在三星Galaxy S5正式上市僅四天后，已有安全研究人員表示，他們已找到方法，可順利破解該智能手機(jī)的指紋認(rèn)證系統(tǒng)。來(lái)自Security Research Labs的專家們周二在YouTube上放出一段視頻，展示了其如何利用去年晚些時(shí)候在蘋(píng)果iPhone 5s上使用過(guò)的方法，成功繞過(guò)三星S5的指紋認(rèn)證系統(tǒng)。

該安全機(jī)構(gòu)通過(guò)可拍照手機(jī)和橡膠膜制作了一個(gè)“假指紋”，這成功騙過(guò)了Galaxy S5指紋傳感器，并獲得該手機(jī)的主頁(yè)面訪問(wèn)權(quán)及PayPal應(yīng)用訪問(wèn)權(quán)。其中，PayPal應(yīng)用通過(guò)指紋認(rèn)證可向他人轉(zhuǎn)賬。

iPhone 5S Touch ID也曾慘遭破解

iPhone 5s正式開(kāi)賣不過(guò)三天，其主打的指紋識(shí)別功能Touch ID就慘遭破解——德國(guó)知名黑客Starbug自己制作了一套指紋，成功騙過(guò)了Touch ID系統(tǒng)。在許多人看來(lái)，破解Touch ID應(yīng)該需要專業(yè)的知識(shí)和設(shè)備，其過(guò)程一定非常復(fù)雜。

但Starbug卻表示破解Touch ID“毫無(wú)挑戰(zhàn)”，他甚至感到“非常失望”：我只花了30個(gè)小時(shí)就成功破解了Touch ID。我大概花了半個(gè)小時(shí)來(lái)做準(zhǔn)備工作，而花費(fèi)了更多的時(shí)間去尋找傳感器的技術(shù)規(guī)格信息。我非常失望，因?yàn)樵疽詾樾枰ㄙM(fèi)1到2個(gè)星期才能破解它。這次破解毫無(wú)挑戰(zhàn)。

生物識(shí)別技術(shù)不夠安全

黑客揭示了一個(gè)殘酷的現(xiàn)實(shí)——遺留在任何地方的指紋，都可能被用來(lái)繞過(guò)Touch ID。

只需一些并不昂貴的辦公設(shè)備如圖像掃描儀、激光打印機(jī)、蝕刻印刷電路板套件等，你甚至不必具備過(guò)多的專業(yè)知識(shí)，在家里就可以破解Touch ID，而且整個(gè)制作過(guò)程只需花費(fèi)數(shù)小時(shí)。

Touch ID對(duì)蘋(píng)果的意義顯然不是解鎖手機(jī)那么簡(jiǎn)單，或許也并不局限于支付方面，其有望搭建整個(gè)iOS甚至是Mac OS生態(tài)的一切身份驗(yàn)證堡壘。雖然蘋(píng)果一再?gòu)?qiáng)調(diào)Touch ID的安全性，但外界的質(zhì)疑從未間斷，Starbug更是一針見(jiàn)血地指出，“Touch ID只是增加了便利性而不是安全性?！?/p>

我實(shí)際上并沒(méi)有找到Touch ID傳感器如何工作的過(guò)多細(xì)節(jié)，應(yīng)該不是子表皮掃描（sub-epidermal scanning），因?yàn)閽呙杞M織同人體皮膚上層太相似。最大的可能是，蘋(píng)果選擇了任意閾值（arbitrary threshold），這樣才能確保Touch ID可靠而有效。簡(jiǎn)單的說(shuō)，蘋(píng)果考慮可用性和方便性要多于安全性。指紋傳感器總是可以被打敗，只要偽造的材料同人體組織的特點(diǎn)足夠接近，并且這個(gè)高分辨率指紋的掃描是有效的。

Starbug表示自己并不是為了批評(píng)蘋(píng)果，“你唯一可以批評(píng)他們的是，把Touch ID標(biāo)榜成安全可靠的，即便他們知道這套系統(tǒng)有被攻破的可能。”在Starbug看來(lái)，“利用生物識(shí)別技術(shù)來(lái)進(jìn)行身份驗(yàn)證是存在問(wèn)題的。”

智能手機(jī)安全公司Lookout的安全專家Marc Rogers參考上述方法親身破解了Touch ID，不過(guò)在他看來(lái)，雖然Touch ID可被破解，但該系統(tǒng)依然很棒：“破解Touch ID依賴技術(shù)、現(xiàn)有學(xué)術(shù)研究和耐心的結(jié)合?！彼J(rèn)為Touch ID極大增加了便利性，“智能手機(jī)用戶不喜歡使用密碼的主要原因就是因?yàn)樘闊┝?，而Touch ID輕松解決了便利性問(wèn)題。雖然生物識(shí)別安全并不完美，但本就沒(méi)有完美的安全?！?/p>

對(duì)于普通用戶來(lái)說(shuō)，參照上面的視頻攻破Touch ID似乎并沒(méi)有太大吸引力，想要查看老公的iPhone顯然有更多簡(jiǎn)單快意的方法。但一個(gè)嚴(yán)重的問(wèn)題是，誰(shuí)會(huì)放心地用并不安全的 Touch ID 來(lái)完成資金流轉(zhuǎn)呢？指紋的一大特點(diǎn)便是無(wú)處不遺留，從這點(diǎn)來(lái)說(shuō)，Touch ID帶給人的心理安全感可能還不如自己私藏的密碼本。

比生物識(shí)別更安全的身份驗(yàn)證辦法——密碼

密碼是沒(méi)有任何問(wèn)題的，只要足夠長(zhǎng)并且足夠復(fù)雜。實(shí)際上，長(zhǎng)而復(fù)雜的密碼也可以配置在iOS設(shè)備上，提供足夠的安全級(jí)別。問(wèn)題是如何把握用戶便利性和安全之間的平衡。誰(shuí)也不想解鎖手機(jī)時(shí)需要輸入20個(gè)字符的密碼。另一方面，如今智能手機(jī)包含了大量個(gè)人資料，用戶會(huì)認(rèn)為即使四位數(shù)PIN也是不夠的。

蘋(píng)果一向是拿捏“平衡”的高手，它會(huì)為了提高2013款MacBook Air的續(xù)航能力而寧愿犧牲一點(diǎn)處理器頻率，從而帶給用戶更好的整體體驗(yàn)。