大清朝宣統帝溥儀
為什麼大多數手機開機第一次解鎖不能用指紋先說結論:指紋是一種不夠安全的身份認證方式。
確切來說,所有基於生物特徵的身份認證,包括人臉識別、聲紋識別、靜脈識別等等,都是不夠安全的。
不安全到什麼程度呢?業內共識是:生物特徵不能作為唯一認證手段。
密碼有成為唯一認證手段的資格,U盾、ID卡這些也沒問題。換句話說,你的某個帳號可以只用密碼保護、也可以只用U盾;但如果設計成沒有密碼、只用指紋認證就能訪問,對不起,安全不合格。
單說這個問題的話:為什麼手機重啟後必須輸入一次密碼,不能直接用指紋解鎖?有人回答說因為指紋信息是用密碼保護的,得輸入密碼才能讀取指紋。但這隻回答了一半,之所以這麼做,仍然是因為指紋不夠安全。如果哪款手機重新開機後直接能用指紋解鎖,說明它的安全性是低於行業一般水平的。
為什麼它不安全?讓我們從頭開始詳細講講吧。
身份認證是自古就有的安全機制。口令、印信、花押,無論哪種首先都是為了解決「你是誰」的問題,這一步之後才是「允許你做什麼」。
認證因素五花八門,並且隨著科技進步一直在增加。但大體上分為三類:
你知道的:如密碼、安全問題的答案、PIN碼、解鎖圖案等,屬於用戶知識的一部分;
你擁有的:如ID卡、令牌、U盾、能接收驗證碼的手機等,屬於用戶攜帶的物品和所包含的信息;
你自身的:如指紋、虹膜、面部特徵、聲紋、DNA、字跡、打字習慣等,屬於用戶自身特徵和行為習慣的一部分。
以指紋為代表的用戶生物特性都屬於「你自身的」這類。而它們之所以被業界公認為不夠安全,有以下四個決定性的原因:
易複製和竊取
與人類的記憶不同,生物特性大部分是暴露在外的。用照片騙過人臉識別設備的新聞也不止一兩次了;在杯子、桌子、鍵盤上到處都印著你的指紋,提取複製一枚指模可能只需要幾十分鐘時間。更誇張的是,你甚至不用接觸到本人,只需足夠清晰的照片就能複製出指紋來。
哪怕是虹膜、靜脈、DNA這種肉眼不可見的信息,也能夠通過專用設備提取出來——如果不能提取還怎麼驗證呢?
無法修改
每次大規模密碼洩漏事件後各大網站紛紛提醒大家更換自己的常用密碼。但如果指紋信息洩漏呢?手指只有十根,這種事多來幾次就只能號召大家砍手了。面部信息呢?難道要整容麼?
生物信息不可變的屬性是它能成為身份認證因素的理由,但數字化時代的到來,反而成了最大的隱患。這也是蘋果等各大廠商對此十分謹慎的理由。
容錯範圍大
與精確的文字密碼或數字證書比起來,指紋、面部、聲音等信息必須從生物體上實時獲取,而這個過程不可能是完全準確的。必然會存在以下兩個幾率:
一是拒真率(FRR),即應該通過認證的被拒絕;
一是認假率(FAR),即不該通過認證的通過了。
識別模塊的技術參數往往都是FRR小於萬分之一、FAR小於百萬分之一左右。但這只是理論,實際應用中為了能識別出油汙的手指、低光照下化妝的臉、嘈雜充滿噪音的環境,必然會放寬識別範圍,這也導致了竊取複製的指模、照片就算不完全精確,也有一定機會弄假成真、騙過識別算法。
難以加密
重要信息應該加密存儲而不是明文,這是安全常識。
但加密也有可逆和不可逆之分。可逆加密顧名思義就是可以通過某種算法還原出明文,而不可逆加密則不能還原。比如常見的散列(哈希)算法,就是將任意長度的文本加密成固定長度的一串代碼,並且無法還原。(散列碰撞的可能性這裡暫時忽略,只提算法)
看不到明文,怎麼判斷密碼的正確性呢?答案很簡單,把用戶輸入的密碼再做一次哈希,跟之前存儲的一對比,如果一致的話就說明密碼正確。
但哈希是一種差之毫釐謬以千里的算法。以常用的SHA-1為例,「123456」的結果是「7c4a8d09ca3762af61e59520943dc26494f8941b」,而「123457」則是「908f704ccaadfd86a74407d234c7bde30f2744fe」,沒有一個字母是相同的。因此它只能應用於精確的密碼或數字證書等,對於需要模糊對比的指紋、聲紋、面部圖像等則完全不適用。就算存儲時用了加密算法,在對比階段必須還原成明文,從而有了洩漏的可能性。
明文+無法修改,這意味著指紋一旦洩漏就是不可挽回的災難。
綜合以上四點,所有的生物因素認證基本都是不夠安全也不該濫用的。
但這並不代表它不能用。
一般來說,在身份認證過程中為了提高安全性,所以我們在需要加強身份校驗時會使用雙因素認證。但雙因素絕大部分情況下指的是「你知道的+你擁有的」,而極少有「你自身的」。
比如ATM取款,需要你擁有的銀行卡+你知道的密碼。
再比如一些私人重要帳號登錄,需要你知道的密碼+你擁有的手機接收到的驗證碼。
只有在少數歷史遺留場合才仍然保留用戶自身信息的驗證,比如信用卡無密碼簽名,之所以我們能接受這種很不安全的方式,是因為風險轉嫁給了銀行,同時用嚴厲的法律來約束。
在已經有了足夠安全的基本認證方式之後,才能用生物信息作為輔助手段在不重要的場合臨時代替一下。
在操作系統重要功能時必須驗證密碼;
在設置或修改指紋信息時必須驗證密碼;
在涉及金融資產時,如果金額小於100~200元才允許使用指紋,超過則必須驗證密碼;特別大的金額還要使用短信驗證、U盾或者銀行櫃檯辦理;
等等等等。
智能手機在重開機時驗證密碼、每隔固定時間要輸入一次密碼、指紋多次識別失敗必須用密碼解鎖,都是出於同樣的考慮:安全。
在同等技術條件下,安全和快捷是難以兼得的。在面對不可逆的長期隱患時,適當犧牲快捷而提高安全性才是負責任的行為
M小迷糊H
廠家為了安全出廠默認設置的。
雖然第一個在手機產品上加入指紋識別功能的是日本電信公司NTTDoCoMo(富士通),其在2003年7月推出的F505i,之後還有摩托羅拉在2011年推出的智能手機ME860,但是對這些產品來說,指紋識別只作為解鎖用,僅僅只是代表一種概念,而非實用性。
如果說以前的指紋識別所承載的更多隻是噱頭,那麼在2013年9月蘋果發佈iPhone 5s以後,這一功能就和我們的生活緊密聯繫在了一起,人們突然發現,指紋識別其實不僅僅是一種解鎖的方式,所有需要用到認證和密碼的地方,指紋識別都有用武之地。所以大家也能看到,現在的指紋識別已經顛覆了人們的手機使用方式和習慣。直到今年,似乎不搭載指紋識別的手機都不好意思說自己是智能手機了。
但是大規模應用已經3年了,手機等移動產品上的指紋識別技術卻一直都還是電容式,雖然識別速度和精度都有了較大提高,但是電容式指紋識別的缺點卻一直都無法解決:對於油汙、水漬等異物毫無辦法,耐用性差。所以汗手的人使用指紋識別非常痛苦,並且使用久了之後指紋識別模塊精度會下降,這也是為什麼雖然蘋果等公司號稱指紋識別模塊會在用戶的使用過程中不斷完善指紋信息,以求更快的識別速度,但是使用久了之後,手機指紋識別反而會變遲緩的原因。
正因為傳統電容式指紋識別的種種不足,所以今年越來越多的新式生物識別技術被提了出來,光是指紋識別技術就有了超聲波指紋識別、光學指紋識別、活體指紋識別等一大堆,更別說還有虹膜識別和靜脈識別這些新思路了。那麼這麼多技術擺在我們面前,哪個會是我們最終的答案呢?
光學指紋識別代表了未來?
每到這種需要引領行業變革的時候,大家都會把目光齊刷刷地投向蘋果公司,確實,iPhone 8將配備光學指紋識別這個消息已經由來已久,但是據說蘋果將使用的是叫做“靜電透鏡電容式指紋傳感器”,有這種猜測也是因為前一段時間蘋果遞交了有關這個傳感器的專利文件。雖然這一技術確實也能夠做到將指紋識別模塊嵌入屏幕下方並且有著更高的識別精度,但是本質上仍然是電容式指紋識別。
而大家翹首期盼的光學指紋識別,現在看來最有可能拔得頭籌的是三星明年的旗艦Galaxy S8。同樣,S8上使用的光學指紋識別模塊可以做到嵌入屏幕下方,不過據說三星光學式指紋識別感測器良率現在並不高,距離S8發佈還有數月的時間,三星應該還有時間去攻克技術難題。
其實光學指紋識別不是很罕見的技術,其問世時間比電容式指紋識別、超聲波指紋識別還要早,常見的公司打卡機就基本上都是光學指紋識別。只不過光學式指紋識別感測器體積比較大,並且原理上來看是一種2D的圖像識別方式,所以其實在精度、適用範圍等方面並沒有特別大的優勢,這也是目前仍未能應用至智能手機等移動設備上的原因。
已經投入商用的新型指紋識別技術
當然,截至目前為止,已經有兩種指紋識別技術早已落地——超聲波指紋識別和活體指紋識別。超聲波指紋識別由高通提出,名為Sense ID,商用之前其實是為美國政府開發的,可見其性能的優越性。不過超聲波指紋識別的特性確實也沒有讓人失望,成像很好、分辨率高(電容式分辨率500DPI左右,超聲波技術可超過700DPI),耐用性比電容傳感技術好,更重要的是原生的3D掃描方案,可創建包含微小細節的指紋圖像及活體檢測,保證高識別度和安全性,現在那些依靠技術手段複製指紋的案例對於超聲波指紋識別來說將不復存在。
今年秋季發佈的小米5s就搭載了超聲波指紋識別技術,但是因為可穿透玻璃的厚度仍然比較小,所以完全集成到屏幕下方還比較困難。並且超聲波指紋識別的成熟度暫時比不上沿用已久的電容+RF射頻模式,不過隨著技術成熟度不斷提升,未來還是非常值得期待。
另一個已經商用的活體指紋識別技術由國內廠商匯頂科技提出,依靠這個方案匯頂在A股市場也是創造了連續20個漲停版的奇蹟,可見市場對這個技術的期待。生物指紋識別的原理就是通過電容+光學的雙重檢測,不但收集指紋信息,還可以通過光學部件結合皮膚顏色、心率信號進行綜合鑑定,可以起到識別出複製指紋的作用。並且因為有監測心率的功能,所以還提供了一定的健康保障,宣傳噱頭十足。現在搭載了這類指紋識別模塊的手機已經有天機 7 Max和魅族 Pro 6 Plus等機型。
生物識別可不僅僅有指紋
除了指紋識別,還有一些生物識別技術也很值得期待,比如虹膜識別。虹膜識別本來是三星十分看重的生物識別技術,在Note 7上其實就有搭載,但是因為最後Note 7不幸停產,所以虹膜識別的普及之路也受到了阻礙,之前就有消息稱明年S8和LG G6都會搭載虹膜識別功能。
這一技術的原理也比較簡單,用戶先將自己的虹膜錄入,虹膜外觀特徵會轉化為虹膜密碼儲存,當用戶試圖用虹膜解鎖手機時,紅外 LED 與虹膜攝像頭等檢測設備將會同時啟動,獲取用戶的虹膜信息,與已經存儲的密碼進行比對。根據三星Note 7上的演示,虹膜識別技術的解鎖速度並不亞於指紋識別。
虹膜識別的一大優勢也是唯一性,並且是絕對的不可複製,因為虹膜是不可脫離人體的,可複製性也基本為零。業界透露,虹膜識別誤識率可低至百萬分之一,與之相比,指紋識別誤識率為 0.8 %。
其實除了以上這些方案,還有很多小眾的生物識別技術,比如日立提出的靜脈識別技術等,這裡就不做探討了。
從今年生物識別技術迎來爆發可以看出,不管是從安全性還是使用效率上來看,個人移動設備的身份識別技術已經迎來了瓶頸,我們現在亟需要更加優秀的生物識別方式,並且手機等設備的工業設計也是越來越激進,生物識別技術不僅僅要滿足效率和安全性等問題,還需要面對集成進屏幕這樣的挑戰。
並且不難看出,各個識別技術其實都有各自的優越性,我們甚至很難下定論今後哪個技術會成為業界主流,但是這不失為一件好事,生物識別技術百花齊放的時代已經來臨!
科技燕
簡單說一下,這種方法是從安全係數上決定的。密碼的可更改性是確保一旦密碼洩露,可以馬上更改,不受次數限制,安全係數高。生物識別如指紋識別、臉部識別等受次數限制,一旦洩露或者被複制,無法多次更改,不安全係數高。所以手機開機後只能輸入密碼開機,不能使用生物識別。
汾湖三尺浪
開機後第一次解鎖需要密碼是為了安全,也同時讓你牢記密碼。像vivo重啟後或者關機再開機可以直接用指紋解鎖雖然方便,但一定程度上降低了安全性
