福布斯：iPhone5S指纹识别不能完全取代密码

最新版iPhone手机终于与大家见面了，而且可能最为巧妙地集成了生物识别安全技术：一个无缝内置于手机Home键之下的指纹扫描仪。但是注重隐私的用户若能三思实为明智之举。最好把指纹识别作为另一层保护，而不是老式的口令和密码的替代品。

在周二苹果（Apple）的iPhone 5S发布会上，该公司的市场营销副总裁菲尔席勒（Phil Schiller）介绍了首个手机指纹扫描功能——Touch ID，该功能从外观来看只是围绕着iPhone手机正面唯一按钮的一个细细的金属环。根据苹果公司的描述，这个厚度170微米的扫描传感器位于一层由激光切割的蓝宝石玻璃之下，并被一个钢检测环所环绕，该传感器对用户指纹的分辨率能够达到每英寸550像素。

“我们将自己的大量私生活放在这些设备上……这些设备与我们如影随形，我们必须对其加以保护。”席勒在主题发言时说道，并指出只有一半的iPhone手机用户设置了锁屏密码。而Touch ID的验证功能似乎不止于取代iPhone手机上的初始密码锁。在发言中，席勒还提到了Touch ID可应用于购买苹果应用商店里的商品，暗示它也能取代完整密码。

但是如果苹果打算让Touch ID取代传统密码，鉴于在防止伪造指纹攻破生物识别保护方面该行业过去不尽如人意的表现，那些有着敏感个人、公司或政府数据的用户可能还想再等等看，漏洞分析师布伦特肯尼迪（Brent Kennedy）如此认为。肯尼迪是生物测定学的研究生，为政府运作的美国计算机应急响应小组（U.S. Computer Emergency and Readiness Team）工作。

“如果该指纹读取器测试下来工作良好，它可能会比四位PIN密码更加安全。但我立刻谨慎起来，让我们看看测试结果如何以及人们都想出了哪些破解方法。”肯尼迪说道，“我不会单单依赖于指纹识别保护，就像我不会立即完全采信任何新技术一样。”

毕竟，一只失窃的手机上通常覆盖了机主的指纹，这使得准黑客们的破解工作变得容易得多。研究者们之前已经发现了通过窃取指纹攻破商用指纹读取器的大量方法。西弗吉尼亚大学的一个研究小组利用培乐多彩泥复制指纹，甚至在2002年的另一个实验中利用尸体指纹，成功瞒过了各种光学和电导传感器。一名日本研究人员用类似大虫软糖的明胶复制了指纹，并在十多个商用产品传感器上得逞。而《流言终结者》（Mythbusters）的其中一期节目就向我们展示了，通过轻触一块沾有指纹的乳胶就可以突破指纹读取器的防线，就连将一张指纹打印纸在扫描仪前照一照也能够轻松过关。

据密苏里大学计算机科学教授雷扎德拉克沙尼（Reza Derakshani）称，自从许多测试吸纳了反欺诈技术（检测温度甚至用户毛孔汗迹类型）之后，指纹读取技术已经有所改进。第一批有效防范伪造指纹的所谓“活性”测试中就有一些出自德拉克沙尼的设计。“如果关注下手指的活性毛孔，看看汗液的渗出和沿指纹的分布，你就能看出不同的类型。”他说道，“你仍然可以瞒天过海，但仅能在那些简单好骗的生物识别技术面前得逞。一个过硬的活性检查即便不能挫败所有伪造指纹的攻击也会起到一定作用。”

在周二的展示上，席勒号称Touch ID的检测包括“表皮以下的皮肤层”。但苹果的检测环是否囊括了足够多的德拉克沙尼“活性”测试以抵御先进的欺骗手段，这一点在该产品问世并接受公共安全研究的实验检测之前尚不得而知。

对于注重隐私的用户来说，一个亮点是Touch ID貌似不会将用户的指纹上传至云端，该数据仅保存于设备自身。这可能会减轻一些人的恐惧，他们担心苹果正在收集并建立能被政府或流氓黑客访问的生物特征数据库。

如果iPhone手机用户能够并且普遍运用密码和指纹双重安全保护措施，Touch ID对提升整体用户安全而言可能是一件好事情，美国计算机应急响应小组的肯尼迪表示。毕竟，谷歌（Google）、Twitter等其他公司已经普遍采用所谓的双重认证，以加强传统的密码保护。双重认证通常的做法是向用户的手机发送一次性口令，这样黑客只有也偷了他们的手机才能攻破其网上账户。但生物特征识别技术也能像接收口令的第二个设备一样很好地起到第二重保护作用。

“身份验证通常利用的两个要素是你所知道的或者你所拥有的——就iPhone 5S而言，是你自身的特征，”肯尼迪说道，“如果苹果允许你同时采用两者，这将好过于单独使用任何一种。”