指纹⼈脸虹膜等⽣物密码,最安全的可能也是最危险的!
兵马俑指纹、虹膜、⼈脸、声纹等⽣物密码具有惟⼀性和不变性,⼀旦泄露就是终⽣泄露,不可不察!
互联⽹改变了整个世界,移动互联⽹地改变了我们的⽣活,⼿机的功能正在由通信和社交领域向⽀付领域延伸,约车、订餐、购物、转账......出门可以忘记带钱包,但绝不能忘记带⼿机。⼿机越来越重要,随之⽽来的是安全问题也就越来越突出。
⼿机U盾马上就要推⼴了,⼿机很快就能进⾏上百万的资⾦操作,你的⼿机是否具有银⾏般的安全等级?会不会被骗⼦冒充⾝份⽽取⾛⾎汗钱?这些问题你当然要做到⼼中有数。
安全问题很专业很复杂,真正搞清楚是很难的,不过没关系,请听我⽤通俗的语⾔从头说起,我保证说的对,⽽且您还听得懂。
1、为啥“认证”不安全?
信息安全可分为“加密”和“认证”两个⽅⾯,加密是把明⽂变为密⽂,⾮法⽤户即使得到了密⽂,他也⽆法解读出来。
认证就是鉴别真伪,其中最重要的就是⾝份鉴别,即核实⽤户⾝份的真实性,这⽅⾯的安全性就⽐加密
差得远了,现在的安全形势是“加密强、认证弱”,⼏乎所有的⽹络安全问题和通讯都源于认证的漏洞。
为什么加密强呢?加密过程是安全设计师与⿊客的⽃法,为了给⿊客增加难度,安全设计师采⽤了“等效数学难题”的思路,把某个世界性的数学难题编成密码,除⾮⿊客能解开数学难题,否则就破解不了。⿊客哪有这个本事,若有早就去当数学家了,所以说加密强。
为什么认证弱?这是因为在认证过程中增加了⽤户因素,与狡猾⿊客⽃法的不再是安全设计师,⽽变成你这个⽤户了。需要你本⼈提交⼀个能证明⾃⼰⾝份的密码,⽽你根本就不懂得啥世界性的数学难题啊,更不会⽤数学难题构建密码了。
安全专家提醒你要设⼀个复杂的长密码啊,但太复杂了你记不住啊,于是就设了个8位的密码,还很得意的想“这是我⽣⽇的倒序,打死他们也猜不到啊~”这就毁了,与⽣⽇相关的密码是极易破解的,⿊客们早就猜到了。
世界上最豪华的车现在你看出来了吧,认证弱的核⼼原因就是⽤户⾃设的⾝份鉴别密码强度太低,在证明你是你的⽅⾯出现了漏洞。
2、如何证明你是你?
如何证明你是你?这听起来很好笑,但在信息化时代却是个很严肃的问题,甚⾄是⼀个困扰我们每个⼈的全球性难题。
减免学费申请书传统⾃证的模式是设密码,即设定⼀个只有你⾃⼰知道的密码,并在信息系统中备案,当下次有⼈向信息系统提交了这个密码时,信息系统就据此认定此⼈是你。
这种传统的认证模式很不⼈性化,密码设短了不安全,设长了记不住。通过你会死记硬背⼀个较长的密码,在QQ、微博、、⽀付宝、邮箱都⽤这⼀个,可⼀旦有⼀处泄露了,其它也就都不安全了。
安全专家推荐的做法是:给每⼀个应⽤都设置⼀个很长的随机密码,每隔⼀段时间就逐个更换。但这是很难做到的,很多⼈的做法是多个应⽤使⽤同⼀个密码,只要不出事就不换,可真出了事也就晚了,其实我本⼈也是这样。
小学二年级学生评语⽣物密码与传统密码很不⼀样,它的位数⾮常长,⽽位数是安全的关键,这⽐前⾯说的⼋位密码强健多了,⿊客靠猜测试验的⽅法是破解不了的,所以有专家称⽣物密码是最安全的密码。
⽣物密码的另⼀个好处就是不需要记忆,指纹和虹膜都是随⾝携带,按⼀下或看⼀眼就相当于输⼊了⼀个成千上万位的密码。现在已经实⽤化的⽣物密码有四种:指纹、虹膜、⼈脸、声纹,未来还可能有脑电波等等。
但你是否考虑过这个问题:传统密码可以随意更换,可⽣物密码是跟随您⼀辈⼦的啊,万⼀被坏⼈盗取了你的指纹和虹膜密码,难道你还能切了⼿指头和⾃戳双⽬?
现在的通讯⾮常猖獗,公众信息泄露是重要原因之⼀,骗⼦们能准确说出你的个⼈信息,那是因为你在购房购车、孩⼦⼊托⼊学、订机票⽕车票时所提供的个⼈信息,早已经成为骗⼦们所收集的资料,买卖个⼈信息已经形成了地下产业,⼀条信息值多少钱都有⾏情。
传统的个⼈信息保卫战已经失守,但下步的⽣物密码你⼀定要坚守住!骗⼦们下步收集的就会是指纹,来源就有可能是公司和单位的指纹打卡机,⽽指纹⼀旦泄露就是终⾝泄露,很多⼈完全没有意识到这个危险的严重性,甚⾄制作⾃⼰的指模交给同事帮忙打卡,这就是把后半⽣的固定⽀付密码交给了他⼈。
3、该把⽣物密码交给谁?
现在的⼿机都实名认证了,但实名的只是我们这些遵纪守法的⽼百姓,骗⼦们依然藏在暗处,他们通过马仔⾼价收购实名卡,虽然成本提⾼了些,可他们掌握我们的信息还更准确了呢。
车辆工程专业就业方向及前景也许你还不知道,诱导贫苦⽼⼈实名办卡后被骗⼦的马仔收购,这已经成为了地下的违法⾏当。保安在营业厅⾥对着排
也许你还不知道,诱导贫苦⽼⼈实名办卡后被骗⼦的马仔收购,这已经成为了地下的违法⾏当。保安在营业厅⾥对着排队实名办卡开⽹银的⽼⼈喊“出售银⾏卡是违法⾏为!”⽼⼈才不管这⼀套,开通⽹银的银⾏卡500块⼀张,马仔就在门外等着收呢,⼀上午进三家银⾏就净赚1500,再加上配套实名⼿机卡价格会更⾼。
即使营业员对此⼼知肚明,那也不能拒绝办理,因为这是⼈家的合法权利。⽽将来的⼀旦事败,公安追到了这些卖卡⼈,他家徒四壁根本赔不起,即使判了刑,那⼜有什么意义?
你当然不会为了蝇头⼩利⽽主动出卖个⼈信息,但会出于对合法商家的信任⽽提交个⼈隐私。例如你会在⼿机上设置指纹密码⽤于移动⽀付,这是个很常见的操作,但这个⽣物密码究竟保存在哪⾥?上传到了哪个商家的数据库⾥?是否已经造成了你的⽣物密码的永久性泄露?我估计你肯定不知道,甚⾄你可能都没有思考过这件事。
2016年7⽉18⽇,⼤麦⽹的⽤户信息被⿊客攻破,不法分⼦冒充客服准确说出⽤户真实信息,骗取信任后实施,39名⽤户被骗147万元。
此案例给了我们两个启⽰:第⼀,即使商家是诚信可靠的,也不能放⼼地把个⼈隐私交给它。好⽐是你把宝贝交给了⼀个信得过的朋友保管,他的确没想过要昧了你的宝贝,但他家的防盗措施不到位,宝贝被强盗⼊室抢了,你还能咋办?第⼆,传统密码可以做到每个商家⼀个,⼀旦泄露只在这⼀家产⽣损失,但如果是终⾝不变的⽣物密码被这个商家泄露,那损失就是⼀辈⼦的事。
前段时间发⽣了⽹易邮箱信息泄露事件,很多⽤户发现⾃⼰的常⽤密码已经被公开了,于是纷纷在其它的应⽤中及时修改。这些暴露出来的泄露还算好的,起码你可以亡⽺补牢,⽽那些没有暴露出来的信息泄露呢?
你的个⼈信息⼀定在很多⽹站登记过了,现在我问您⼀个问题:你能确保个⼈信息没有泄露吗?你当然不能确保,很可能你的常⽤密码已经泄露⽽您并不知情,⽽你正处于被骗⼦实施的准备阶段。
所以,我们的原则是:即使对⽅是你⾮常信任的商家,它不会利⽤你的信息牟取⾮法利益,但这并不代表它能保管好这些信息,不要把个⼈隐私交给任何商家,特别是具有唯⼀性和不变性的⽣物密码,绝对不要交给任何商家。
重要的事情说三遍:⽣物密码⼀定要掌管在⾃⼰⼿⾥!⽣物密码⼀定要掌管在⾃⼰⼿⾥!⽣物密码⼀定要掌管在⾃⼰⼿⾥!
4、现在的⽣物密码安全吗?
现在的指纹⽀付已成普遍应⽤,但你知道你的指纹信息到底放在了哪⾥吗?这是个重⼤⽽且敏感的问题。
开办互联⽹⾦融业务的商家希望⾃⼰保存⽤户的指纹信息,对于开展后续的扩展应⽤⾮常有好处,例如这家公司推⼴⼀个特别能吸⾦的⼿游,⽽⿇烦的注册过程挡住了⼀些没耐⼼的潜在⽤户。⽽如果这家公司掌握了你的指纹密码,注册和⽀付就是“⼀触式”的,开展吸⾦新项⽬这么⽅便,替公司想想就感到很兴奋呢。
例如有家名为购买宝(本⽂虚构的商家,旨在说明道理,不指代任何公司)的公司开展了指纹⽀付的⽹购业务,然后跟各家⼿机商进⾏谈判,要求⼿机商把⽤户的指纹密码直接给它,由它进⾏备案和后续⽀付时的⽐对。
这时,不同⼿机商家的应对⽅式就不同了,有的⼿机⼚家图省事就答应了,凡是使⽤这家⼿机的⽤户指纹就被送到了购
这时,不同⼿机商家的应对⽅式就不同了,有的⼿机⼚家图省事就答应了,凡是使⽤这家⼿机的⽤户指纹就被送到了购买宝那⾥。有的⼿机⼚家拒绝向购买宝提交⽤户指纹,⽽是把⽤户指纹封锁在⼿机芯⽚中,备案和后续的⽐对都在芯⽚中进⾏,然后只给购买宝传送⼀个⽐对后的YES或NO的信息。
当然是后⼀种⼚家更有节操,但你知道你的⼿机⼚家是咋做的吗?是属于没节操还是有节操的?我估计你不知道。公众对⽣物密码的重要性太⽆知了,这也正是这篇科普要解决的认识问题。
指纹、虹膜、⼈脸、声纹这些⽣物信息难以复制,例如刻意模仿⼀个⼈的话⾳,外⼈听起来已经很像了,但精细的频谱分析也可以出明显的差别。但是,⽆论这些⽣物信息如何难以模仿,但⼀旦经过采样数字化后,就变成了⼀长
串“1”“0”序列,⽽这串序列是极易复制的。
因为“⽣物特征难模仿易复制”这个特点,⼿机通过传感器采集⽣物特征并编码成⽣物密码,这种过程应该在⼀个⿊盒⼦中封闭处理,以防⽌被⽊马程序劫持。这就是对⽣物密码处理的 “双系统原则”。即⽣物密码信息的采集处理与存储都不通过安卓系统,⽽是在⼀个独⽴的SE芯⽚中进⾏,这就是苹果和⾼通芯⽚的常规做法。
所有的密码处理都在SE芯⽚中处理,这虽然满⾜了⼀般性的安全要求,但其实还存在着重⼤隐患。为
什么这样说呢?不妨设想⼀个场景,你把现⾦和珠宝都放在了家⾥的保险柜时,⾃以为这样就安全了。⽽当贼⼊室盗窃时,他⼀眼就能看到保险柜,这等于告诉贼财产就在这⾥,能不能拿⾛就看你的本事了。
独⽴SE芯⽚也是同理,秘密都在这个显眼的⿊盒⼦⾥,等于给了⿊客⼀个明确的指⽰,直接对它下⼿就有可能破解成功。这种架构违反了⼀条重要的信息安全理论,那就是秘密信息的载体没有隐藏。
你可能会觉得破解芯⽚太难了,哪个笨贼会花费这么⼤的成本?奥⽼师你危⾔耸听了吧?我并没有危⾔耸听,⽽是你不了解技术现状。例如在⽆所不能的深圳华强北,拆卸处理⼿机芯⽚早已经是个低科技含量的灰⾊业务。
最好的补水面膜同样是iPhone6⼿机,内存128G的⾼配版⽐16G的低配版贵1000多块,你拿16G的低配版⼿机到店铺⽼板,他⼏分钟就能给你换个128G的内存,这项服务只需要300块钱,⽽且⽼板会很贴⼼地把旧内存还给你,嘱咐你这⾥有隐私,请⾃⾏销毁。
当前多数⼿机都采⽤类似的独⽴SE芯⽚,对密码进⾏封闭性⿊盒处理是对的,但独⽴结构却是个安全漏洞,给不法分⼦下⼿破解提供了可能。
即使不盗取其中的密码信息,只是把它拆下来,再换上个空的SE芯⽚,就相当于你取消了指纹或虹膜密码,不法分⼦就可以进⼊到你的⼿机系统。这就好⽐是防盗门⼚家宣传⾃家的⾼级锁根本⽆法盗配钥匙,但⼈家⼩偷不⾛盗配钥匙的路⼦,⽽是咔嚓⼀下把锁芯换了,你的钥匙再精密复杂也根本没起到作⽤。
7、结束语
现在已经得到应⽤的⽣物密码有四种,分别是指纹、虹膜、⼈脸和声纹。⽣物密码的加密强度⼤且不必记忆,已经得到了⼴泛地应⽤,甚⾄会成为未来移动⽀付的主要认证模式。
⽣物密码具有唯⼀性和不可变更性,要坚持“⽣物密码必须掌握在⾃⼰⼿⾥”的原则,不能出于对商家的信任就假⼿于⼈,因为⼀旦泄露就是终⾝泄露,后果会⾮常严重。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论