指纹识别的安全危机

苹 果发布的iPad Air 2配备了其特有的指纹授权登录技术Touch ID。Touch ID技术最早在去年发布的iPhone 5s上首次亮相，如今在三个不同的iPhone型号上得到普遍使用。苹果表示，在iPad上引入这一技术不仅能够增加iPad登录的安全性，还能让 iPad融入该公司推行的Apple Pay支付生态体系中。但也有不少人也对指纹识别提出质疑：作为“钥匙”来使用的指纹实际上随处都可能留下，这些不经意泄漏的指纹是否会被其他人利用？

iPhone 5S指纹识别轻易破解！

去年iPhone 5s正式开卖不过三天，其主打的指纹识别功能Touch ID就惨遭破解——德国知名黑客Starbug自己制作了一套指纹，成功骗过了Touch ID系统。他甚至还制作了一个视频详细介绍破解iPhone 5S指纹识别的方法，它揭示了一个残酷的现实——遗留在任何地方的指纹，都可能被用来绕过Touch ID。Starbug表示破解Touch ID“毫无挑战”，他甚至感到“非常失望”：“我只花了30个小时就成功破解了Touch ID。我大概花了半个小时来做准备工作，而花费了更多的时间去寻找传感器的技术规格信息。我非常失望，因为原本以为需要花费1到2个星期才能破解它。这次破解毫无挑战。”

Starbug表示自己并不是为了批评苹果，“你唯一可以批评他们的是，把Touch ID标榜成安全可靠的，即便他们知道这套系统有被攻破的可能。”在Starbug看来，“利用生物识别技术来进行身份验证是存在问题的。”

安全技术专家Bruce Schneier也表示，假如有人能够通过一款足够好的打印机制造你的一份指纹拷贝，并且这份拷贝足够好，那么他将能够成功得到你的iPhone的认证。

iPhone 6指纹识别存漏洞：假指纹可解锁手机

来自德国柏林的安全研究实验室(Security Research Labs)近日发现，苹果公司最新手机iPhone 6/6 Plus上的指纹识别功能功能相比上一代并没升级，依然可以用指纹膜骗过，造成安全隐患。在新一代iPhone发售之后，Security Research Labs采用一台iPhone 6进行试验。测试中可以看到，安全风险依旧存在， 指纹膜依然可以通过验证。这意味着苹果可能并没有升级Touch ID的传感器，在新一代iPhone上，苹果加入了Apple Pay移动支付功能，开放端口后，一些第三方iOS应用也可以通过它打开，这个漏洞的危害性或许比之前更严重。

众 所周知每个指纹都是唯一的，因此，即使两个单独指纹的一小部分极为相似，也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹，发生这种情况的可能性为五万分之一。这比典型 4 位密码的一万分之一的猜中几率要好得多。虽然某些密码（如“1234”）可能很容易就被猜出，而指纹方式则根本不存在这种能轻易猜出的可能性。另一方面， 五万分之一的可能性表示需要尝试多达五万次不同的指纹，直到可能无意中找到完全一样的指纹。而 Touch ID 只允许尝试五次指纹，如果都不成功，您必须输入密码，否则不能继续操作。

安全技术专家Bruce Schneier解释说，指纹识别系统出现故障的情况大致可分为两种：一种是错误地让未经认证的人取得访问许可，另一种则是将经过认证的人拒之门外。后者 的情况往往比前者更为糟糕——你将无法打开你自己的手机。在苹果的设计中，很可能将为了照顾后一种情况而适当地允许第一种情况的发生。另外，在寒冷的天气 下或是刚洗完澡时，指纹的识别或许将出现一定的困难，届时苹果或许将提供传统的解锁方案以防万一。

指纹数据库

指纹识别的另一个问题在于存储指纹数据的数据库。假如采用中心数据库的形式，这个大型数据库一旦遭到攻击，将会导致大量数据的泄漏。Bruce Schneier因此推断，苹果肯定会采用本地认证的形式——用户将自己对手机授权，而不是通过网络进行该操作。 

据 苹果官方介绍，Touch ID 不会储存指纹的任何图像。它只存储指纹的数学表达式。不可能从该数学表达式反推导出实际的指纹图像。iPhone 5s 还包括 A7 芯片内称为“Secure Enclave”的全新高级安全架构，专门开发用于保护密码和指纹数据。指纹数据通过 Secure Enclave 的专用密钥得到加密和保护。指纹数据仅由 Secure Enclave 使用，以验证指纹是否与所注册的指纹数据匹配。Secure Enclave 独立于 A7 的其他部分以及 iOS 的其他部分。因此，指纹数据绝不会由 iOS 或其他 App 访问、绝不会存储到 Apple 服务器，也绝不会备份到 iCloud 或其他任何地方。只有 Touch ID 使用它，并且不能将它用于匹配其他指纹数据库。