指纹识别安全性如何超越传统密码？

随着5S的推出，出现了一些捧指纹识别的文章。这些文字初看有道理，但细想完全不是这么回事。 指纹识别本身并不是新技术，应用在手机上也不是头一回。尽管5S采用了最新的技术来实现，但整个认证的基本原理是一致的，即扫描指纹、对比验证、返回结果。这个流程，除了验证数据的获取阶段外，和传统密码别无二致。

既然指纹识别早不是新技术，为什么这么多年来都没有取代密码，而5S一出便有人高呼“密码将被终结”呢?这些人真的是抱的实事求是的心态说的这些话么?想想那些被频繁调戏的指纹打卡机，心里就大致有数了。

那么我们先简单从输入速度、输入过程安全性、通用性、以及盗取难度等四个方面，看看指纹和密码的优势对比。

输入速度

以目前的技术来说，即使是5S的技术，指纹识别速度依然算不上秒刷。其识别有一个过程，而且不排除误差的可能。在当前条件下，指纹识别的输入速度对比传统密码并不占优势。如果密码位数不是特别长的话，不会有太大区别。

当然，相信随着科技发展，这点来说指纹的优势会慢慢追上来。

输入过程安全性

任何录入过程都有一个录入“介面”，以及之后的处理过程。要确保录入安全性，从介面开始就需要保证安全性。从这点来说，指纹和密码完全一样，适用于密码的破解方案也同样适用于指纹。

有人说苹果一定会对指纹识别部分做如何如何的保护。其实这些保护也同样适用于密码。比如将输入介面运行于一个高级别权限的沙盒中，将已存储密码和或指纹加密并同样以高权限限制的方式存放等等。

但该破的一样可以破，破不掉的一样破不掉，没有区别，只是消耗相应的时间而已。

通用性

指纹属于生物误别，以生物特征进行判定。密码可以根据你的喜好在不同的地方使用不同的密码，这将取决于个人的安全认识水平。有人说密码会容易被猜到，这也与个人有关。比如我的某个密码是借用了以前扔掉的某台电脑的电源序列号的排列组合，把我祖坟挖了也猜不出来啊。。

而选择了指纹识别就没有这么大的可选范围了，你一共只有10个手指，还得考虑到手指受伤的情况。如果大量应用指纹识别，一旦被破解，这些数据都将暴露。

当然，你还可以像网上那些恶搞者一样，选择脚纹、你家的猫、或者你的RT之类的。不过相应的问题也会接踵而来，比如在公共场合解锁，或者猫走丢了之类的。。

隐私及敏感性

密码毫无疑问也是属于隐私和敏感的东西，但至少你有选择权。你可以选择你破Chu的日子作为密码，也可以像我一样随便打开机箱找个配件的序列号抄上。也因此，现在流行的密码验证往往被放到网上，也就是在线验证。这是优点也是缺点。

但毫无疑问的，在目前来说指纹不能这么做，因为指纹太私人太敏感。所以苹果在发布会上明确申明不会上传到iCloud。存在本地的指纹验证数据不能说比放在服务器上就更安全或危险，但一旦丢失，引起的问题将不仅仅是你的应用验证信息丢失这么简单。

盗取难度

盗取难度上，密码应该比指纹更具优势。因为指纹作为生物验证信息，例如人脸识别、虹膜识别等，是属于“摆在明面上”的验证信息。也就是说，答案就在那里，只是看你怎么去取得。

而密码则记忆在大脑中，获取密码的难度同样受到使用者水准的影响，但对盗取者来说，除了电影大片什么分析击键频率再猜出密码(还居然在几十秒内就一次成功猜中。。)外，往往是需要直接“看到”录入过程才可以获知密码，因此对于盗取者来说，不确定因素更多。

注意这里说的看到，一般是指真的看到。如果有人说盗号木马什么的，这已经属于侵入录入介面了，参见上面的“输入过程安全性”，这种攻击方式同样适用于指纹。

在刚刚提到的三种生物识别中，人脸识别盗取难度最低，即使未进化到立体扫描，知道你长啥样配合3D打印，复制一张你的脸绝非难事。虹膜获取难度最高，当然随着Google Glass之类的设备推出，不排除未来也成为可轻易获得数据之一。指纹来说，获取难度位于中列，但毕竟指纹是暴露在外的，只要有接触，就有获取可能，甚至设备本身就是个很好的指纹收集装备。

说了这么多，只是想说明指纹识别这项“老技术”在安全性上并不具备完全取代密码的优势。在移动设备上集成高精度的指纹识别功能，并不能说没有意义，抛开带来的隐私问题外，优势主要体现在下面这些。

免记忆性

密码的使用成本随安全性增加而增加。如果在不同的地方使用了不同的密码，记忆成本较高。

编码与输入过程均不受用户认识水平影响

密码的安全性与使用者有非常直接的联系。这包括了密码的编码方式，以及输入时的安全防范意识。而对于指纹用户来说，就完全不需要考虑这些，死活一摁了事。

总的来说，指纹识别的应用，更多的是带来便捷性而不是安全性。无论什么技术，苹果一用必然会火，这已经成了当前市场的定律。所以预期在之后的一段时间内，移动设备集成指纹识别可能会成为一股风潮。但这个系统倒底对安全性带来多大帮助，对指纹这种个人敏感数据又会产生多大的威胁，还要看各个厂商在实践中的努力。