※ 引述《dharma (达)》之铭言:
: 输入数字文字密码
: 输入滑动密码
: ...
: 这些和输入指纹
: 感觉上没什么差别啊
: 如果骇客可以截取文字、滑动...
: 同样也可以截取指纹
: 为什么指纹有比较安全?
: thank
其实密码这东西就跟防毒很像,你要最严密的防护,你就要忍受防护
带来的不便. 同样的,你要使用很方便,你就要忍受防护能力不足.这
两者本质上是冲突的.但是随着科技的发展,防护力会慢慢增高,不便
性会慢慢降低.最后会达到一个亲密点.
现在来比较一下,密码跟指纹的差别.
以密码来说,一般的键盘考虑a-z,A-Z跟0-9,如果再加上10个特殊字符,
每输入一位数字,密码的复杂度就会增加72倍.假设你有六位密码,你的
密码的可能性就会是72的6次方.
那指纹呢,指纹比较难说,因为不同的机器采样的模式不同.我们考虑到
一般的电脑或手机上面设计的指纹采样不可能很精密. 所以我们假设一
个最简单的模型.
假设指纹的感应接口被画成一个10x10的网格(越精密的扫描,当然可以画
更细的网格),当我们的手贴上去的时候,指纹辨识机会扫描其中10个特征
点(转折,漩涡...等),然后把这10个特征点在网格上的座标记录下来.
(真实的系统,它们是去纪录这十个点的相对距离跟角度)
如果是这样的话,一根手指就会定义出10组(x,y),每个x,y可以从1~10.所
以一根手指就给出了10的20次方种组合.
如果换算成键盘密码的话,相当于你要10~11位密码才可以达到一根手指给
出的安全性.如果是指纹辨识的精密度更高的话,这数字会差更大!
那方便性呢? 现在一根手指的指纹辨识大概可以在1秒完成.如果我们用10
位数的密码取代,以按一个码需要0.5秒计算,10位数需要5秒钟才可以完成!
1sec VS 5sec
所以说指纹密码的加密性跟方便度都大大的超过了键盘.而且最重要的是,
这组密码你并不需要记! 因此以密码学的观点来看,指纹辨识可以说同时兼
具了高加密性跟高方便度.似乎无懈可击!
但确实如此吗? No!
指纹辨识同时也具有一个不可不回避的问题:不能改!
如同脸部辨识,虹膜辨识,DNA辨识,或者各式各样的生物辨识都是.它们都是
生物与生俱来的特性.跟你一生,改也改不掉.换言之,一旦被破解终生都作废!
所以说一旦你的手机或电脑上的指纹资料被偷走了.你的指纹密码将永远被破
解!之前看到有朋友把10支手指头的资料都设给了iPhone,坦白说我还真有一
点担心.
另一个问题是,安全防护是有边界效应的. 比如说防毒软件,都不装,也许40分,
装一套,可能就到80分了,如果再加个防火墙,可能到90分了.但是再加个HIPS,
可能也只能提高到95分.安全防护也是.当你的密码设到4,5位时(例如手机),如
果再搭配试错三次锁机这类功能,其实要靠破解已经很困难了,除非是受过专业
训练的高手,否则大概90%的危险都挡掉了.再更多位,其实意义不大了.所以指纹
辨识虽然可以一只手指就可以直接给你高达10位密码的效果,但其实在第四位以
后那些密码对安全性的贡献,可能只是增加2,3分的效果.
所以现实生活中,我们如果我们以4位密码来讲,其实大概也就两秒,如果再适当
搭配其他的规则,例如三次锁机,例如选取识别图片之类的功能,其实方便性来说
并没有和指纹辨识相差这么大了.
如果以这种观点来比较,指纹辨识真正突出的优点就只剩下一个了:
不用记密码!
但是反过来说,你接受你的银行帐户密码永远不能改吗? 以及密码被盗后终生
失效的风险吗?
这是个见仁见智的问题. 大家答案都不同,就给各位自己思考了!