苹
果发布的iPad Air 2配备了其特有的指纹授权登录技术Touch ID。Touch ID技术最早在去年发布的iPhone
5s上首次亮相,如今在三个不同的iPhone型号上得到普遍使用。苹果表示,在iPad上引入这一技术不仅能够增加iPad登录的安全性,还能让
iPad融入该公司推行的Apple
Pay支付生态体系中。但也有不少人也对指纹识别提出质疑:作为“钥匙”来使用的指纹实际上随处都可能留下,这些不经意泄漏的指纹是否会被其他人利用?
Starbug表示自己并不是为了批评苹果,“你唯一可以批评他们的是,把Touch ID标榜成安全可靠的,即便他们知道这套系统有被攻破的可能。”在Starbug看来,“利用生物识别技术来进行身份验证是存在问题的。”
安全技术专家Bruce Schneier也表示,假如有人能够通过一款足够好的打印机制造你的一份指纹拷贝,并且这份拷贝足够好,那么他将能够成功得到你的iPhone的认证。
众 所周知每个指纹都是唯一的,因此,即使两个单独指纹的一小部分极为相似,也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹,发生这种情况的可能性为五万分之一。这比典型 4 位密码的一万分之一的猜中几率要好得多。虽然某些密码(如“1234”)可能很容易就被猜出,而指纹方式则根本不存在这种能轻易猜出的可能性。另一方面, 五万分之一的可能性表示需要尝试多达五万次不同的指纹,直到可能无意中找到完全一样的指纹。而 Touch ID 只允许尝试五次指纹,如果都不成功,您必须输入密码,否则不能继续操作。
安全技术专家Bruce Schneier解释说,指纹识别系统出现故障的情况大致可分为两种:一种是错误地让未经认证的人取得访问许可,另一种则是将经过认证的人拒之门外。后者 的情况往往比前者更为糟糕——你将无法打开你自己的手机。在苹果的设计中,很可能将为了照顾后一种情况而适当地允许第一种情况的发生。另外,在寒冷的天气 下或是刚洗完澡时,指纹的识别或许将出现一定的困难,届时苹果或许将提供传统的解锁方案以防万一。
据 苹果官方介绍,Touch ID 不会储存指纹的任何图像。它只存储指纹的数学表达式。不可能从该数学表达式反推导出实际的指纹图像。iPhone 5s 还包括 A7 芯片内称为“Secure Enclave”的全新高级安全架构,专门开发用于保护密码和指纹数据。指纹数据通过 Secure Enclave 的专用密钥得到加密和保护。指纹数据仅由 Secure Enclave 使用,以验证指纹是否与所注册的指纹数据匹配。Secure Enclave 独立于 A7 的其他部分以及 iOS 的其他部分。因此,指纹数据绝不会由 iOS 或其他 App 访问、绝不会存储到 Apple 服务器,也绝不会备份到 iCloud 或其他任何地方。只有 Touch ID 使用它,并且不能将它用于匹配其他指纹数据库。
iPhone 5S指纹识别轻易破解!
去年iPhone 5s正式开卖不过三天,其主打的指纹识别功能Touch ID就惨遭破解——德国知名黑客Starbug自己制作了一套指纹,成功骗过了Touch ID系统。他甚至还制作了一个视频详细介绍破解iPhone 5S指纹识别的方法,它揭示了一个残酷的现实——遗留在任何地方的指纹,都可能被用来绕过Touch ID。Starbug表示破解Touch ID“毫无挑战”,他甚至感到“非常失望”:“我只花了30个小时就成功破解了Touch ID。我大概花了半个小时来做准备工作,而花费了更多的时间去寻找传感器的技术规格信息。我非常失望,因为原本以为需要花费1到2个星期才能破解它。这次破解毫无挑战。”Starbug表示自己并不是为了批评苹果,“你唯一可以批评他们的是,把Touch ID标榜成安全可靠的,即便他们知道这套系统有被攻破的可能。”在Starbug看来,“利用生物识别技术来进行身份验证是存在问题的。”
安全技术专家Bruce Schneier也表示,假如有人能够通过一款足够好的打印机制造你的一份指纹拷贝,并且这份拷贝足够好,那么他将能够成功得到你的iPhone的认证。
iPhone 6指纹识别存漏洞:假指纹可解锁手机
来自德国柏林的安全研究实验室(Security Research Labs)近日发现,苹果公司最新手机iPhone 6/6 Plus上的指纹识别功能功能相比上一代并没升级,依然可以用指纹膜骗过,造成安全隐患。在新一代iPhone发售之后,Security Research Labs采用一台iPhone 6进行试验。测试中可以看到,安全风险依旧存在, 指纹膜依然可以通过验证。这意味着苹果可能并没有升级Touch ID的传感器,在新一代iPhone上,苹果加入了Apple Pay移动支付功能,开放端口后,一些第三方iOS应用也可以通过它打开,这个漏洞的危害性或许比之前更严重。众 所周知每个指纹都是唯一的,因此,即使两个单独指纹的一小部分极为相似,也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹,发生这种情况的可能性为五万分之一。这比典型 4 位密码的一万分之一的猜中几率要好得多。虽然某些密码(如“1234”)可能很容易就被猜出,而指纹方式则根本不存在这种能轻易猜出的可能性。另一方面, 五万分之一的可能性表示需要尝试多达五万次不同的指纹,直到可能无意中找到完全一样的指纹。而 Touch ID 只允许尝试五次指纹,如果都不成功,您必须输入密码,否则不能继续操作。
安全技术专家Bruce Schneier解释说,指纹识别系统出现故障的情况大致可分为两种:一种是错误地让未经认证的人取得访问许可,另一种则是将经过认证的人拒之门外。后者 的情况往往比前者更为糟糕——你将无法打开你自己的手机。在苹果的设计中,很可能将为了照顾后一种情况而适当地允许第一种情况的发生。另外,在寒冷的天气 下或是刚洗完澡时,指纹的识别或许将出现一定的困难,届时苹果或许将提供传统的解锁方案以防万一。
指纹数据库
指纹识别的另一个问题在于存储指纹数据的数据库。假如采用中心数据库的形式,这个大型数据库一旦遭到攻击,将会导致大量数据的泄漏。Bruce Schneier因此推断,苹果肯定会采用本地认证的形式——用户将自己对手机授权,而不是通过网络进行该操作。据 苹果官方介绍,Touch ID 不会储存指纹的任何图像。它只存储指纹的数学表达式。不可能从该数学表达式反推导出实际的指纹图像。iPhone 5s 还包括 A7 芯片内称为“Secure Enclave”的全新高级安全架构,专门开发用于保护密码和指纹数据。指纹数据通过 Secure Enclave 的专用密钥得到加密和保护。指纹数据仅由 Secure Enclave 使用,以验证指纹是否与所注册的指纹数据匹配。Secure Enclave 独立于 A7 的其他部分以及 iOS 的其他部分。因此,指纹数据绝不会由 iOS 或其他 App 访问、绝不会存储到 Apple 服务器,也绝不会备份到 iCloud 或其他任何地方。只有 Touch ID 使用它,并且不能将它用于匹配其他指纹数据库。