每天輸入50次密碼了，數(shù)字支付也變得更加簡(jiǎn)單。為了讓用戶養(yǎng)成移動(dòng)支付的習(xí)慣，三星、蘋果等設(shè)備制造商知道首先要做的就是讓處理方式變得簡(jiǎn)單起來(lái)，就跟刷信用卡一樣簡(jiǎn)單。如果用戶每次都需要輸入密碼，使用Visa卡肯定不方便。

　　用戶不必輸入密碼，甚至不必喚醒手機(jī)，就可以完成移動(dòng)支付。在iPhone上，用戶只需要將拇指放在指紋閱讀器上，將手機(jī)靠近店鋪支付掃描儀就能完成支付。在Galaxy S7上，用戶手指滑過(guò)Home按鈕，然后執(zhí)行指紋操作，將手機(jī)靠近支付掃描儀就行了。沒有必要輸入密碼。

　　問題在于指紋認(rèn)證技術(shù)可能沒有密碼安全!例如，執(zhí)法者可以輕易克服指紋識(shí)別技術(shù)，雖然他們的做法是合法的。警方可以強(qiáng)迫嫌疑犯用指紋解鎖iPhone，方便查找證據(jù)，但是它們無(wú)法強(qiáng)迫他人交出密碼。

　　密碼和TouchID怎么工作的?

　　智能手機(jī)商為智能手機(jī)引入了新的進(jìn)入模式，但同時(shí)也為黑客留下另一個(gè)攻擊點(diǎn)。如果黑客拿到了指紋的數(shù)字、數(shù)學(xué)復(fù)制樣本，就可以進(jìn)行各類破壞活動(dòng)。安全專家皮特 付(Peter Fu)稱：“黑客可以解鎖服務(wù)，比如個(gè)人郵箱、網(wǎng)絡(luò)密碼等。”

　　2013年蘋果推出iPhone 5s，首次使用了TouchID指紋識(shí)別技術(shù)。當(dāng)時(shí)蘋果宣稱TouchID可以大大提高安全性，因?yàn)橛脩粼僖膊槐貫槭謾C(jī)設(shè)定安全密碼了。但是對(duì)于當(dāng)前以及未來(lái)的大多用戶來(lái)說(shuō)，用指紋進(jìn)入手機(jī)更像是一種妥協(xié)，為了方便犧牲了安全。

　　iPhone的密碼是怎樣工作的呢?當(dāng)iPhone進(jìn)入省電模式或者開始休眠時(shí)，它自動(dòng)生成加密密鑰，只有解密密鑰才能重新打開，解密密鑰就是用戶的密碼。在iOS 8之前，解密密鑰存儲(chǔ)在用戶的設(shè)備和蘋果手中。從iOS 8之后，解密密鑰只存儲(chǔ)在用戶的設(shè)備中。

　　最新的iPhone將用戶密碼存儲(chǔ)在安全“飛地”中，也就是在手機(jī)的處理器上開辟一塊空間專門存儲(chǔ)密碼。當(dāng)輸入的密碼正確時(shí)，手機(jī)會(huì)在處理器和OS之間建立一條連接通道。換句話說(shuō)，手機(jī)就會(huì)解鎖，所有內(nèi)容出現(xiàn)在眼前。

　　安全“飛地”還存儲(chǔ)了用戶獨(dú)特指紋信息的數(shù)字表達(dá)式，它是一串?dāng)?shù)字，有點(diǎn)像密碼。當(dāng)傳感器上的用戶指紋和數(shù)字相符，就會(huì)在芯片和OS之間建立聯(lián)系。如果要獲得密碼，唯一的辦法就是進(jìn)行蠻力破解，也就是嘗試每一種可能的組合。如果嘗試10次都失敗了，要么手機(jī)會(huì)被鎖定，要么內(nèi)容會(huì)自動(dòng)擦除。

　　攝像頭也是安全隱患

　　研究人員可以竊取一個(gè)人的指紋，用橡膠制作復(fù)制品欺騙手機(jī)，這點(diǎn)已經(jīng)演示過(guò)。需要指出的是這種方法的可靠性存在疑問。操作很困難，很費(fèi)時(shí)間，除非進(jìn)入目標(biāo)手機(jī)獲得的回報(bào)足夠大，否則竊賊不會(huì)去嘗試。

　　到底是密碼系統(tǒng)容易被攻破，還是指紋識(shí)別系統(tǒng)?目前還存在爭(zhēng)議。由于手機(jī)提供了2種選擇，結(jié)果使得黑客的攻擊面擴(kuò)大了1倍，這點(diǎn)倒是沒有爭(zhēng)議的。

　　在當(dāng)今的市場(chǎng)上，安裝指紋掃描儀的不只是蘋果、三星手機(jī)。谷歌Nexus手機(jī)也安裝了，還有華為、HTC、一加及其它手機(jī)。事實(shí)上，為了追求方便，我們不單單在指紋安全上作了妥協(xié)，還有其它地方。

　　例如，iPhone允許用戶直接使用手機(jī)攝像頭，不需要密碼或者指紋。用戶只需要點(diǎn)擊鎖定屏幕右下方的攝像頭圖標(biāo)就可以了。三星高端手機(jī)也有相似的功能。在鎖定狀態(tài)時(shí)，用戶還可以雙擊Home按鈕啟動(dòng)拍照功能。抓拍時(shí)這個(gè)功能的確很方便，但是它也為攻擊提供了機(jī)會(huì)：黑客可以直接入侵?jǐn)z像頭，甚至還可能控制攝像頭。

　　還有很多不安全的地方：iPhone自動(dòng)與熟悉的Wi-Fi網(wǎng)絡(luò)同步，不需要批準(zhǔn)，自動(dòng)下載更新APP。黑客可以利用APP層面的安全漏洞和硬件層面的安全漏洞炮制新的攻擊手法入侵手機(jī)。

　　“例如，大多的智能手機(jī)攝像頭都允許不輸入用戶密碼使用少數(shù)功能，包括拍照和錄制視頻。”安全專家皮特 付(Peter Fu)解釋說(shuō)，“不只如此，許多社交媒體應(yīng)用要求用戶授權(quán)攝像頭使用權(quán)限，只有這樣才能連接到APP。黑客可以尋找辦法入侵目標(biāo)手機(jī)的APP，他可以利用APP獲得攝像頭的權(quán)限，進(jìn)而控制設(shè)備的攝像頭功能。”

　　問題并不嚴(yán)重

　　為了追求易用性犧牲安全性的確帶來(lái)一些問題，但我們不要夸大其事。蘋果可以造一臺(tái)手機(jī)，使用50個(gè)字符作為密碼，將它作為唯一的身份驗(yàn)證模式，這樣的確非常安全，但是沒有人會(huì)購(gòu)買。

　　安全專家皮特 付(Peter Fu)指出，在追求方便時(shí)做出妥協(xié)留下了一些安全漏洞，但是這些漏洞大多是理論上可能存在的，目前還存在疑問。例如，安全專家花了許多時(shí)間和精力試圖證明指紋閱讀器并不安全，但是破解并沒有大規(guī)模出現(xiàn)。在街上偷手機(jī)的小偷也不可能大費(fèi)周章去破解。

　　幾乎任何安全措施都可以被攻破。圍繞加密后門的問題，蘋果與FBI大戰(zhàn)一場(chǎng)，政府部門要求蘋果破解San Bernardino槍擊案兇手塞義德 法魯克(Syed Farook)的iPhone 5c。為什么?部分是因?yàn)榉�魯克的手機(jī)很難破解，他使用了主流的身份驗(yàn)證功能——4位數(shù)字密碼。蘋果沒有配合，但最終FBI還是找到辦法進(jìn)入手機(jī)。

　　在長(zhǎng)達(dá)幾個(gè)月的爭(zhēng)論中，蘋果試圖證明安全和隱私是一個(gè)大問題。從蘋果的聲明中我們可以發(fā)現(xiàn)，即使是小小的安全漏洞也可能會(huì)威脅無(wú)數(shù)臺(tái)iPhone。在產(chǎn)品的安全需求和易用性上需要做出平衡，蘋果的選擇值得注意。