到現在,你還認為 Android 上的指紋識別無意義?

雷鋒網 於 27/04/2015 發表 收藏文章
如果要羅列今年可能會被重度加碼的一項手機新配置的話,那麼指紋識別一定排在最前列的方隊。細數起來,目前包括摩托羅拉蘋果HTC三星,以及國產中的華為、vivo、魅族、OPPO等都推出了指紋識別技術的手機,而除了一些後來廠商將繼續加碼這一技術之外,指紋識別也有着向中低端機型蔓延的趨勢。

值得注意的是,就在昨天,小米被曝在國家知識產權局網站上公佈了指紋識別設計方案,而且還申請了專利。


但早在iPhone 5s的Touch ID引發了Android廠商的跟風后,就有人提出了這樣的問題——Android上的指紋識別有沒有意義?這聽上去是一個容易拉仇恨的問題,難道Android用户就不是人了嗎?甚至包括廠商都不得不為之付出更多的口水來説明和解釋,但歸結起來,還是Android系統一貫以來較低的安全性所導致的,再經由指紋識別這麼一個敏感的事物給放大,就變成了一個嚴峻的大問題。

不給力的是,最具代表性的Android廠商三星在最近就恰好提供了一個反面教材,美國安全企業FireEye宣佈三星旗下上一代旗艦S5上的指紋識別模塊存在漏洞,甚至已經有人可以通過破解使用PayPal實現轉賬付款。而企業同時還指出,基於Android 4.4的三星S5並不是個案——於是,又有人開始討論起了Android手機的指紋識別無用論。可事實真的如此嗎?

指紋識別安全很重要,但應該從多維度考慮它

雖然手機以不同系統和不同配置的區分,已經被打散成了一個龐大的樹狀圖,但在指紋識別的實現上,基本方式都是硬件基於ARM TrustZone技術,再加上軟件加密的方案。前者簡單來説就是ARM為了保護指紋、密碼信息所構建的一個安全體系,是一個獨立於SoC和所有軟件的隔離區的自主體系。包括iPhone上的Secure Enclave模塊和華為Mate 7的指紋模塊都是基於這一技術。


至於軟件方面,廠商會採用不同的算法對指紋信息進行加密,例如魅族MX4 Pro採用的是AES 128多重加密算法,不過值得一提的是,使用三星處理器的MX4 Pro顯然不如華為和蘋果使用自家或定製處理器的模式安全,前者已經被曝出只要通過刷機雙清的方法就可以徹底刪除指紋識別——而這一點也是決定指紋識別安全性高低的參考值之一,畢竟只有達到硬件級別的指紋識別激活、處理和保密,才能算是相對安全的,除此之外,指紋照片也必須確保存儲安全,比如雲端存儲就可能產生被盜用的風險。

而Android設備的Root(以及iOS設備的越獄),都有可能徒增這種風險——但即便如此,也不能説明指紋識別就是沒有意義的,畢竟除了你的智能手機之外,世界上很多機密要地,也仍然採用的是指紋識別的方案,只不過它們通常由許多種安全措施配合在一起,使得總體的安全度提升到了很高而已——直白點説,世界上就沒有什麼完美的安全措施,而指紋識別在當下也擁有着絕對的無可替代性。

更別説,運用人體的一些生物體徵進行加密的方式本身就是未來保護個人信息安全的一個主流趨勢,指紋識別在一定程度上是踐行這種趨勢的先行者,從這個角度上看,它不應該被過於排斥。

想要推動行業發展,就離不開Android這塊大蛋糕

雖然早在智能手機初期,摩托羅拉就推出了具備指紋識別模塊的Atrix 4G,但其真正被帶火也不過就是前年iPhone 5s發佈之後,但由於蘋果使用的是它收購來的行業頂級企業AuthenTec家的技術,因此曾搞得一時間Android廠商都找不到能夠媲美前者按壓式的指紋解鎖方案商,只好大量使用滑擦式的指紋識別模塊,並且由於後者技術方面的問題導致模塊的體積通常都很大,無法安放在正面,於是前年包括去年上半年的多數指紋識別手機,都尷尬的採用了背部劃擦式的指紋識別方案。

但不論怎麼説,行業是被激活了,指紋識別模塊廠商參與不了蘋果的市場也沒關係,佔據了80%多的Android用户在翹首以盼呢,於是包括收購了Validity的美國Synaptics、瑞典FPC、挪威的IDEX、韓國的CrucialTec、國內的匯頂、思立微等等,都紛紛秣兵厲馬,多家目前已經開發出了正面的電容按壓式指紋識別,並被應用於諸如三星S6、魅族MX4 Pro等機型上。

而在今年,指紋識別技術還將迎來新一輪爆發——從某種程度上它和許多之前的技術一樣,都是被iPhone帶火,然後藉由Android發揚給全世界的。

但要清楚,指紋識別只防君子而不防小人

説白了,無論是一把五金鎖,還是家用防盜門,抑或是金庫安全體系甚至是盜墓小説裏的各種機關,都是防君子而防不了小人的,指紋識別等各種科技安全手段從本質上來説,也亦如是。

而且對於大部分人來説,他們需要指紋識別,不僅僅是為了移動支付而已,排在更前面的需求一般是指紋識別帶來的解鎖和驗證體驗,其次是它給用户保護個人信息安全的一種信心,最後可能才是移動支付。

而Android手機是否可以做到足夠安全?當然是可以的,指紋識別只是其中一道程序,介於手機不加密這種方便但不安全,以及加密了安全但不方便的中間值。而它對於安全的意義,並不在於它是全能且一定安全的,而在於它拉高了竊密和破解的成本,讓用户不變的信息價值由於破解成本提升了而變得不再“實惠”——這才是指紋識別在“安全”上的普適意義。

當然,隨着移動支付的發展,對於指紋識別以及其他人體生物識別,行業應該有所聯合,政府也應該出台相關措施,以法律規範的形式來保護指紋識別技術的發展,畢竟這正好也是個促進公民信息安全和普及相關知識的好契機,而這樣的保護,也才是真正有意義的。


資料來源:雷鋒網
作者/編輯:金楠
標籤: Android  指紋識別  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→