指紋，是表皮上突起的紋線。雖然指紋人人皆有，但各不相同。伸出手，仔細觀察，就可以發(fā)現(xiàn)小小的指紋也分好幾種類型。據(jù)說還沒有發(fā)現(xiàn)兩個指紋完全相同的人，所以指紋聽起來顯得十分獨一無二。生物認證的方式已經(jīng)成為移動設備上越來越流行的配置，自蘋果iPhone 5s推出指紋識別功能之后，指紋識別逐漸先后在手機、平板等移動設備上風靡起來，隨著生物認證的方式多樣化和發(fā)展，近年來的眼紋識別、虹膜識別、聲紋識別等陸續(xù)出現(xiàn)。這種便捷安全的方式已經(jīng)逐漸取代密碼和PIN碼，我們當初都認為指紋是獨一無二的，而且認為它比密碼要更安全，從這一個角度來看確實是這樣。

　　得益于Apple的品牌影響力，蘋果Touch ID的出現(xiàn)算得上是真正引領了智能手機的指紋識別潮流。蘋果的指紋識別技術是依靠Home鍵按壓來實現(xiàn)，在這個設計基礎上實現(xiàn)起來會容易很多。相比較而言，安卓手機由于普遍采用了電容觸控按鍵設計，因此重新設計Home鍵并加入指紋功能的難度并不小。

　　而且早在2016年的世界移動通訊大會上，Vkansee成功演示了如何用假指紋解鎖iPhone 6/6 Plus，而美國密歇根州立大學使用指紋的照片，通過特殊的墨水打印出的模型就能輕松解鎖手機。在生活中，手機丟失以后，小偷和技術人員會有很多方式繞過指紋系統(tǒng)，直接讀取手機中的重要數(shù)據(jù)。

　　手機指紋識別并非完美

　　盡管手機指紋識別技術已經(jīng)成為了潮流，但事實上手機廠商所采用的的指紋傳感器也仍然具備優(yōu)化空間，總結來看主要存在三點不足：

　　一、圖片匹配算法

　　目前手機廠商所采用的指紋識別技術有些是基于指紋圖片匹配計算得出，并非是真正的生物識別算法技術，而圖片匹配軟件的相似度帶來的隱患就是識別精準度出現(xiàn)偏差，如果未來全面普及生物算法識別的話，那么會具備更高的唯一性。

　　二、識別體驗效果

　　因為一些算法的原因，這也讓一些智能手機在指紋錄入或識別時存在體驗糟糕的情況，比如當你用拇指邊緣進行識別或者方向偏差較大時出現(xiàn)識別失敗的現(xiàn)象。如果在長期使用iPhone 5s的Touch ID時發(fā)現(xiàn)只要手指或者Home鍵上存在潮濕或是有灰塵，識別的效果會大打折扣，但定期清理后效果能好很多。

　　三、功能應用場景

　　現(xiàn)階段指紋識別能實現(xiàn)的應用并不算多，多數(shù)人頂多也就是拿指紋功能來實現(xiàn)解鎖或是免去輸入下載應用時的賬號密碼。在微信等支付上，指紋識別也可以快速替代傳統(tǒng)輸入密碼的方式。不過考慮到Apple Pay、Android Pay都還沒有在國內(nèi)普及，因此移動支付與指紋識別的結合還有很長的磨合期。

　　另一方面，攜帶指紋功能的Home鍵也應該被賦予更多功能，例如滑動操作、啟動拍照、開啟應用，通過長按或雙擊實現(xiàn)某種功能等等，現(xiàn)階段我們看到了一些廠商的新玩法，比如魅族的mBack按鍵。

　　盡管各類生物認證方式有著較高的安全等級，可是我們現(xiàn)實中確實出現(xiàn)了破解和偽造指紋的事情。當我們還想著各種辦法以防自己的指紋被暴露的時候，殊不知我們的指紋信息或許已經(jīng)偷偷從我們的PC上流出了。

　　傳統(tǒng)密碼和生物認證的博弈

　　很多人認為傳統(tǒng)的密碼要比指紋識別的安全級別低，實際這并完全準確。根據(jù)一項調(diào)查顯示，世界上最常用的10組密碼里面，“123456”和“1234567890”是排在前兩位，前者有17%的用戶都采用。顯然這是應對不易記憶和不方便而采取的方式，很多人很難記得復雜繁瑣的密碼，設置簡單的密碼也大大降低傳統(tǒng)密碼的安全性。

　　選擇順序密碼的不少數(shù)

　　生物認證方式要比傳統(tǒng)密碼在便捷性要更強，同時通過其他技術優(yōu)勢增強移動設備的安全性，可是其依然能夠被破解。比如照片可以破解面部識別；錄音可以破解語音識別；甚至是手指都能被偽造。實際傳統(tǒng)密碼在安全性上并不差，只是需要你設置密碼的時候用足夠長的位數(shù)，還需要字母數(shù)字大小寫混用，當然這是十分不方便的，因此指紋識別等生物認證方式逐漸取代他們成為主流。

　　指紋識別的防守戰(zhàn)

　　我們以指紋識別為例，相信能屢屢能聽到或了解到一些指紋識別的破解案例。同時隨著3D打印機的普及，偽造指紋變得更為簡單快捷。因此各家手機終端廠家都在指紋識別模塊中做功夫，如通過開啟指紋信息本地存儲、添加獨立的指紋信息安全區(qū)域、活體指紋識別技術等等。

　　要想令指紋識別方便之余還能夠保證安全，那就要從指紋信息泄露、盜取、偽造這三個方面防護。而今天的主題主要說的是指紋信息源的泄露盜取這一方面。

　　通過PC筆記本盜取指紋信息

　　這里說的指紋信息泄露盜取并不是如我們電影電視劇那般，例如你接觸物體的物理指紋等，要想完整套取這些指紋信息所花費的成本和時間是巨大的，一般情況下這些均是針對犯罪等重大的事件。此外帶有指向性的指紋獲取不常見的，例如有陌生人讓你在一些指紋模塊上留下指紋，通過我們自我判斷一般是很難通過這些方法盜取我們的指紋信息。

　　那還有什么途徑呢？有人說從用戶的手機上通過黑客軟件應用獲取，可是現(xiàn)在人們都是手機不離身，基本沒可能讓我們手機長時間離開我們，因此這種方式的難度也很大。除了手機，我們還忽略了我們自身最重要的個人設備，那就是PC電腦。

　　PC設備指紋安全堪憂？

　　可能很多人都忽略PC的指紋信息保護，實際上現(xiàn)在筆記本廠商所選擇的的指紋傳感器會讓你的指紋信息很容易被暴露。目前筆記本PC市場上有主要有兩種指紋識別傳感器，一種是有加密的功能，另一種是沒有通過加密。如果是采用沒有加密的指紋傳感器，你的指紋信息和指紋圖像就非常容易被盜取。

　　PC筆記本開始配置加密指紋識別模塊

　　為什么筆記本廠商選擇沒有加密的傳感器？一方面是由于成本問題，雖然現(xiàn)在有加密功能和沒有加密的指紋傳感器在成本上只差3-5美金左右，但是對于出貨量比較多的PC筆記本設備來說，這一筆成本還是挺巨大的。另一方面很多PC筆記本廠商會直接采用手機的指紋識別傳感器，因為手機擁有一些獨特的構造，如防水防塵，不易被拆解，而PC沒有，所以手機廠商優(yōu)先考慮的也是成本問題。

　　與電腦不同，手機幾乎在任何時候都是不離身的。手機可以依靠物理上的安全來確保傳感器的安全。但筆記本電腦卻不同，它通常都會被放在家里的桌子上、汽車里、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內(nèi)就輕松訪問電腦內(nèi)的文件。正由于安全和使用模式的不同，手機的指紋識別傳感器組件是并不適合應用在PC上的。

　　當然手機指紋破解的情況依然很多，可是綜合來說破解PC要比破解手機容易更多。如果PC采用沒有加密、部分加密或者采用亂序的指紋傳感器，那就很容易被從系統(tǒng)中盜取相關指紋信息。

　　10分鐘盜取偽造指紋解鎖手機

　　在臺北電腦展期間，Synaptics演示相關的PC安全隱患，并用于偽造指紋信息輕松解鎖手機。在開始這個演示之前，筆者在他們提供的筆記本的指紋識別模塊上錄入指紋信息，隨后在進行PPT講解原理的幾分鐘內(nèi)，他成功通過獲取的指紋信息打印了筆者的指紋信息，并且通過打印的指紋信息能夠非常容易解鎖筆者的iPhone和另一部安卓手機。這一個過程前后還不超過10分鐘，筆者也深深倒吸一口氣。

　　盜取并打印的指紋信息，可用其輕松解鎖iPhone（指紋信息作防盜竊處理）

　　據(jù)Synaptics的技術人員講解，筆者剛才輸入指紋信息的筆記本上指紋傳感器是沒有經(jīng)過加密，通過內(nèi)置的黑客軟件應用，黑客電腦能通過無線輕松從被盜電腦上獲取未加密的指紋信息，然后黑客電腦就擁有那位用戶的指紋信息，其可以是指紋識別特征或者指紋圖像。

　　黑客擁有這些指紋信息之后，他可以執(zhí)行兩種操作。第一種便是通過一個叫Replay Attack的東西，把指紋數(shù)據(jù)信息重新傳送到被盜的電腦，遠程操作解鎖電腦，隨時黑進你的電腦。這是一個很可怕的事情，黑客擁有被盜電腦的管理員權限，除了可以盜取被盜電腦的各種機密資料之外，還能夠通過網(wǎng)線等方式解鎖電腦，獲得企業(yè)網(wǎng)絡服務的訪問權限，甚至還可以發(fā)出網(wǎng)絡攻擊，控制電源電路，令其盜竊痕跡隱藏起來。

　　第二種操作便是偽造假的指紋，這也是最常見的做法。有了假指紋，不僅能解鎖你的手機，還能解鎖的PC筆記本，所有個人資料無所遁形。對于個人用戶來說，假指紋對移動支付危害甚大，而對于企業(yè)用戶來說，公司的機密資料和信息都容易被泄露。

　　指紋信息泄露危害

　　有趣的是，雖然Synaptics從公司帶來了打印機，可是遭遇了一些意外損壞了，他們就在當?shù)氐碾娔X市場購買了一部大約150美元的打印機，同時在當?shù)氐暮牟氖袌鲑徺I了導電墨水，依舊能把指紋順利打印制作出來，這向我們說明了，只要擁有指紋信息，制作假指紋現(xiàn)在會顯得很簡單和方便。

　　端到端的指紋加密操作

　　面對這個薄弱的環(huán)節(jié)，這就要求我們的筆記本廠商使用有加密的指紋傳感器。在這一領域，Synaptics是指紋解決方案的提供商，PC上的指紋識別模塊份額更是達到70%以上。2017年年初的時候，Synaptics開始在集成的PC解決方案中，將端到端安全（SecureLink和PurePrint）部署為默認配置，簡單來說便是默認為筆記本廠商客戶提供具有加密功能的指紋識別技術方案。

　　SentryPoint整套方案

　　實際Synaptics多年前已經(jīng)開始出貨加密功能的傳感器，而且推出了一整套名為SentryPoint的安全套件，能夠為指紋識別傳感器提供安全保護。這套安全方案能在指紋傳感器和電腦之間的傳輸線路進行加密，確保不被竊取。

　　可是還有一種情況是比較尷尬的，雖然PC筆記本使用了未被加密手機指紋傳感器，可是這套指紋方案最初設計是用于手機上，把它移植到PC筆記本后，因為針腳不兼容等問題，所以需要通過一個名為MCU的微控制器進行連接。種情況下，即使從微控制器到主機的鏈路是加密的，也不安全，因為加密的安全性將取決于鏈路最薄弱的環(huán)節(jié)。傳感器到MCU這一鏈路進行加密了，可是MCU到電腦主機這一鏈路卻并未加密。

　　端到端的保護方案

　　從傳感器到主機的加密是需要全方位的，不能出現(xiàn)一絲漏洞，而Synaptics的指紋技術方案已經(jīng)能做到。

　　全方位的加密方案

　　Synaptics的這套端到端的SentryPoint安全套件，基礎是SecureLink，它是通過強大的TLS 1.2加密和AES-256位高級加密提供聰傳感器到電腦主機的加密保護。這兩個加密的算法是目前最高階的，據(jù)Synaptics的人員介紹，要想解開TLS 1.2和AES-256加密數(shù)據(jù)，一般的家用電腦基本做不到（時間很長很長很長），而采用國家級的超級電腦（如天河之類的超級計算機）也要花費較長的時間，后者對于一般用戶來說基本是不可觸及。因此其加密堅固的程度是足夠的。

　　指紋傳感器與電腦主機通信需要加密

　　此外這套方案里面還包含了PurePrint，可以區(qū)分識別真假手指，也就是識別假的指紋。這一個模塊是在軟件架構里面，可以通過OTA不斷升級更新，應對新的威脅，有一點像我們使用的殺毒軟件更新特征庫。

　　指紋信息時刻在加密狀態(tài)

　　當然如果這些都不能滿足安全要求，Synaptics還有終極大招，那便是Match-in-Sensor傳感器匹配方案。這個方案里面，指紋模板只在傳感器內(nèi)進行匹配，并不會把相關的判斷數(shù)據(jù)與主機進行通信，所有信息加上匹配判斷都在指紋傳感器內(nèi)部完成，它只會把判斷的結果傳送至主機，可以是“0”和“1”等等的簡數(shù)據(jù)，并不會有任何指紋的信息。

　　利用這一架構，操作系統(tǒng)將不會再成為被攻擊的途徑，因為這里面已經(jīng)切斷了多個鏈路數(shù)據(jù)傳輸。通過Match-in-Sensor方案，所有的生物識別操作在指紋傳感器上操作，敏感的數(shù)據(jù)不會離開芯片，同時只會把簡單的判斷數(shù)據(jù)通過SecureLink與主機相連。

　　指紋信息泄露源頭遏制

　　在出現(xiàn)最多的破解指紋識別的案例中，基本都是采用物理破解制作假手指的方式。不過這種物理破解基本只限定于一個目標用戶或設備，對于黑客來說吸引比較小，因為其花費大的成本不能獲得對等的利益。黑客往往瞄準的是具有聯(lián)網(wǎng)功能的企業(yè)用戶機密信息，而這部分的安全往往是由未加密的指紋識別信息所保護，因此這十分需要引起我們的關注。

　　假指紋可以通過各種材質(zhì)得到

　　現(xiàn)在的指紋放偽造技術基本把重點放在判斷那一步，如加入各種防范欺騙技術。Synaptics人機界面系統(tǒng)部門產(chǎn)品營銷副總裁的市場總監(jiān)Godfrey Cheng指出，“指紋識別的設計需要考慮成本、防偽造效果和用戶體驗。”產(chǎn)品設計初期，指紋設計不但能獲得安全的保障，還需要兼顧良好的用戶體驗，誰也不想用指紋識別的時候，出現(xiàn)按了幾次都不能解鎖的窘?jīng)r。“防欺騙技術是可以達到100%有效性的。無論假的指紋質(zhì)量有多高，都不能通過識別。但這對于移動設備來說，成本會非常昂貴，而且會帶來很高的功耗”，一般的產(chǎn)品并不會采用這種方案。

　　現(xiàn)在我們手機有很多防偽造的技術，活體指紋檢測就是最近熱門的。意外的是，在Synaptics的現(xiàn)場演示中，筆者利用打印的導電指紋信息紙片可以輕松解鎖iPhone，可是對于手上的一部安卓手機不可行，查看后才知道這部安卓手機應用了活體指紋檢測技術，這個指紋傳感器能夠檢測更多的信息，如脈搏、溫度和電容。不過隨后Synaptics的人員拿出了另外一種特殊的物質(zhì)，把我們的指紋印上后便可以順利解鎖。

　　關于活體檢測，Synaptics表示“檢測出指紋假體并拒絕假體通過識別設計到諸多因素，而指紋活性只是其中一個因素。我們的防假指紋技術不依賴于光電二極管和傳感器，因為他們會被假指紋騙過，這一點已經(jīng)有演示過了。我們相信防假指紋最好的方法是采用機器學習。通過使用機器學習，我們的Quantum Matcher通過不斷學習真手指和假指紋之間的區(qū)別，可以持續(xù)演進。而且通過我們的PurePrint?技術，我們可以持續(xù)訓練我們的匹配器識別最新的假體指紋材料。”

　　Synaptics擁有這幾大指紋安全防護技術

　　“Synaptics是這一領域的專家，防欺騙技術可以是100%，可是破解指紋識別也可以是100%”，這意味著指紋識別的攻防會一直存在，你有更新的防護技術，逐漸地也會針對這個開發(fā)出破解的方法，便好像電腦病毒防護一般。Synaptics的技術人員還是建議，從源頭上防止指紋信息的泄露更加重要，因為黑客沒有你任何的指紋圖像或特征碼，他將不能進行任何的操作。

　　安全的權重應該要高于方便

　　安全這東西平日大家都不怎么關注，只有當真是發(fā)生了一些事故才會引起大家的重視。生物認證方式給我們提供了更加便捷方便的體驗，雖然各類指紋被破解的新聞是屢屢出現(xiàn)，但是我們已經(jīng)越來越依賴指紋等各類識別登錄賬戶和移動支付等，倒退回去使用傳統(tǒng)的密碼是不可能了。

　　生物認證技術發(fā)展的同時，用以破解移動設備傳感器的偽造生物特征圖像的能力也變得更強了。為了減少安全風險，現(xiàn)在越來越多的廠商都開始采用加密的指紋識別傳感器，同時把防假指紋的技術融入到設備當中，而Synaptics的SecntryPoint方案獲得不少的應用。

　　對于用戶來說，同樣也需要對自己日常使用指紋等各類生物識別的習慣進行修正，例如針對不同賬戶或者不一樣的用途（移動支付、登錄賬戶）采用不同指紋信息，盡量把危險降低。