指纹识别使用起来很方便 但安全性就不好说了

　　在安全和易用性上，智能手机制造商必须保持微妙的平衡。例如，最新的手机许多都安装了生物指纹阅读器，但是它是否安全却一直存在争议：到底指纹识别让手机更安全了，还是更不安全了，这是一个复杂的问题。

　　为手机添加指纹阅读器，你就没有必要每天输入50次密码了，数字支付也变得更加简单。为了让用户养成移动支付的习惯，三星、苹果等设备制造商知道首先要做的就是让处理方式变得简单起来，就跟刷信用卡一样简单。如果用户每次都需要输入密码，使用Visa卡肯定不方便。

　　用户不必输入密码，甚至不必唤醒手机，就可以完成移动支付。在iPhone上，用户只需要将拇指放在指纹阅读器上，将手机靠近店铺支付扫描仪就能完成支付。在Galaxy S7上，用户手指滑过Home按钮，然后执行指纹操作，将手机靠近支付扫描仪就行了。没有必要输入密码。

　　问题在于指纹认证技术可能没有密码安全!例如，执法者可以轻易克服指纹识别技术，虽然他们的做法是合法的。警方可以强迫嫌疑犯用指纹解锁iPhone，方便查找证据，但是它们无法强迫他人交出密码。

　　密码和TouchID怎么工作的?

　　智能手机商为智能手机引入了新的进入模式，但同时也为黑客留下另一个攻击点。如果黑客拿到了指纹的数字、数学复制样本，就可以进行各类破坏活动。安全专家皮特 付(Peter Fu)称：“黑客可以解锁服务，比如个人邮箱、网络密码等。”

　　2013年苹果推出iPhone 5s，首次使用了TouchID指纹识别技术。当时苹果宣称TouchID可以大大提高安全性，因为用户再也不必为手机设定安全密码了。但是对于当前以及未来的大多用户来说，用指纹进入手机更像是一种妥协，为了方便牺牲了安全。

　　iPhone的密码是怎样工作的呢?当iPhone进入省电模式或者开始休眠时，它自动生成加密密钥，只有解密密钥才能重新打开，解密密钥就是用户的密码。在iOS 8之前，解密密钥存储在用户的设备和苹果手中。从iOS 8之后，解密密钥只存储在用户的设备中。

　　最新的iPhone将用户密码存储在安全“飞地”中，也就是在手机的处理器上开辟一块空间专门存储密码。当输入的密码正确时，手机会在处理器和OS之间建立一条连接通道。换句话说，手机就会解锁，所有内容出现在眼前。

　　安全“飞地”还存储了用户独特指纹信息的数字表达式，它是一串数字，有点像密码。当传感器上的用户指纹和数字相符，就会在芯片和OS之间建立联系。如果要获得密码，唯一的办法就是进行蛮力破解，也就是尝试每一种可能的组合。如果尝试10次都失败了，要么手机会被锁定，要么内容会自动擦除。

　　摄像头也是安全隐患

　　研究人员可以窃取一个人的指纹，用橡胶制作复制品欺骗手机，这点已经演示过。需要指出的是这种方法的可靠性存在疑问。操作很困难，很费时间，除非进入目标手机获得的回报足够大，否则窃贼不会去尝试。

　　到底是密码系统容易被攻破，还是指纹识别系统?目前还存在争议。由于手机提供了2种选择，结果使得黑客的攻击面扩大了1倍，这点倒是没有争议的。

　　在当今的市场上，安装指纹扫描仪的不只是苹果、三星手机。谷歌Nexus手机也安装了，还有华为、HTC、一加及其它手机。事实上，为了追求方便，我们不单单在指纹安全上作了妥协，还有其它地方。

　　例如，iPhone允许用户直接使用手机摄像头，不需要密码或者指纹。用户只需要点击锁定屏幕右下方的摄像头图标就可以了。三星高端手机也有相似的功能。在锁定状态时，用户还可以双击Home按钮启动拍照功能。抓拍时这个功能的确很方便，但是它也为攻击提供了机会：黑客可以直接入侵摄像头，甚至还可能控制摄像头。

　　还有很多不安全的地方：iPhone自动与熟悉的Wi-Fi网络同步，不需要批准，自动下载更新APP。黑客可以利用APP层面的安全漏洞和硬件层面的安全漏洞炮制新的攻击手法入侵手机。

　　“例如，大多的智能手机摄像头都允许不输入用户密码使用少数功能，包括拍照和录制视频。”安全专家皮特 付(Peter Fu)解释说，“不只如此，许多社交媒体应用要求用户授权摄像头使用权限，只有这样才能连接到APP。黑客可以寻找办法入侵目标手机的APP，他可以利用APP获得摄像头的权限，进而控制设备的摄像头功能。”

　　问题并不严重

　　为了追求易用性牺牲安全性的确带来一些问题，但我们不要夸大其事。苹果可以造一台手机，使用50个字符作为密码，将它作为唯一的身份验证模式，这样的确非常安全，但是没有人会购买。

　　安全专家皮特 付(Peter Fu)指出，在追求方便时做出妥协留下了一些安全漏洞，但是这些漏洞大多是理论上可能存在的，目前还存在疑问。例如，安全专家花了许多时间和精力试图证明指纹阅读器并不安全，但是破解并没有大规模出现。在街上偷手机的小偷也不可能大费周章去破解。

　　几乎任何安全措施都可以被攻破。围绕加密后门的问题，苹果与FBI大战一场，政府部门要求苹果破解San Bernardino枪击案凶手塞义德 法鲁克(Syed Farook)的iPhone 5c。为什么?部分是因为法鲁克的手机很难破解，他使用了主流的身份验证功能——4位数字密码。苹果没有配合，但最终FBI还是找到办法进入手机。

　　在长达几个月的争论中，苹果试图证明安全和隐私是一个大问题。从苹果的声明中我们可以发现，即使是小小的安全漏洞也可能会威胁无数台iPhone。在产品的安全需求和易用性上需要做出平衡，苹果的选择值得注意。