指纹识别:颠覆“密码和钥匙”的世界
发布时间:2015-07-28 13:57:35
值得注意的是,苹果并不在FIDO联盟之中。
这有点类似安卓和ios的关系,FIDO联盟为开源的联盟,只要遵守FIDO联盟的标准,不管是手机制造商、芯片商还是技术服务商、互联网公司都可以接入。但苹果目前的指纹识别没有开放给第三方使用,所以只能实现自身的这两项功能。
相对于开源系统来说,苹果ios无论在整体系统安全性上还是指纹认证方面,都相对更安全一些,当然,前提是你不要越狱。
不过,在今年的苹果开发者大会上,苹果已经开放了许多第三方接口给开发者,这也被认为是受安卓等开源系统的压力所致。所以在不久的将来,苹果也许也会将指纹识别的接口开放给第三方的开发者们,这是值得期待的改变。
另外,在苹果九月举办的新品发布会上,苹果或将指纹识别拓展到新的iPad mini上,这将进一步促进指纹认证技术的普及。
指纹认证到底安全吗?
指纹识别如此广泛,那么这种方式到底安全吗?
对于这个问题,我们要分指纹采集和指纹认证两个部分来回答。
在指纹采集阶段,指纹打卡机等使用的指纹识别技术安全性较低,用户可以通过简单复制指模的方式来作弊。但新一代的指纹支付技术(如三星S5手机和新款指纹锁的指纹技术)具有生物电识别功能,能识别到真皮层,因此复制的指模,或者是断指是无法通过识别的。
在指纹认证阶段,联想崔忠勇对网易科技介绍,在这项技术中,联想把传感器识别的指纹转化成一串密钥,在手机本地做指纹比对,只将比对结果进行传输“YES OR NO”。在这个过程中,所有的指纹数据将被储存在本地设备中,不会上传至云端,即使服务器遭受攻击,也不会导致安全事故。(注意,这个并不代表所有的指纹识别都不会上传你的指纹信息。苹果虽然之前也对比表示否认,但国外安全专家也此前表示,建立大规模的云端指纹库是非常危险的。)
那指纹数据会在本地被盗取吗?联想解释称,在支付宝的指纹支付项目中,用户的指纹数据录入到手机中后,存储在一个与主操作系统隔离的TEE环境中,我们可以把这个TEE环境理解成是一个黑盒子,这些数据无法被外界读走,主操作系统出现被种木马等情形,指纹数据还是安全的。
总体来看,指纹支付的安全性还是要比数字密码高得多。
目前可能还存在很小一部分用户指纹无法识别的情形,比如天生无指纹的人,或是手指头严重受伤,手指头长期浸泡在水中或是化学物品中,也有可能影响指纹识别率。对于这种情况,用户可以从指纹密码切换回数字密码就行。