指紋，是表皮上突起的紋線。雖然指紋人人皆有，但各不相同。伸出手，仔細(xì)觀察，就可以發(fā)現(xiàn)小小的指紋也分好幾種類型。據(jù)說還沒有發(fā)現(xiàn)兩個(gè)指紋完全相同的人，所以指紋聽起來顯得十分獨(dú)一無二。生物認(rèn)證的方式已經(jīng)成為移動(dòng)設(shè)備上越來越流行的配置，自蘋果iPhone 5s推出指紋識(shí)別功能之后，指紋識(shí)別逐漸先后在手機(jī)、平板等移動(dòng)設(shè)備上風(fēng)靡起來，隨著生物認(rèn)證的方式多樣化和發(fā)展，近年來的眼紋識(shí)別、虹膜識(shí)別、聲紋識(shí)別等陸續(xù)出現(xiàn)。這種便捷安全的方式已經(jīng)逐漸取代密碼和PIN碼，我們當(dāng)初都認(rèn)為指紋是獨(dú)一無二的，而且認(rèn)為它比密碼要更安全，從這一個(gè)角度來看確實(shí)是這樣。

　　得益于Apple的品牌影響力，蘋果Touch ID的出現(xiàn)算得上是真正引領(lǐng)了智能手機(jī)的指紋識(shí)別潮流。蘋果的指紋識(shí)別技術(shù)是依靠Home鍵按壓來實(shí)現(xiàn)，在這個(gè)設(shè)計(jì)基礎(chǔ)上實(shí)現(xiàn)起來會(huì)容易很多。相比較而言，安卓手機(jī)由于普遍采用了電容觸控按鍵設(shè)計(jì)，因此重新設(shè)計(jì)Home鍵并加入指紋功能的難度并不小。

　　而且早在2016年的世界移動(dòng)通訊大會(huì)上，Vkansee成功演示了如何用假指紋解鎖iPhone 6/6 Plus，而美國(guó)密歇根州立大學(xué)使用指紋的照片，通過特殊的墨水打印出的模型就能輕松解鎖手機(jī)。在生活中，手機(jī)丟失以后，小偷和技術(shù)人員會(huì)有很多方式繞過指紋系統(tǒng)，直接讀取手機(jī)中的重要數(shù)據(jù)。

　　手機(jī)指紋識(shí)別并非完美

　　盡管手機(jī)指紋識(shí)別技術(shù)已經(jīng)成為了潮流，但事實(shí)上手機(jī)廠商所采用的的指紋傳感器也仍然具備優(yōu)化空間，總結(jié)來看主要存在三點(diǎn)不足：

　　一、圖片匹配算法

　　目前手機(jī)廠商所采用的指紋識(shí)別技術(shù)有些是基于指紋圖片匹配計(jì)算得出，并非是真正的生物識(shí)別算法技術(shù)，而圖片匹配軟件的相似度帶來的隱患就是識(shí)別精準(zhǔn)度出現(xiàn)偏差，如果未來全面普及生物算法識(shí)別的話，那么會(huì)具備更高的唯一性。

　　二、識(shí)別體驗(yàn)效果

　　因?yàn)橐恍┧惴ǖ脑颍@也讓一些智能手機(jī)在指紋錄入或識(shí)別時(shí)存在體驗(yàn)糟糕的情況，比如當(dāng)你用拇指邊緣進(jìn)行識(shí)別或者方向偏差較大時(shí)出現(xiàn)識(shí)別失敗的現(xiàn)象。如果在長(zhǎng)期使用iPhone 5s的Touch ID時(shí)發(fā)現(xiàn)只要手指或者Home鍵上存在潮濕或是有灰塵，識(shí)別的效果會(huì)大打折扣，但定期清理后效果能好很多。

　　三、功能應(yīng)用場(chǎng)景

　　現(xiàn)階段指紋識(shí)別能實(shí)現(xiàn)的應(yīng)用并不算多，多數(shù)人頂多也就是拿指紋功能來實(shí)現(xiàn)解鎖或是免去輸入下載應(yīng)用時(shí)的賬號(hào)密碼。在微信等支付上，指紋識(shí)別也可以快速替代傳統(tǒng)輸入密碼的方式。不過考慮到Apple Pay、Android Pay都還沒有在國(guó)內(nèi)普及，因此移動(dòng)支付與指紋識(shí)別的結(jié)合還有很長(zhǎng)的磨合期。

　　另一方面，攜帶指紋功能的Home鍵也應(yīng)該被賦予更多功能，例如滑動(dòng)操作、啟動(dòng)拍照、開啟應(yīng)用，通過長(zhǎng)按或雙擊實(shí)現(xiàn)某種功能等等，現(xiàn)階段我們看到了一些廠商的新玩法，比如魅族的mBack按鍵。

　　盡管各類生物認(rèn)證方式有著較高的安全等級(jí)，可是我們現(xiàn)實(shí)中確實(shí)出現(xiàn)了破解和偽造指紋的事情。當(dāng)我們還想著各種辦法以防自己的指紋被暴露的時(shí)候，殊不知我們的指紋信息或許已經(jīng)偷偷從我們的PC上流出了。

　　傳統(tǒng)密碼和生物認(rèn)證的博弈

　　很多人認(rèn)為傳統(tǒng)的密碼要比指紋識(shí)別的安全級(jí)別低，實(shí)際這并完全準(zhǔn)確。根據(jù)一項(xiàng)調(diào)查顯示，世界上最常用的10組密碼里面，“123456”和“1234567890”是排在前兩位，前者有17%的用戶都采用。顯然這是應(yīng)對(duì)不易記憶和不方便而采取的方式，很多人很難記得復(fù)雜繁瑣的密碼，設(shè)置簡(jiǎn)單的密碼也大大降低傳統(tǒng)密碼的安全性。

　　選擇順序密碼的不少數(shù)

　　生物認(rèn)證方式要比傳統(tǒng)密碼在便捷性要更強(qiáng)，同時(shí)通過其他技術(shù)優(yōu)勢(shì)增強(qiáng)移動(dòng)設(shè)備的安全性，可是其依然能夠被破解。比如照片可以破解面部識(shí)別；錄音可以破解語(yǔ)音識(shí)別；甚至是手指都能被偽造。實(shí)際傳統(tǒng)密碼在安全性上并不差，只是需要你設(shè)置密碼的時(shí)候用足夠長(zhǎng)的位數(shù)，還需要字母數(shù)字大小寫混用，當(dāng)然這是十分不方便的，因此指紋識(shí)別等生物認(rèn)證方式逐漸取代他們成為主流。

　　指紋識(shí)別的防守戰(zhàn)

　　我們以指紋識(shí)別為例，相信能屢屢能聽到或了解到一些指紋識(shí)別的破解案例。同時(shí)隨著3D打印機(jī)的普及，偽造指紋變得更為簡(jiǎn)單快捷。因此各家手機(jī)終端廠家都在指紋識(shí)別模塊中做功夫，如通過開啟指紋信息本地存儲(chǔ)、添加獨(dú)立的指紋信息安全區(qū)域、活體指紋識(shí)別技術(shù)等等。

　　要想令指紋識(shí)別方便之余還能夠保證安全，那就要從指紋信息泄露、盜取、偽造這三個(gè)方面防護(hù)。而今天的主題主要說的是指紋信息源的泄露盜取這一方面。

　　通過PC筆記本盜取指紋信息

　　這里說的指紋信息泄露盜取并不是如我們電影電視劇那般，例如你接觸物體的物理指紋等，要想完整套取這些指紋信息所花費(fèi)的成本和時(shí)間是巨大的，一般情況下這些均是針對(duì)犯罪等重大的事件。此外帶有指向性的指紋獲取不常見的，例如有陌生人讓你在一些指紋模塊上留下指紋，通過我們自我判斷一般是很難通過這些方法盜取我們的指紋信息。

　　那還有什么途徑呢？有人說從用戶的手機(jī)上通過黑客軟件應(yīng)用獲取，可是現(xiàn)在人們都是手機(jī)不離身，基本沒可能讓我們手機(jī)長(zhǎng)時(shí)間離開我們，因此這種方式的難度也很大。除了手機(jī)，我們還忽略了我們自身最重要的個(gè)人設(shè)備，那就是PC電腦。

　　PC設(shè)備指紋安全堪憂？

　　可能很多人都忽略PC的指紋信息保護(hù)，實(shí)際上現(xiàn)在筆記本廠商所選擇的的指紋傳感器會(huì)讓你的指紋信息很容易被暴露。目前筆記本PC市場(chǎng)上有主要有兩種指紋識(shí)別傳感器，一種是有加密的功能，另一種是沒有通過加密。如果是采用沒有加密的指紋傳感器，你的指紋信息和指紋圖像就非常容易被盜取。

　　PC筆記本開始配置加密指紋識(shí)別模塊

　　為什么筆記本廠商選擇沒有加密的傳感器？一方面是由于成本問題，雖然現(xiàn)在有加密功能和沒有加密的指紋傳感器在成本上只差3-5美金左右，但是對(duì)于出貨量比較多的PC筆記本設(shè)備來說，這一筆成本還是挺巨大的。另一方面很多PC筆記本廠商會(huì)直接采用手機(jī)的指紋識(shí)別傳感器，因?yàn)槭謾C(jī)擁有一些獨(dú)特的構(gòu)造，如防水防塵，不易被拆解，而PC沒有，所以手機(jī)廠商優(yōu)先考慮的也是成本問題。

　　與電腦不同，手機(jī)幾乎在任何時(shí)候都是不離身的。手機(jī)可以依靠物理上的安全來確保傳感器的安全。但筆記本電腦卻不同，它通常都會(huì)被放在家里的桌子上、汽車?yán)?、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內(nèi)就輕松訪問電腦內(nèi)的文件。正由于安全和使用模式的不同，手機(jī)的指紋識(shí)別傳感器組件是并不適合應(yīng)用在PC上的。

　　當(dāng)然手機(jī)指紋破解的情況依然很多，可是綜合來說破解PC要比破解手機(jī)容易更多。如果PC采用沒有加密、部分加密或者采用亂序的指紋傳感器，那就很容易被從系統(tǒng)中盜取相關(guān)指紋信息。

　　10分鐘盜取偽造指紋解鎖手機(jī)

　　在臺(tái)北電腦展期間，Synaptics演示相關(guān)的PC安全隱患，并用于偽造指紋信息輕松解鎖手機(jī)。在開始這個(gè)演示之前，筆者在他們提供的筆記本的指紋識(shí)別模塊上錄入指紋信息，隨后在進(jìn)行PPT講解原理的幾分鐘內(nèi)，他成功通過獲取的指紋信息打印了筆者的指紋信息，并且通過打印的指紋信息能夠非常容易解鎖筆者的iPhone和另一部安卓手機(jī)。這一個(gè)過程前后還不超過10分鐘，筆者也深深倒吸一口氣。

　　盜取并打印的指紋信息，可用其輕松解鎖iPhone（指紋信息作防盜竊處理）

　　據(jù)Synaptics的技術(shù)人員講解，筆者剛才輸入指紋信息的筆記本上指紋傳感器是沒有經(jīng)過加密，通過內(nèi)置的黑客軟件應(yīng)用，黑客電腦能通過無線輕松從被盜電腦上獲取未加密的指紋信息，然后黑客電腦就擁有那位用戶的指紋信息，其可以是指紋識(shí)別特征或者指紋圖像。

　　黑客擁有這些指紋信息之后，他可以執(zhí)行兩種操作。第一種便是通過一個(gè)叫Replay Attack的東西，把指紋數(shù)據(jù)信息重新傳送到被盜的電腦，遠(yuǎn)程操作解鎖電腦，隨時(shí)黑進(jìn)你的電腦。這是一個(gè)很可怕的事情，黑客擁有被盜電腦的管理員權(quán)限，除了可以盜取被盜電腦的各種機(jī)密資料之外，還能夠通過網(wǎng)線等方式解鎖電腦，獲得企業(yè)網(wǎng)絡(luò)服務(wù)的訪問權(quán)限，甚至還可以發(fā)出網(wǎng)絡(luò)攻擊，控制電源電路，令其盜竊痕跡隱藏起來。

　　第二種操作便是偽造假的指紋，這也是最常見的做法。有了假指紋，不僅能解鎖你的手機(jī)，還能解鎖的PC筆記本，所有個(gè)人資料無所遁形。對(duì)于個(gè)人用戶來說，假指紋對(duì)移動(dòng)支付危害甚大，而對(duì)于企業(yè)用戶來說，公司的機(jī)密資料和信息都容易被泄露。

　　指紋信息泄露危害

　　有趣的是，雖然Synaptics從公司帶來了打印機(jī)，可是遭遇了一些意外損壞了，他們就在當(dāng)?shù)氐碾娔X市場(chǎng)購(gòu)買了一部大約150美元的打印機(jī)，同時(shí)在當(dāng)?shù)氐暮牟氖袌?chǎng)購(gòu)買了導(dǎo)電墨水，依舊能把指紋順利打印制作出來，這向我們說明了，只要擁有指紋信息，制作假指紋現(xiàn)在會(huì)顯得很簡(jiǎn)單和方便。

　　端到端的指紋加密操作

　　面對(duì)這個(gè)薄弱的環(huán)節(jié)，這就要求我們的筆記本廠商使用有加密的指紋傳感器。在這一領(lǐng)域，Synaptics是指紋解決方案的提供商，PC上的指紋識(shí)別模塊份額更是達(dá)到70%以上。2017年年初的時(shí)候，Synaptics開始在集成的PC解決方案中，將端到端安全（SecureLink和PurePrint）部署為默認(rèn)配置，簡(jiǎn)單來說便是默認(rèn)為筆記本廠商客戶提供具有加密功能的指紋識(shí)別技術(shù)方案。

　　SentryPoint整套方案

　　實(shí)際Synaptics多年前已經(jīng)開始出貨加密功能的傳感器，而且推出了一整套名為SentryPoint的安全套件，能夠?yàn)橹讣y識(shí)別傳感器提供安全保護(hù)。這套安全方案能在指紋傳感器和電腦之間的傳輸線路進(jìn)行加密，確保不被竊取。

　　可是還有一種情況是比較尷尬的，雖然PC筆記本使用了未被加密手機(jī)指紋傳感器，可是這套指紋方案最初設(shè)計(jì)是用于手機(jī)上，把它移植到PC筆記本后，因?yàn)獒樐_不兼容等問題，所以需要通過一個(gè)名為MCU的微控制器進(jìn)行連接。種情況下，即使從微控制器到主機(jī)的鏈路是加密的，也不安全，因?yàn)榧用艿陌踩詫⑷Q于鏈路最薄弱的環(huán)節(jié)。傳感器到MCU這一鏈路進(jìn)行加密了，可是MCU到電腦主機(jī)這一鏈路卻并未加密。

　　端到端的保護(hù)方案

　　從傳感器到主機(jī)的加密是需要全方位的，不能出現(xiàn)一絲漏洞，而Synaptics的指紋技術(shù)方案已經(jīng)能做到。

　　全方位的加密方案

　　Synaptics的這套端到端的SentryPoint安全套件，基礎(chǔ)是SecureLink，它是通過強(qiáng)大的TLS 1.2加密和AES-256位高級(jí)加密提供聰傳感器到電腦主機(jī)的加密保護(hù)。這兩個(gè)加密的算法是目前最高階的，據(jù)Synaptics的人員介紹，要想解開TLS 1.2和AES-256加密數(shù)據(jù)，一般的家用電腦基本做不到（時(shí)間很長(zhǎng)很長(zhǎng)很長(zhǎng)），而采用國(guó)家級(jí)的超級(jí)電腦（如天河之類的超級(jí)計(jì)算機(jī)）也要花費(fèi)較長(zhǎng)的時(shí)間，后者對(duì)于一般用戶來說基本是不可觸及。因此其加密堅(jiān)固的程度是足夠的。

　　指紋傳感器與電腦主機(jī)通信需要加密

　　此外這套方案里面還包含了PurePrint，可以區(qū)分識(shí)別真假手指，也就是識(shí)別假的指紋。這一個(gè)模塊是在軟件架構(gòu)里面，可以通過OTA不斷升級(jí)更新，應(yīng)對(duì)新的威脅，有一點(diǎn)像我們使用的殺毒軟件更新特征庫(kù)。

　　指紋信息時(shí)刻在加密狀態(tài)

　　當(dāng)然如果這些都不能滿足安全要求，Synaptics還有終極大招，那便是Match-in-Sensor傳感器匹配方案。這個(gè)方案里面，指紋模板只在傳感器內(nèi)進(jìn)行匹配，并不會(huì)把相關(guān)的判斷數(shù)據(jù)與主機(jī)進(jìn)行通信，所有信息加上匹配判斷都在指紋傳感器內(nèi)部完成，它只會(huì)把判斷的結(jié)果傳送至主機(jī)，可以是“0”和“1”等等的簡(jiǎn)數(shù)據(jù)，并不會(huì)有任何指紋的信息。

　　利用這一架構(gòu)，操作系統(tǒng)將不會(huì)再成為被攻擊的途徑，因?yàn)檫@里面已經(jīng)切斷了多個(gè)鏈路數(shù)據(jù)傳輸。通過Match-in-Sensor方案，所有的生物識(shí)別操作在指紋傳感器上操作，敏感的數(shù)據(jù)不會(huì)離開芯片，同時(shí)只會(huì)把簡(jiǎn)單的判斷數(shù)據(jù)通過SecureLink與主機(jī)相連。

　　指紋信息泄露源頭遏制

　　在出現(xiàn)最多的破解指紋識(shí)別的案例中，基本都是采用物理破解制作假手指的方式。不過這種物理破解基本只限定于一個(gè)目標(biāo)用戶或設(shè)備，對(duì)于黑客來說吸引比較小，因?yàn)槠浠ㄙM(fèi)大的成本不能獲得對(duì)等的利益。黑客往往瞄準(zhǔn)的是具有聯(lián)網(wǎng)功能的企業(yè)用戶機(jī)密信息，而這部分的安全往往是由未加密的指紋識(shí)別信息所保護(hù)，因此這十分需要引起我們的關(guān)注。

　　假指紋可以通過各種材質(zhì)得到

　　現(xiàn)在的指紋放偽造技術(shù)基本把重點(diǎn)放在判斷那一步，如加入各種防范欺騙技術(shù)。Synaptics人機(jī)界面系統(tǒng)部門產(chǎn)品營(yíng)銷副總裁的市場(chǎng)總監(jiān)Godfrey Cheng指出，“指紋識(shí)別的設(shè)計(jì)需要考慮成本、防偽造效果和用戶體驗(yàn)?！碑a(chǎn)品設(shè)計(jì)初期，指紋設(shè)計(jì)不但能獲得安全的保障，還需要兼顧良好的用戶體驗(yàn)，誰(shuí)也不想用指紋識(shí)別的時(shí)候，出現(xiàn)按了幾次都不能解鎖的窘?jīng)r?！胺榔垓_技術(shù)是可以達(dá)到100%有效性的。無論假的指紋質(zhì)量有多高，都不能通過識(shí)別。但這對(duì)于移動(dòng)設(shè)備來說，成本會(huì)非常昂貴，而且會(huì)帶來很高的功耗”，一般的產(chǎn)品并不會(huì)采用這種方案。

　　現(xiàn)在我們手機(jī)有很多防偽造的技術(shù)，活體指紋檢測(cè)就是最近熱門的。意外的是，在Synaptics的現(xiàn)場(chǎng)演示中，筆者利用打印的導(dǎo)電指紋信息紙片可以輕松解鎖iPhone，可是對(duì)于手上的一部安卓手機(jī)不可行，查看后才知道這部安卓手機(jī)應(yīng)用了活體指紋檢測(cè)技術(shù)，這個(gè)指紋傳感器能夠檢測(cè)更多的信息，如脈搏、溫度和電容。不過隨后Synaptics的人員拿出了另外一種特殊的物質(zhì)，把我們的指紋印上后便可以順利解鎖。

　　關(guān)于活體檢測(cè)，Synaptics表示“檢測(cè)出指紋假體并拒絕假體通過識(shí)別設(shè)計(jì)到諸多因素，而指紋活性只是其中一個(gè)因素。我們的防假指紋技術(shù)不依賴于光電二極管和傳感器，因?yàn)樗麄儠?huì)被假指紋騙過，這一點(diǎn)已經(jīng)有演示過了。我們相信防假指紋最好的方法是采用機(jī)器學(xué)習(xí)。通過使用機(jī)器學(xué)習(xí)，我們的Quantum Matcher通過不斷學(xué)習(xí)真手指和假指紋之間的區(qū)別，可以持續(xù)演進(jìn)。而且通過我們的PurePrint?技術(shù)，我們可以持續(xù)訓(xùn)練我們的匹配器識(shí)別最新的假體指紋材料?！?/p>

　　Synaptics擁有這幾大指紋安全防護(hù)技術(shù)

　　“Synaptics是這一領(lǐng)域的專家，防欺騙技術(shù)可以是100%，可是破解指紋識(shí)別也可以是100%”，這意味著指紋識(shí)別的攻防會(huì)一直存在，你有更新的防護(hù)技術(shù)，逐漸地也會(huì)針對(duì)這個(gè)開發(fā)出破解的方法，便好像電腦病毒防護(hù)一般。Synaptics的技術(shù)人員還是建議，從源頭上防止指紋信息的泄露更加重要，因?yàn)楹诳蜎]有你任何的指紋圖像或特征碼，他將不能進(jìn)行任何的操作。

　　安全的權(quán)重應(yīng)該要高于方便

　　安全這東西平日大家都不怎么關(guān)注，只有當(dāng)真是發(fā)生了一些事故才會(huì)引起大家的重視。生物認(rèn)證方式給我們提供了更加便捷方便的體驗(yàn)，雖然各類指紋被破解的新聞是屢屢出現(xiàn)，但是我們已經(jīng)越來越依賴指紋等各類識(shí)別登錄賬戶和移動(dòng)支付等，倒退回去使用傳統(tǒng)的密碼是不可能了。

　　生物認(rèn)證技術(shù)發(fā)展的同時(shí)，用以破解移動(dòng)設(shè)備傳感器的偽造生物特征圖像的能力也變得更強(qiáng)了。為了減少安全風(fēng)險(xiǎn)，現(xiàn)在越來越多的廠商都開始采用加密的指紋識(shí)別傳感器，同時(shí)把防假指紋的技術(shù)融入到設(shè)備當(dāng)中，而Synaptics的SecntryPoint方案獲得不少的應(yīng)用。

　　對(duì)于用戶來說，同樣也需要對(duì)自己日常使用指紋等各類生物識(shí)別的習(xí)慣進(jìn)行修正，例如針對(duì)不同賬戶或者不一樣的用途（移動(dòng)支付、登錄賬戶）采用不同指紋信息，盡量把危險(xiǎn)降低。