广告

三星突现“指纹门” 指纹识别会因此“躺枪”么?

2019-11-05 17:10 来源:智安物联网

十月底,三星旗下两款旗舰机Galaxy S10、Galaxy Note10被曝存在指纹识别漏洞引发业内及舆论关注。三星方面称,已针对此问题发布补丁程序,但能否彻底解决这一问题,仍遭到外界不少质疑。

大洋彼岸的蝴蝶扇起了翅膀

三星“指纹门”的事件起源于一个不经意间的尝试,据英国《太阳报》报道,有一位三星 Galaxy S10英国用户在手机屏幕上贴保护膜后,发现任何人都能通过屏幕指纹识别解锁其手机,并可以直接打开手机的相关应用程序进行转账。正是这则消息,引发全球对三星手机指纹解锁安全性的持续关注。

无独有偶,随后还有多家媒体报道称,包括华为、小米等各大主流品牌的屏下指纹识别手机均存在同样类似的问题,有用户指纹识别的安全性也因此再次成为舆论关注焦点。

还需观望,指纹识别且暂放一边

随后国内多家金融机构迅速做出反应,微信表示,已关闭三星Galaxy S10等机型指纹支付服务。支付宝方面称,部分三星手机的指纹校验存在风险,为了保障用户在支付宝的用款安全,受影响的机型暂不支持指纹验证,用户可以按页面提示使用其他验证方式。

timg (1).jpg

三星突现“指纹门” 指纹识别会因此“躺枪”么?

紧跟着中国银行手机App也发布了《关于临时关闭三星部分手机型号手机银行指纹服务的公告》提醒,三星公司承认了其Galaxy S10和Galaxy Note 10两款手机和Tab S6平板指纹识别存在漏洞。为保障用户登录安全,中国银行手机银行已暂时关闭该型号手机的指纹登录功能;其他品牌型号手机、平板指纹登录不受影响。

关闭或告知相关机型的三星用户暂停使用手机的指纹支付功能。此外,韩国网上银行KakaoBank和韩国信用卡公司等多家经融机构都宣布了停用受影响机型的指纹认证,并提醒用户在这项问题解决之前,使用密码或图案解锁。

虽然三星现已宣布通过软件更新方式修复了三星Galaxy S10和Galaxy Note 10系列手机的指纹识别漏洞问题,但外界对三星指纹识别技术以及手机信息安全性尚存疑虑。

例如10月28日,支付宝方面相关人士透露,针对三星手机指纹识别解锁漏洞问题的安全性持观望态度,受影响的机型暂不支持指纹验证,用户可以按页面提示使用其他验证方式。微信团队也对称,目前正在对三星相关机型的指纹识别功能安全性进行测试之中,而在此之前,微信方面则建议用户可设置安全锁来代替指纹识别功能。中国银行方面则表示,目前仍还需进一步了解情况再做调整。

指纹识别大势已去?

都说智能手机是指纹识别扎根最深的土壤,但据苏宁金融研究院金融科技中心主任孙扬曾介绍称,比较初级的光感指纹技术早就被攻破了,所以会有一些使用指纹识别身份验证支付业务的公司会被欺诈。尽管一些指纹技术公司已经有更深层次活体监测的技术,如半导体硅感等二代指纹技识别术,可以直接读取手指皮肤真皮层信息,甚至可以读取血液流动信息提升指纹技术识别活体和抗伪造攻击能力。但一个手机厂商生产不同型号的手机所使用的指纹识别技术供应商可能都是不同的,此事件也反映了一些厂商,在积极探索提升生物识别验证的安全性方面还有较多工作可做。

而近两年来,屏下指纹赢得不少消费者和手机厂商的青睐,相比后置、前置的实体指纹识别,既安全、又能提升屏占比的屏下指纹识别大规模普及其实也是可以预料的

截至目前,屏下指纹识别所采用的有超声波指纹识别技术和光学指纹识别技术,虽然技术不同,但都是通过收集用户生物指纹信息,用户使用时在进行对比验证,验证通过进行后续解锁或支付操作。而三星的“指纹门”事件是用户在收集录入指纹时,对指纹进行了遮挡,造成指纹信息缺失,因此后续指纹识别不能进行正常的识别比对,产生安全“漏洞”,说穿了还是自己给自己挖坑。

为保安全,还请多种密码混合使用

一般来说一个八位数字组成的随机密码,一共会有10^8(1亿)种方案。也就是说,随便生成一个八位数字的密码,另外一个人随机猜到的可能性是一亿分之一。如果夹杂大小写字母和符号,就会有94^8(6千万亿)种,但你输入密码的过程可能会被看到,也可能会被设备记录,甚至你的常用密码还会被人破解。

而指纹作为我们的个人生物信息,指纹具有唯一性,而不会像密码、卡或者证件一样在不经意间被人盗取,但是因为指纹识别的优势性往往在指纹识别应用的过程中指纹识别都有超高的权限,这就为安全埋下了隐患。

做一个形象的比喻,人脑海中的密码便是钥匙,这把钥匙的轮廓极难获得且会变化,但一旦获得了便可以不费吹灰之力对其进行复制进而破解其守护的东西。而生物信息也是一把钥匙,但是这把钥匙的轮廓别人知道的一清二楚,但是复制的过程困难重重,一旦复制成功,生物识别不但会失去其守护的本意甚至会助纣为虐。

这也就意味着其实某种意义上密码可以同指纹识别进行互补,当指纹识别的权限降低至等同于密码后,密码和指纹大可成为彼此的“天使”。

结语

回归到最初的话题,其实对于手机厂商来说,实现支付与各种场景的深度融合,是金融服务布局中不可忽视的一环,这一利益链条也为支付机构、手机厂商双方带来巨大的利益。如今安全保障三板斧中最重的一板斧“指纹解锁”出现问题,也让不少网友戏言称“想回到土著时代”。

行业的发展需要规范与透明,而我们在日常生活中也要注意多些“心眼”以躲避“明枪”,莫怕“麻烦”以闪过“暗箭”,就目前来说组合式密码的安全性还是可以得到保证的,在这个大环境下确保财产安全的最优解其实往往就是你自己。

责任编辑:潘一大