iPhone 5s 指紋辨識會是密碼終結者嗎?

評論
評論

本文作者 Mark Burnett 是一名安全顧問,原文載於其部落格 Xato.net

蘋果日前已宣佈, iPhone 5s 將會包含指紋掃描功能。大部分的人認為這項創舉將是安全方面的一大革新,但是,我們很多來自安全社群的專業人士對此都抱有高度懷疑。雖然很多媒體認為,指紋將會成為密碼的終結者。然而在這一點上,還是存在很多異議的。在此我希望能將指紋與密碼的對比羅列出來,供那些並不是非常清楚其含義的人參考。

生物識別技術就如同我們日常熟悉的用戶名、密碼的概念一樣,是一種系統用來識別和驗證使用者身份的方法。我們都熟知的一點是,密碼的安全性很弱,並且不方便管理。這就是為什麼人們總是期望誕生新的認證產品,進而終結密碼的使用。儘管密碼存在這樣那樣的缺點,但目前而言,它仍然在各種身份驗證系統中扮演著不可或缺的角色。

事實上,密碼確實有很多缺點,然而瑕不掩瑜。同理,對於生物識別技術也是一樣。你無法簡單的用指紋識別來取代密碼,進而得到一個完美的解決方案。即便一些舊有問題會因此得到解決,一些新的問題也會隨之引入。

為了釐清這些概念,如下的表格將對生物識別技術與密碼認證在各方面作逐一對比。打勾的條目表示該技術在此方面遠勝過對方。兩邊都打勾則表示各有優缺點。

fing

以上對比說明了什麼?

如你所見,顯然生物識別技術並非密碼的完美替代方案。這也是為什麼每次生物識別技術公司在其發佈會上宣稱自己是密碼終結者時,其安全專家們只能表現的唯唯諾諾。生物識別技術確實在某些方面明顯優於密碼,但是他們也有很多劣勢。甚至在某些方面,他們二者都很脆弱,或是根據具體情境各有優點。目前而言,上面的列表並未考慮到各個條目的權重。但是一個基本的觀點在於,無法透過簡單的比較,就判斷出二者的優劣。

不過有一點可以確定的是,同時使用二者來獲得更好的安全性,是遠勝於僅使用其中一項的。這是因為你能夠享受二者各自的優勢,而缺點則減少了。舉例而言,我們都知道一旦你的指紋資訊被盜用後,指紋自身是無法改變的。但是透過密碼與指紋的配對就能夠解決這個問題。同時採取二者的方式被稱為「雙重認證」。

就目前披露的資訊而言,還不知道蘋果手機是否允許同時使用密碼與指紋。

具體的來看 iPhone 的指紋掃描感測器,有一些有趣的特點很值得注意。首先,將指紋識別裝置附加到手機上,彌補了很多單純生物識別技術的缺陷。比如難以登記,需要特殊的硬體支援以及隱私等問題。因為指紋只儲存在本機,即你自己的手機上,所以這些問題都迎刃而解。另一個有趣的事實是,手機自身成為了驗證身份的第三重因素:它只屬於你。當這一點結合「雙重認證」在一起之後,使得這一身份認證系統變得很可靠。試想一次盜用行為需要首先取得你的手機,然後還要擁有你的指紋,最後還要知道你的密碼。這幾乎很難同時做到。

總之,指紋掃描裝置的安全性主要取決於他的實現。但是即便它不盡完美,也比無數缺乏保護的手機要強得多。

這裡還有一些很多人提到的安全問題:比如這會不會是一個美國國家安全局用來建構指紋資料庫的大陰謀呢?就目前所知,蘋果是透過加密指紋,然後進一步將其儲存在手機自身的硬體中,並不會上傳網路。這種做法是否安全還有待觀察。但是值得留意的一點是,你的指紋其實並沒有想像中的那麼私密:事實上它會留在每一樣你碰過的東西上。


精選熱門好工作

Campaign Associate 資深線上活動策劃專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$20,000

Video/Image Processing Software Engineer

PicCollage 拼貼趣
臺北市.台灣

獎勵 NT$20,000

Shopee APP - 產品用戶體驗部專員 / Customer Experiences Management

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$20,000

評論