近日,一个“橘子皮解锁指纹锁的”视频火了,央视也对其进行了报道,视频中的展示只要通过非常基础的工具比如胶带,溶液笔就可以完成破解,同时央视的报道中有人手机摔裂了指纹模块,然后谁都可以解锁手机了,你还敢用指纹吗?用指纹支付是不是不安全了呢?
指纹破解的技术解读-不必惊慌
首先,我们要设想这样一种场景1,你的手机丢了,或者被偷了,任何拿到这个手机的人只要拿着胶带溶液笔,一顿操作,然后按上一块橘子皮,然后啪~登陆支付工具,啪~用指纹转走钱、支付了。
那么,这种场景存在吗? 如果存在的话,那么指纹可太不安全了。
不必惊慌,这目前是不行的。
实际上目前所有利用这类漏洞的破解指纹都有一个关键点,就是机主配合。
啥叫机主配合呢?
现在的破解流程是这样的:
(场景2)一款手机,我们用胶带,溶液笔对它一顿操作,然后机主按几次指纹(或者是重新录入指纹),然后拿到别人手里,然后橘子皮解锁。
那如果我是坏人,我怎么破解某人的手机呢? 首先要获得这个手机,可能是偷,然后使用工具一顿操作,然后要把这个手机还回去,然后机主再用一段时间之后,再次偷过来,然后就可以上橘子皮了,这个过程中,首先机主不能发现手机被做过手脚,还需要正常使用几次,中间不能发现问题,这个过程还是比较复杂的,而且如果能做到上述这些的话,那能干的坏事也太多了…
简单来说,如果你的手机一直在自己手里,别人没有提前动过手脚的话,即便丢了也没法上橘子皮。
当然,如果像电影演的那样,以类似特工的方式获取你指纹的…. …我们暂时就不在本文讨论了。
不能完全依靠指纹,额度设置需谨慎,大额支付使用多因子
虽然最严重的情况并没有发生(场景1),但是确实不能否认场景2有发生的可能性,加上媒体的大规模报道,指纹行业将会受到一定程度上的冲击,人们开通指纹支付的意愿也会降低。
那么纯粹依靠指纹进行的支付,会受到最多的冲击,比如小额免密业务。但是其本身额度就较小,发生重大事故的可能性较小。可以设定较小的数额,规避风险。
如果需要发生大额度的支付用到指纹,目前通用的做法都是进行多因子认证,比如密码+指纹,不会受到较大影响。
对多因子支付来说,指纹验证依旧拥有较高的安全性
前文提到多因子认证,短信验证码也是多因子的一部分,那么对比来看,如果手机丢失,短信验证码的获取难度几乎为零,而指纹的破解依旧无法脱离机主的配合存在,在安全程度上可以满足现有的要求。
作为消费者应该注意什么?
对于普通用户来说。应对目前的破解方法比较简单
①不要为了美观等原因去使用指纹膜类产品。
②指纹装置被涂抹等异常情况应引起警觉。
③如果自己发现异常,尝试使用其他手指验证,如果出现解锁应关闭指纹验证。
结语
生物识别的兴起与破解,已经形成了“风口”,围绕着其间的技术升级和对抗不会停止,作为相关企业和厂商,唯有积极升级方案,不断提高安全性,及时规避风险才能在竞争中脱颖而出,CFCA作为专业放入信息安全服务提供商与国家级权威安全认证机构,对于移动端解决方案进行了深入的研究,并提供包括移动端生物识别,安全测评,电子签名应用(电子合同、无纸化等),证据保全等在内的全方位的服务。
文章来源:中国电子银行网