刷指纹刷脸VS传统暗码哪个更安全

（文/ Nalin Asanka）

随着移动电子设备的普及，我们的电子设备储存了越来越多的敏感信息，比如个人身份、银行卡、家庭地址、支付消费习惯等等……为了保护这些信息，苹果和安卓等设备的操作系统都有安全设置，在授予访问权限之前进行用户身份验证。其中，最常见的安全机制包括指纹登录，现在已经被广泛应用在各大手机和各种系统当中。但是，指纹识别，你真的用对了吗？

"指纹登录"是一种生物识别技术，2013年由苹果公司首次推出，名为Touch ID。

Touch ID推出时的想法很简单：如果有一种更简单、更快捷的登录方式，就会鼓励用户保留更复杂的密码，同时也能保留访问的方便性。其目的是同时提高设备的可用性和安全性。然而，在实际应用中，大多数用户仍然不知道这个最初的目的。

当iPhone开机后首次解锁时，系统要求用户输入一组六位数字密码，而非简单的四位数字密码。之后就可以用Touch ID解锁手机，避免多次输入密码。但是问题是，用户也可以选择使用一组简单的四位密码，而不是六位密码。而研究调查还发现，在Touch ID用户中，大多数仍然使用弱登录密码，即四位数字密码。对于不使用Touch ID的人来说也是如此。此外，调查中超过30%的参与者不知道他们可以使用字母密码来代替四位数字密码。

一些参与者表示，使用四位数字密码是为了更快地解锁。大多数人认为Touch ID解锁更加便捷、快速。同时，并不是所有的人都了解所设的密码的真实安全性，而只有12%的参与者正确估计了密码的强度。

在我们使用指纹登录和其他生物识别系统之前，首先来了解一下它们的工作机制。大多数人们都认为，生物识别的密码非常安全，因为生物识别数据的存储方式与密码的存储方式不同。一般的密码存储在云端，但指纹数据只存储在你的设备上。服务器和应用程序永远无法访问你的指纹数据，也无法将其保存在云端。然而，尽管网络罪犯很难获得你的真实指纹数据，生物识别系统并非完全安全。

例如，在2013年，苹果的Touch ID指纹技术推出仅仅两天后就遭到了攻击。之后，许多人使用牙模或橡皮泥成功地通过了Touch ID验证。同样，研究表明，即使是2017年的iPhone X的面部识别功能也可能遭到破坏。使用四位密码备份的Touch ID用户也有风险。他们很容易受到"肩窥"攻击，攻击者只需越过受害者的肩膀就能看到他们输入的密码。其他类型的攻击包括密码猜测，甚至是热指纹扫描，使用热设备来确定屏幕上哪些区域最近被按下，从而推测密码组合。

一旦指纹等生物特征数据被盗，它就永远被盗了。不像密码可以随时更改，生物特征是无法更改的（除非你去整容）。而被盗的生物特征数据可以被用来在用户不知情的情况下识别用户。比如，网络罪犯通常倾向通过心理游戏访问人们的设备，诱使受害者点击链接或下载附件，最终暴露他们的登录凭证。在公共场合，罪犯可能会向你借电话。在这种情况下，他们通常很容易通过观察来窃取你的密码，而不必真的侵入你的设备。

Touch ID技术的设计初衷是为了提高安全性和可用性，如果人们理解其最初的目的，并设置更加复杂的密码，就是还可以提高安全系数的。但是往往大多数用户都会理所当然地认为，有了生物识别技术，就有了更多安全感。他们却不知道仍然有很多方式可以窃取信息，从而让网络罪犯有机可乘。

来源：Nextgov网