暖心十二月，再送30元優(yōu)惠券：http://www.17719.cn/bulletin/details_11644.html；海外現(xiàn)貨樣品隔天送達(dá)：http://www.17719.cn/so/DigiKeyProduct.html。

 

指紋、虹膜、人臉、聲紋等生物密碼具有惟一性和不變性，一旦泄露就是終生泄露，不可不察！

互聯(lián)網(wǎng)改變了整個世界，移動互聯(lián)網(wǎng)地改變了我們的生活，手機的功能正在由通信和社交領(lǐng)域向支付領(lǐng)域延伸，約車、訂餐、購物、轉(zhuǎn)賬......出門可以忘記帶錢包，但絕不能忘記帶手機。手機越來越重要，隨之而來的是安全問題也就越來越突出。

手機U盾馬上就要推廣了，手機很快就能進行上百萬的資金操作，你的手機是否具有銀行般的安全等級？會不會被騙子冒充身份而取走血汗錢？這些問題你當(dāng)然要做到心中有數(shù)。

安全問題很專業(yè)很復(fù)雜，真正搞清楚是很難的，不過沒關(guān)系，請聽我用通俗的語言從頭說起，我保證說的對，而且您還聽得懂。

1、為啥“認(rèn)證”不安全？

信息安全可分為“加密”和“認(rèn)證”兩個方面，加密是把明文變?yōu)槊芪模欠ㄓ脩艏词沟玫搅嗣芪?，他也無法解讀出來。

認(rèn)證就是鑒別真?zhèn)?，其中最重要的就是身份鑒別，即核實用戶身份的真實性，這方面的安全性就比加密差得遠(yuǎn)了，現(xiàn)在的安全形勢是“加密強、認(rèn)證弱”，幾乎所有的網(wǎng)絡(luò)安全問題和通訊詐騙都源于認(rèn)證的漏洞。

為什么加密強呢？加密過程是安全設(shè)計師與黑客的斗法，為了給黑客增加難度，安全設(shè)計師采用了“等效數(shù)學(xué)難題”的思路，把某個世界性的數(shù)學(xué)難題編成密碼，除非黑客能解開數(shù)學(xué)難題，否則就破解不了。黑客哪有這個本事，若有早就去當(dāng)數(shù)學(xué)家了，所以說加密強。

為什么認(rèn)證弱？這是因為在認(rèn)證過程中增加了用戶因素，與狡猾黑客斗法的不再是安全設(shè)計師，而變成你這個用戶了。需要你本人提交一個能證明自己身份的密碼，而你根本就不懂得啥世界性的數(shù)學(xué)難題啊，更不會用數(shù)學(xué)難題構(gòu)建密碼了。

安全專家提醒你要設(shè)一個復(fù)雜的長密碼啊，但太復(fù)雜了你記不住啊，于是就設(shè)了個8位的密碼，還很得意的想“這是我生日的倒序，打死他們也猜不到啊~”這就毀了，與生日相關(guān)的密碼是極易破解的，黑客們早就猜到了。

現(xiàn)在你看出來了吧，認(rèn)證弱的核心原因就是用戶自設(shè)的身份鑒別密碼強度太低，在證明你是你的方面出現(xiàn)了漏洞。

2、如何證明你是你？

如何證明你是你？這聽起來很好笑，但在信息化時代卻是個很嚴(yán)肅的問題，甚至是一個困擾我們每個人的全球性難題。

傳統(tǒng)自證的模式是設(shè)密碼，即設(shè)定一個只有你自己知道的密碼，并在信息系統(tǒng)中備案，當(dāng)下次有人向信息系統(tǒng)提交了這個密碼時，信息系統(tǒng)就據(jù)此認(rèn)定此人是你。

這種傳統(tǒng)的認(rèn)證模式很不人性化，密碼設(shè)短了不安全，設(shè)長了記不住。通過你會死記硬背一個較長的密碼，在QQ、微博、微信、支付寶、郵箱都用這一個，可一旦有一處泄露了，其它也就都不安全了。

安全專家推薦的做法是：給每一個應(yīng)用都設(shè)置一個很長的隨機密碼，每隔一段時間就逐個更換。但這是很難做到的，很多人的做法是多個應(yīng)用使用同一個密碼，只要不出事就不換，可真出了事也就晚了，其實我本人也是這樣。

生物密碼與傳統(tǒng)密碼很不一樣，它的位數(shù)非常長，而位數(shù)是安全的關(guān)鍵，這比前面說的八位密碼強健多了，黑客靠猜測試驗的方法是破解不了的，所以有專家稱生物密碼是最安全的密碼。 

生物密碼的另一個好處就是不需要記憶，指紋和虹膜都是隨身攜帶，按一下或看一眼就相當(dāng)于輸入了一個成千上萬位的密碼。現(xiàn)在已經(jīng)實用化的生物密碼有四種：指紋、虹膜、人臉、聲紋，未來還可能有腦電波等等。

但你是否考慮過這個問題：傳統(tǒng)密碼可以隨意更換，可生物密碼是跟隨您一輩子的啊，萬一被壞人盜取了你的指紋和虹膜密碼，難道你還能切了手指頭和自戳雙目？

現(xiàn)在的通訊詐騙非常猖獗，公眾信息泄露是重要原因之一，騙子們能準(zhǔn)確說出你的個人信息，那是因為你在購房購車、孩子入托入學(xué)、訂機票火車票時所提供的個人信息，早已經(jīng)成為騙子們所收集的詐騙資料，買賣個人信息已經(jīng)形成了地下產(chǎn)業(yè)，一條信息值多少錢都有行情。

傳統(tǒng)的個人信息保衛(wèi)戰(zhàn)已經(jīng)失守，但下步的生物密碼你一定要堅守??！騙子們下步收集的就會是指紋，來源就有可能是公司和單位的指紋打卡機，而指紋一旦泄露就是終身泄露，很多人完全沒有意識到這個危險的嚴(yán)重性，甚至制作自己的指模交給同事幫忙打卡，這就是把后半生的固定支付密碼交給了他人。 

3、該把生物密碼交給誰？

現(xiàn)在的手機都實名認(rèn)證了，但實名的只是我們這些遵紀(jì)守法的老百姓，騙子們依然藏在暗處，他們通過馬仔高價收購實名卡，雖然詐騙成本提高了些，可他們掌握我們的信息還更準(zhǔn)確了呢。

也許你還不知道，誘導(dǎo)貧苦老人實名辦卡后被騙子的馬仔收購，這已經(jīng)成為了地下的違法行當(dāng)。保安在營業(yè)廳里對著排隊實名辦卡開網(wǎng)銀的老人喊“出售銀行卡是違法行為！”老人才不管這一套，開通網(wǎng)銀的銀行卡500塊一張，馬仔就在門外等著收呢，一上午進三家銀行就凈賺1500，再加上配套實名手機卡價格會更高。 

即使?fàn)I業(yè)員對此心知肚明，那也不能拒絕辦理，因為這是人家的合法權(quán)利。而將來的詐騙一旦事敗，公安追到了這些賣卡人，他家徒四壁根本賠不起，即使判了刑，那又有什么意義？

你當(dāng)然不會為了蠅頭小利而主動出賣個人信息，但會出于對合法商家的信任而提交個人隱私。例如你會在手機上設(shè)置指紋密碼用于移動支付，這是個很常見的操作，但這個生物密碼究竟保存在哪里？上傳到了哪個商家的數(shù)據(jù)庫里？是否已經(jīng)造成了你的生物密碼的永久性泄露？我估計你肯定不知道，甚至你可能都沒有思考過這件事。

2016年7月18日，大麥網(wǎng)的用戶信息被黑客攻破，不法分子冒充客服準(zhǔn)確說出用戶真實信息，騙取信任后實施詐騙，39名用戶被騙147萬元。

此案例給了我們兩個啟示：第一，即使商家是誠信可靠的，也不能放心地把個人隱私交給它。好比是你把寶貝交給了一個信得過的朋友保管，他的確沒想過要昧了你的寶貝，但他家的防盜措施不到位，寶貝被強盜入室搶了，你還能咋辦？第二，傳統(tǒng)密碼可以做到每個商家一個，一旦泄露只在這一家產(chǎn)生損失，但如果是終身不變的生物密碼被這個商家泄露，那損失就是一輩子的事。

前段時間發(fā)生了網(wǎng)易郵箱信息泄露事件，很多用戶發(fā)現(xiàn)自己的常用密碼已經(jīng)被公開了，于是紛紛在其它的應(yīng)用中及時修改。這些暴露出來的泄露還算好的，起碼你可以亡羊補牢，而那些沒有暴露出來的信息泄露呢？

你的個人信息一定在很多網(wǎng)站登記過了，現(xiàn)在我問您一個問題：你能確保個人信息沒有泄露嗎？你當(dāng)然不能確保，很可能你的常用密碼已經(jīng)泄露而您并不知情，而你正處于被騙子實施詐騙的準(zhǔn)備階段。

所以，我們的原則是：即使對方是你非常信任的商家，它不會利用你的信息牟取非法利益，但這并不代表它能保管好這些信息，不要把個人隱私交給任何商家，特別是具有唯一性和不變性的生物密碼，絕對不要交給任何商家。

重要的事情說三遍：生物密碼一定要掌管在自己手里！生物密碼一定要掌管在自己手里！生物密碼一定要掌管在自己手里！

4、現(xiàn)在的生物密碼安全嗎？

現(xiàn)在的指紋支付已成普遍應(yīng)用，但你知道你的指紋信息到底放在了哪里嗎？這是個重大而且敏感的問題。

開辦互聯(lián)網(wǎng)金融業(yè)務(wù)的商家希望自己保存用戶的指紋信息，對于開展后續(xù)的擴展應(yīng)用非常有好處，例如這家公司推廣一個特別能吸金的手游，而麻煩的注冊過程擋住了一些沒耐心的潛在用戶。而如果這家公司掌握了你的指紋密碼，注冊和支付就是“一觸式”的，開展吸金新項目這么方便，替公司想想就感到很興奮呢。

例如有家名為購買寶（本文虛構(gòu)的商家，旨在說明道理，不指代任何公司）的公司開展了指紋支付的網(wǎng)購業(yè)務(wù)，然后跟各家手機商進行談判，要求手機商把用戶的指紋密碼直接給它，由它進行備案和后續(xù)支付時的比對。

這時，不同手機商家的應(yīng)對方式就不同了，有的手機廠家圖省事就答應(yīng)了，凡是使用這家手機的用戶指紋就被送到了購買寶那里。有的手機廠家拒絕向購買寶提交用戶指紋，而是把用戶指紋封鎖在手機芯片中，備案和后續(xù)的比對都在芯片中進行，然后只給購買寶傳送一個比對后的YES或NO的信息。

當(dāng)然是后一種廠家更有節(jié)操，但你知道你的手機廠家是咋做的嗎？是屬于沒節(jié)操還是有節(jié)操的？我估計你不知道。公眾對生物密碼的重要性太無知了，這也正是這篇科普要解決的認(rèn)識問題。

指紋、虹膜、人臉、聲紋這些生物信息難以復(fù)制，例如刻意模仿一個人的話音，外人聽起來已經(jīng)很像了，但精細(xì)的頻譜分析也可以找出明顯的差別。但是，無論這些生物信息如何難以模仿，但一旦經(jīng)過采樣數(shù)字化后，就變成了一長串“1”“0”序列，而這串序列是極易復(fù)制的。

因為“生物特征難模仿易復(fù)制”這個特點，手機通過傳感器采集生物特征并編碼成生物密碼，這種過程應(yīng)該在一個黑盒子中封閉處理，以防止被木馬程序劫持。這就是對生物密碼處理的 “雙系統(tǒng)原則”。即生物密碼信息的采集處理與存儲都不通過安卓系統(tǒng)，而是在一個獨立的SE芯片中進行，這就是蘋果和高通芯片的常規(guī)做法。

所有的密碼處理都在SE芯片中處理，這雖然滿足了一般性的安全要求，但其實還存在著重大隱患。為什么這樣說呢？不妨設(shè)想一個場景，你把現(xiàn)金和珠寶都放在了家里的保險柜時，自以為這樣就安全了。而當(dāng)賊入室盜竊時，他一眼就能看到保險柜，這等于告訴賊財產(chǎn)就在這里，能不能拿走就看你的本事了。 

獨立SE芯片也是同理，秘密都在這個顯眼的黑盒子里，等于給了黑客一個明確的指示，直接對它下手就有可能破解成功。這種架構(gòu)違反了一條重要的信息安全理論，那就是秘密信息的載體沒有隱藏。

你可能會覺得破解芯片太難了，哪個笨賊會花費這么大的成本？奧老師你危言聳聽了吧？我并沒有危言聳聽，而是你不了解技術(shù)現(xiàn)狀。例如在無所不能的深圳華強北，拆卸處理手機芯片早已經(jīng)是個低科技含量的灰色業(yè)務(wù)。

同樣是iPhone6手機，內(nèi)存128G的高配版比16G的低配版貴1000多塊，你拿16G的低配版手機找到店鋪老板，他幾分鐘就能給你換個128G的內(nèi)存，這項服務(wù)只需要300塊錢，而且老板會很貼心地把舊內(nèi)存還給你，囑咐你這里有隱私，請自行銷毀。 

當(dāng)前多數(shù)手機都采用類似的獨立SE芯片，對密碼進行封閉性黑盒處理是對的，但獨立結(jié)構(gòu)卻是個安全漏洞，給不法分子下手破解提供了可能。

即使不盜取其中的密碼信息，只是把它拆下來，再換上個空的SE芯片，就相當(dāng)于你取消了指紋或虹膜密碼，不法分子就可以進入到你的手機系統(tǒng)。這就好比是防盜門廠家宣傳自家的高級鎖根本無法盜配鑰匙，但人家小偷不走盜配鑰匙的路子，而是咔嚓一下把鎖芯換了，你的鑰匙再精密復(fù)雜也根本沒起到作用。

7、結(jié)束語

現(xiàn)在已經(jīng)得到應(yīng)用的生物密碼有四種，分別是指紋、虹膜、人臉和聲紋。生物密碼的加密強度大且不必記憶，已經(jīng)得到了廣泛地應(yīng)用，甚至?xí)蔀槲磥硪苿又Ц兜闹饕J(rèn)證模式。

生物密碼具有唯一性和不可變更性，要堅持“生物密碼必須掌握在自己手里”的原則，不能出于對商家的信任就假手于人，因為一旦泄露就是終身泄露，后果會非常嚴(yán)重。