2024年11月29日 星期五

科技 > IT業界 > 正文

字號:  

指紋識別使用起來很方便 但安全性就不好説了

  • 發佈時間:2016-05-17 09:50:21  來源:東方網  作者:佚名  責任編輯:張潔欣

  在安全和易用性上,智慧手機製造商必須保持微妙的平衡。例如,最新的手機許多都安裝了生物指紋閱讀器,但是它是否安全卻一直存在爭議:到底指紋識別讓手機更安全了,還是更不安全了,這是一個複雜的問題。

  為手機添加指紋閱讀器,你就沒有必要每天輸入50次密碼了,數字支付也變得更加簡單。為了讓用戶養成移動支付的習慣,三星、蘋果等設備製造商知道首先要做的就是讓處理方式變得簡單起來,就跟刷信用卡一樣簡單。如果用戶每次都需要輸入密碼,使用Visa卡肯定不方便。

  用戶不必輸入密碼,甚至不必喚醒手機,就可以完成移動支付。在iPhone上,用戶只需要將拇指放在指紋閱讀器上,將手機靠近店舖支付掃描器就能完成支付。在Galaxy S7上,用戶手指滑過Home按鈕,然後執行指紋操作,將手機靠近支付掃描器就行了。沒有必要輸入密碼。

  問題在於指紋認證技術可能沒有密碼安全!例如,執法者可以輕易克服指紋識別技術,雖然他們的做法是合法的。警方可以強迫嫌疑犯用指紋解鎖iPhone,方便搜尋證據,但是它們無法強迫他人交出密碼。

  密碼和TouchID怎麼工作的?

  智慧手機商為智慧手機引入了新的進入模式,但同時也為駭客留下另一個攻擊點。如果駭客拿到了指紋的數字、數學複製樣本,就可以進行各類破壞活動。安全專家皮特 付(Peter Fu)稱:“駭客可以解鎖服務,比如個人郵箱、網路密碼等。”

  2013年蘋果推出iPhone 5s,首次使用了TouchID指紋識別技術。當時蘋果宣稱TouchID可以大大提高安全性,因為用戶再也不必為手機設定安全密碼了。但是對於當前以及未來的大多用戶來説,用指紋進入手機更像是一種妥協,為了方便犧牲了安全。

  iPhone的密碼是怎樣工作的呢?當iPhone進入省電模式或者開始休眠時,它自動生成加密密鑰,只有解密密鑰才能重新打開,解密密鑰就是用戶的密碼。在iOS 8之前,解密密鑰存儲在用戶的設備和蘋果手中。從iOS 8之後,解密密鑰只存儲在用戶的設備中。

  最新的iPhone將用戶密碼存儲在安全“飛地”中,也就是在手機的處理器上開闢一塊空間專門存儲密碼。當輸入的密碼正確時,手機會在處理器和OS之間建立一條連接通道。換句話説,手機就會解鎖,所有內容出現在眼前。

  安全“飛地”還存儲了用戶獨特指紋資訊的數字運算式,它是一串數字,有點像密碼。當感測器上的用戶指紋和數字相符,就會在晶片和OS之間建立聯繫。如果要獲得密碼,唯一的辦法就是進行蠻力破解,也就是嘗試每一種可能的組合。如果嘗試10次都失敗了,要麼手機會被鎖定,要麼內容會自動擦除。

  攝像頭也是安全隱患

  研究人員可以竊取一個人的指紋,用橡膠製作複製品欺騙手機,這點已經演示過。需要指出的是這種方法的可靠性存在疑問。操作很困難,很費時間,除非進入目標手機獲得的回報足夠大,否則竊賊不會去嘗試。

  到底是密碼系統容易被攻破,還是指紋識別系統?目前還存在爭議。由於手機提供了2種選擇,結果使得駭客的攻擊面擴大了1倍,這點倒是沒有爭議的。

  在當今的市場上,安裝指紋掃描器的不只是蘋果、三星手機。谷歌Nexus手機也安裝了,還有華為、HTC、一加及其他手機。事實上,為了追求方便,我們不單單在指紋安全上作了妥協,還有其他地方。

  例如,iPhone允許用戶直接使用手機攝像頭,不需要密碼或者指紋。用戶只需要點擊鎖定螢幕右下方的攝像頭圖標就可以了。三星高端手機也有相似的功能。在鎖定狀態時,用戶還可以雙擊Home按鈕啟動拍照功能。抓拍時這個功能的確很方便,但是它也為攻擊提供了機會:駭客可以直接入侵攝像頭,甚至還可能控制攝像頭。

  還有很多不安全的地方:iPhone自動與熟悉的Wi-Fi網路同步,不需要批准,自動下載更新APP。駭客可以利用APP層面的安全漏洞和硬體層面的安全漏洞炮製新的攻擊手法入侵手機。

  “例如,大多的智慧手機攝像頭都允許不輸入用戶密碼使用少數功能,包括拍照和錄製視頻。”安全專家皮特 付(Peter Fu)解釋説,“不只如此,許多社交媒體應用要求用戶授權攝像頭使用許可權,只有這樣才能連接到APP。駭客可以尋找辦法入侵目標手機的APP,他可以利用APP獲得攝像頭的許可權,進而控制設備的攝像頭功能。”

  問題並不嚴重

  為了追求易用性犧牲安全性的確帶來一些問題,但我們不要誇大其事。蘋果可以造一台手機,使用50個字符作為密碼,將它作為唯一的身份驗證模式,這樣的確非常安全,但是沒有人會購買。

  安全專家皮特 付(Peter Fu)指出,在追求方便時做出妥協留下了一些安全漏洞,但是這些漏洞大多是理論上可能存在的,目前還存在疑問。例如,安全專家花了許多時間和精力試圖證明指紋閱讀器並不安全,但是破解並沒有大規模出現。在街上偷手機的小偷也不可能大費周章去破解。

  幾乎任何安全措施都可以被攻破。圍繞加密後門的問題,蘋果與FBI大戰一場,政府部門要求蘋果破解San Bernardino槍擊案兇手塞義德 法魯克(Syed Farook)的iPhone 5c。為什麼?部分是因為法魯克的手機很難破解,他使用了主流的身份驗證功能——4位數字密碼。蘋果沒有配合,但最終FBI還是找到辦法進入手機。

  在長達幾個月的爭論中,蘋果試圖證明安全和隱私是一個大問題。從蘋果的聲明中我們可以發現,即使是小小的安全漏洞也可能會威脅無數臺iPhone。在産品的安全需求和易用性上需要做出平衡,蘋果的選擇值得注意。

  • 股票名稱 最新價 漲跌幅