指纹识别到底有多么不安全？

本人的 6s ，闲来无事，偶然中发现，我把四个手指的指纹录到一个指纹解锁里面，经验证发现，我的四个手指都可以成功解锁.......

这么一来，似乎我们认为很是牛掰的指纹解锁，当遇到某些人的指纹和自己的有部分相同时，是不是同样可以解锁成功？或者说稍微通过些特殊手段仿造一段指纹，我们的安全大门，就被轻易打开了？

Oh, my god!

2016-03-28 17:36:53 +08:00

LZ 学一点儿模式识别的原理就不会问这个问题了。

bingliu221

2016-03-28 18:11:38 +08:00

本来一小块的指纹也不怎么可能跟别人的一样了，一个手指，录取多次，是想要你的一个手指的完整指纹，**方便你这个手指各个方向各个姿势都能解锁**，你硬是把四个手指的指纹碎片让 iPhone 认为是一个手指的碎片，这样的话，你解锁的时候，手指贴着 touchID 的位置变化一点（比如你录的是拇指下半部，但你用拇指指尖来解锁），这样应该是解不开的吧。

bingliu221

2016-03-28 18:14:45 +08:00

就好像用相机拍 360 度全景，假设本来是 A1A2A3A4 四个画面刚好可以合成一张全景图，你却用 A1B2C3D4 来让相机合成全景图。那么当你想用 A4 的这个碎片来搜索你之前合成的全景图的时候，你是搜不到 A1B2C3D4 这张奇葩图片的。

Bomok

2016-03-28 18:37:18 +08:00

以后抢劫都可以抄家了，一棒子下去打晕你，拿出你的手机，打开支付宝，指纹解锁转账……
以后绑架也不用等时间了，十个手指头一剁，然后拿着手机跑路……
未来或许还能见到“ XXX 闹事玩手机被歹徒连手一起剁了”之类的新闻……

shyling

2016-03-28 19:10:01 +08:00

@ipconfiger 参考一下 64L

ipconfiger

2016-03-28 19:16:44 +08:00

@shyling 剁手啊?这么暴力的行为, 盗窃多数都不会判刑, 暴力犯罪 10 年起步价, 犯罪成本很高的.
另外, 遇到打劫, 给点钱免灾, 不然伤到性命划不来, 美帝人民这方面经验丰富, 一般都会钱包里放 200 美元, 哪怕到处都用信用卡消费, 就是为了被黑蜀黍打劫的时候保命用.另打劫的有经验的都只要现金, 问你要银行卡密码的, 要刷你支付宝的, 都是脑壳被门夹过的, 这种贼你就把密码给他, 第二天就逮住了, 银行卡支付宝都是有记录的

ShunYea

2016-03-28 19:35:13 +08:00

指纹数据被同步到云端然后泄露怎么办？指纹是唯一的，以后要跟踪这个人很方便了，是不是？

zhjits

2016-03-28 20:36:09 +08:00

“安全”的前提是“正确操作”。
你没有按照正确的使用方法做，然后说它不安全？

soland

2016-03-28 20:50:27 +08:00

@shippo7

指纹相同的概率确实极小，大约 150 亿分之一。果按 10 个指头算， 15 亿人才找一对。

但如果只是指纹片段的话，如果片段足够小，重复率就上来了。

现在的指纹解锁，为了保证成功率和速度，并不是对比整个指纹。

当然，这个安全性还是比 6 位密码要高。

yangqi

2016-03-28 22:12:09 +08:00

楼主想多了，你以为你玩个小把戏就能把指纹给破了？自作聪明

http://www.scientificamerican.com/article/are-ones-fingerprints-sim/

NumberFairy

2016-03-28 22:23:06 +08:00

@soland

说的很有道理，我推测是这样的，为了提高解锁速度，在验证指纹的时候只是比对了一小段指纹片段，所以才出现了这个问题

NumberFairy

2016-03-28 22:26:09 +08:00

@yangqi

^_^^_^^_^^_^^_^

想多了，意外发现罢了，这只能说明在验证指纹的时候比对的是一个小片段罢了。

但又说回来，要是每次解锁都要验证整个指纹，岂不是更耽误事

^_^^_^^_^^_^

NumberFairy

2016-03-28 22:27:42 +08:00

@ShunYea

这个还不清楚，我们的指纹数据在云上有备份？

mintist

2016-03-28 22:40:23 +08:00

@NumberFairy 都是保存在本地的一块特殊的硬件块的，如 ARM 的 Trust Zone ，然后 Android 里有第三方叫做 TEE 或者 Q-SEE 的操作系统来接管指纹数据从 SPI 读取到存储到匹配的整个生命周期， Android 或者 Linux 都是接触不到的。
当然，苹果也有自己的一套机制来保证应用是拿不到指纹数据的，只会开放很小的一部分 API 给到开发者。

shippo7

2016-03-28 23:01:46 +08:00

@soland

就算世界某个角落有与你完全相同指纹片段的人存在，也没有渠道知道是谁，所以这种风险可以被忽略。捡到我手机并且恰好指纹片段和我一样的几率就更小了。概率甚至小于我设置一个复杂密码，捡到我手机的人恰好随手输入了相同复杂密码的概率。

密码可以猜解，可以暴力破解，但是指纹无法暴力破解。唯一的办法是获取你的指纹然后复制，但是犯罪成本太高，超出了个人用户所需要的安全级别。

crazylinus

2016-03-28 23:13:11 +08:00

我做过指纹锁的项目，目前指纹模块一个最重要的参数就是识假率，这个是有国家标准的，好像是百分之 0.001 ，也就是十万分之一的概率。指纹头现在主要有两类，光学头和半导体头，前者很容易被倒模，淘宝几块钱那种指纹套一般就是针对光学头的，半导体头的倒模难度要大得多，但也并非不能做出来。虽然有被倒模风险，但我认为不能因此就说它不安全，因为你手指被别人偷偷倒模，和你大门钥匙被别人偷了然后重新配一把是一个道理。

actuallymax

2016-03-28 23:28:19 +08:00

你觉得指纹重复的概率和密码重复的概率哪个大，月经贴

soland

2016-03-29 00:44:48 +08:00

@shippo7

风险不是“捡到我手机并且恰好指纹片段和我一样”，而是捡到偷到的手机表面几乎必然留有指纹（不完整但足以解锁）

当然倒模的成本很高，但在现在手机绑定信用卡等情况下，很难说犯罪成本高到了超出收益。

@crazylinus

十万分之一就 5 位数字密码的程度啊？

Halry

2016-03-29 08:53:31 +08:00

@mcone 不是的，你按下后就已经获取了一个完整的指纹，不然怎么会识别那么快
我说的仅测试在 fpc1020 电容式指纹感应器和 authentec 的刮擦拭指纹感应器和 synapticz 刮擦拭指纹感应器

Halry

2016-03-29 08:57:23 +08:00

@AndyCrz android 旧版本支持眨眼解锁，识别率比较低（可能眼小），不知道为什么新版的取消了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266753

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.