指纹识别也不靠谱 三星S5上市4天遭破解

在三星Galaxy S5正式上市仅四天后，已有安全研究人员表示，他们已找到方法，可顺利破解该智能手机的指纹认证系统。来自Security Research Labs的专家们周二在YouTube上放出一段视频，展示了其如何利用去年晚些时候在苹果iPhone 5s上使用过的方法，成功绕过三星S5的指纹认证系统。

该安全机构通过可拍照手机和橡胶膜制作了一个“假指纹”，这成功骗过了Galaxy S5指纹传感器，并获得该手机的主页面访问权及PayPal应用访问权。其中，PayPal应用通过指纹认证可向他人转账。

iPhone 5S Touch ID也曾惨遭破解

iPhone 5s正式开卖不过三天，其主打的指纹识别功能Touch ID就惨遭破解——德国知名黑客Starbug自己制作了一套指纹，成功骗过了Touch ID系统。在许多人看来，破解Touch ID应该需要专业的知识和设备，其过程一定非常复杂。

但Starbug却表示破解Touch ID“毫无挑战”，他甚至感到“非常失望”：我只花了30个小时就成功破解了Touch ID。我大概花了半个小时来做准备工作，而花费了更多的时间去寻找传感器的技术规格信息。我非常失望，因为原本以为需要花费1到2个星期才能破解它。这次破解毫无挑战。

生物识别技术不够安全

黑客揭示了一个残酷的现实——遗留在任何地方的指纹，都可能被用来绕过Touch ID。

只需一些并不昂贵的办公设备如图像扫描仪、激光打印机、蚀刻印刷电路板套件等，你甚至不必具备过多的专业知识，在家里就可以破解Touch ID，而且整个制作过程只需花费数小时。

Touch ID对苹果的意义显然不是解锁手机那么简单，或许也并不局限于支付方面，其有望搭建整个iOS甚至是Mac OS生态的一切身份验证堡垒。虽然苹果一再强调Touch ID的安全性，但外界的质疑从未间断，Starbug更是一针见血地指出，“Touch ID只是增加了便利性而不是安全性。”

我实际上并没有找到Touch ID传感器如何工作的过多细节，应该不是子表皮扫描（sub-epidermal scanning），因为扫描组织同人体皮肤上层太相似。最大的可能是，苹果选择了任意阈值（arbitrary threshold），这样才能确保Touch ID可靠而有效。简单的说，苹果考虑可用性和方便性要多于安全性。指纹传感器总是可以被打败，只要伪造的材料同人体组织的特点足够接近，并且这个高分辨率指纹的扫描是有效的。

Starbug表示自己并不是为了批评苹果，“你唯一可以批评他们的是，把Touch ID标榜成安全可靠的，即便他们知道这套系统有被攻破的可能。”在Starbug看来，“利用生物识别技术来进行身份验证是存在问题的。”

智能手机安全公司Lookout的安全专家Marc Rogers参考上述方法亲身破解了Touch ID，不过在他看来，虽然Touch ID可被破解，但该系统依然很棒：“破解Touch ID依赖技术、现有学术研究和耐心的结合。”他认为Touch ID极大增加了便利性，“智能手机用户不喜欢使用密码的主要原因就是因为太麻烦了，而Touch ID轻松解决了便利性问题。虽然生物识别安全并不完美，但本就没有完美的安全。”

对于普通用户来说，参照上面的视频攻破Touch ID似乎并没有太大吸引力，想要查看老公的iPhone显然有更多简单快意的方法。但一个严重的问题是，谁会放心地用并不安全的 Touch ID 来完成资金流转呢？指纹的一大特点便是无处不遗留，从这点来说，Touch ID带给人的心理安全感可能还不如自己私藏的密码本。

比生物识别更安全的身份验证办法——密码

密码是没有任何问题的，只要足够长并且足够复杂。实际上，长而复杂的密码也可以配置在iOS设备上，提供足够的安全级别。问题是如何把握用户便利性和安全之间的平衡。谁也不想解锁手机时需要输入20个字符的密码。另一方面，如今智能手机包含了大量个人资料，用户会认为即使四位数PIN也是不够的。

苹果一向是拿捏“平衡”的高手，它会为了提高2013款MacBook Air的续航能力而宁愿牺牲一点处理器频率，从而带给用户更好的整体体验。