暖心十二月，再送30元優惠券：http://www.qdjpair.com/bulletin/details_11644.html；海外現貨樣品隔天送達：http://www.qdjpair.com/so/DigiKeyProduct.html。

 

指紋、虹膜、人臉、聲紋等生物密碼具有惟一性和不變性，一旦泄露就是終生泄露，不可不察！

互聯網改變了整個世界，移動互聯網地改變了我們的生活，手機的功能正在由通信和社交領域向支付領域延伸，約車、訂餐、購物、轉賬......出門可以忘記帶錢包，但絕不能忘記帶手機。手機越來越重要，隨之而來的是安全問題也就越來越突出。

手機U盾馬上就要推廣了，手機很快就能進行上百萬的資金操作，你的手機是否具有銀行般的安全等級？會不會被騙子冒充身份而取走血汗錢？這些問題你當然要做到心中有數。

安全問題很專業很復雜，真正搞清楚是很難的，不過沒關系，請聽我用通俗的語言從頭說起，我保證說的對，而且您還聽得懂。

1、為啥“認證”不安全？

信息安全可分為“加密”和“認證”兩個方面，加密是把明文變為密文，非法用戶即使得到了密文，他也無法解讀出來。

認證就是鑒別真偽，其中最重要的就是身份鑒別，即核實用戶身份的真實性，這方面的安全性就比加密差得遠了，現在的安全形勢是“加密強、認證弱”，幾乎所有的網絡安全問題和通訊詐騙都源于認證的漏洞。

為什么加密強呢？加密過程是安全設計師與黑客的斗法，為了給黑客增加難度，安全設計師采用了“等效數學難題”的思路，把某個世界性的數學難題編成密碼，除非黑客能解開數學難題，否則就破解不了。黑客哪有這個本事，若有早就去當數學家了，所以說加密強。

為什么認證弱？這是因為在認證過程中增加了用戶因素，與狡猾黑客斗法的不再是安全設計師，而變成你這個用戶了。需要你本人提交一個能證明自己身份的密碼，而你根本就不懂得啥世界性的數學難題啊，更不會用數學難題構建密碼了。

安全專家提醒你要設一個復雜的長密碼啊，但太復雜了你記不住啊，于是就設了個8位的密碼，還很得意的想“這是我生日的倒序，打死他們也猜不到啊~”這就毀了，與生日相關的密碼是極易破解的，黑客們早就猜到了。

現在你看出來了吧，認證弱的核心原因就是用戶自設的身份鑒別密碼強度太低，在證明你是你的方面出現了漏洞。

2、如何證明你是你？

如何證明你是你？這聽起來很好笑，但在信息化時代卻是個很嚴肅的問題，甚至是一個困擾我們每個人的全球性難題。

傳統自證的模式是設密碼，即設定一個只有你自己知道的密碼，并在信息系統中備案，當下次有人向信息系統提交了這個密碼時，信息系統就據此認定此人是你。

這種傳統的認證模式很不人性化，密碼設短了不安全，設長了記不住。通過你會死記硬背一個較長的密碼，在QQ、微博、微信、支付寶、郵箱都用這一個，可一旦有一處泄露了，其它也就都不安全了。

安全專家推薦的做法是：給每一個應用都設置一個很長的隨機密碼，每隔一段時間就逐個更換。但這是很難做到的，很多人的做法是多個應用使用同一個密碼，只要不出事就不換，可真出了事也就晚了，其實我本人也是這樣。

生物密碼與傳統密碼很不一樣，它的位數非常長，而位數是安全的關鍵，這比前面說的八位密碼強健多了，黑客靠猜測試驗的方法是破解不了的，所以有專家稱生物密碼是最安全的密碼。 

生物密碼的另一個好處就是不需要記憶，指紋和虹膜都是隨身攜帶，按一下或看一眼就相當于輸入了一個成千上萬位的密碼。現在已經實用化的生物密碼有四種：指紋、虹膜、人臉、聲紋，未來還可能有腦電波等等。

但你是否考慮過這個問題：傳統密碼可以隨意更換，可生物密碼是跟隨您一輩子的啊，萬一被壞人盜取了你的指紋和虹膜密碼，難道你還能切了手指頭和自戳雙目？

現在的通訊詐騙非常猖獗，公眾信息泄露是重要原因之一，騙子們能準確說出你的個人信息，那是因為你在購房購車、孩子入托入學、訂機票火車票時所提供的個人信息，早已經成為騙子們所收集的詐騙資料，買賣個人信息已經形成了地下產業，一條信息值多少錢都有行情。

傳統的個人信息保衛戰已經失守，但下步的生物密碼你一定要堅守住！騙子們下步收集的就會是指紋，來源就有可能是公司和單位的指紋打卡機，而指紋一旦泄露就是終身泄露，很多人完全沒有意識到這個危險的嚴重性，甚至制作自己的指模交給同事幫忙打卡，這就是把后半生的固定支付密碼交給了他人。 

3、該把生物密碼交給誰？

現在的手機都實名認證了，但實名的只是我們這些遵紀守法的老百姓，騙子們依然藏在暗處，他們通過馬仔高價收購實名卡，雖然詐騙成本提高了些，可他們掌握我們的信息還更準確了呢。

也許你還不知道，誘導貧苦老人實名辦卡后被騙子的馬仔收購，這已經成為了地下的違法行當。保安在營業廳里對著排隊實名辦卡開網銀的老人喊“出售銀行卡是違法行為！”老人才不管這一套，開通網銀的銀行卡500塊一張，馬仔就在門外等著收呢，一上午進三家銀行就凈賺1500，再加上配套實名手機卡價格會更高。 

即使營業員對此心知肚明，那也不能拒絕辦理，因為這是人家的合法權利。而將來的詐騙一旦事敗，公安追到了這些賣卡人，他家徒四壁根本賠不起，即使判了刑，那又有什么意義？

你當然不會為了蠅頭小利而主動出賣個人信息，但會出于對合法商家的信任而提交個人隱私。例如你會在手機上設置指紋密碼用于移動支付，這是個很常見的操作，但這個生物密碼究竟保存在哪里？上傳到了哪個商家的數據庫里？是否已經造成了你的生物密碼的永久性泄露？我估計你肯定不知道，甚至你可能都沒有思考過這件事。

2016年7月18日，大麥網的用戶信息被黑客攻破，不法分子冒充客服準確說出用戶真實信息，騙取信任后實施詐騙，39名用戶被騙147萬元。

此案例給了我們兩個啟示：第一，即使商家是誠信可靠的，也不能放心地把個人隱私交給它。好比是你把寶貝交給了一個信得過的朋友保管，他的確沒想過要昧了你的寶貝，但他家的防盜措施不到位，寶貝被強盜入室搶了，你還能咋辦？第二，傳統密碼可以做到每個商家一個，一旦泄露只在這一家產生損失，但如果是終身不變的生物密碼被這個商家泄露，那損失就是一輩子的事。

前段時間發生了網易郵箱信息泄露事件，很多用戶發現自己的常用密碼已經被公開了，于是紛紛在其它的應用中及時修改。這些暴露出來的泄露還算好的，起碼你可以亡羊補牢，而那些沒有暴露出來的信息泄露呢？

你的個人信息一定在很多網站登記過了，現在我問您一個問題：你能確保個人信息沒有泄露嗎？你當然不能確保，很可能你的常用密碼已經泄露而您并不知情，而你正處于被騙子實施詐騙的準備階段。

所以，我們的原則是：即使對方是你非常信任的商家，它不會利用你的信息牟取非法利益，但這并不代表它能保管好這些信息，不要把個人隱私交給任何商家，特別是具有唯一性和不變性的生物密碼，絕對不要交給任何商家。

重要的事情說三遍：生物密碼一定要掌管在自己手里！生物密碼一定要掌管在自己手里！生物密碼一定要掌管在自己手里！

4、現在的生物密碼安全嗎？

現在的指紋支付已成普遍應用，但你知道你的指紋信息到底放在了哪里嗎？這是個重大而且敏感的問題。

開辦互聯網金融業務的商家希望自己保存用戶的指紋信息，對于開展后續的擴展應用非常有好處，例如這家公司推廣一個特別能吸金的手游，而麻煩的注冊過程擋住了一些沒耐心的潛在用戶。而如果這家公司掌握了你的指紋密碼，注冊和支付就是“一觸式”的，開展吸金新項目這么方便，替公司想想就感到很興奮呢。

例如有家名為購買寶（本文虛構的商家，旨在說明道理，不指代任何公司）的公司開展了指紋支付的網購業務，然后跟各家手機商進行談判，要求手機商把用戶的指紋密碼直接給它，由它進行備案和后續支付時的比對。

這時，不同手機商家的應對方式就不同了，有的手機廠家圖省事就答應了，凡是使用這家手機的用戶指紋就被送到了購買寶那里。有的手機廠家拒絕向購買寶提交用戶指紋，而是把用戶指紋封鎖在手機芯片中，備案和后續的比對都在芯片中進行，然后只給購買寶傳送一個比對后的YES或NO的信息。

當然是后一種廠家更有節操，但你知道你的手機廠家是咋做的嗎？是屬于沒節操還是有節操的？我估計你不知道。公眾對生物密碼的重要性太無知了，這也正是這篇科普要解決的認識問題。

指紋、虹膜、人臉、聲紋這些生物信息難以復制，例如刻意模仿一個人的話音，外人聽起來已經很像了，但精細的頻譜分析也可以找出明顯的差別。但是，無論這些生物信息如何難以模仿，但一旦經過采樣數字化后，就變成了一長串“1”“0”序列，而這串序列是極易復制的。

因為“生物特征難模仿易復制”這個特點，手機通過傳感器采集生物特征并編碼成生物密碼，這種過程應該在一個黑盒子中封閉處理，以防止被木馬程序劫持。這就是對生物密碼處理的 “雙系統原則”。即生物密碼信息的采集處理與存儲都不通過安卓系統，而是在一個獨立的SE芯片中進行，這就是蘋果和高通芯片的常規做法。

所有的密碼處理都在SE芯片中處理，這雖然滿足了一般性的安全要求，但其實還存在著重大隱患。為什么這樣說呢？不妨設想一個場景，你把現金和珠寶都放在了家里的保險柜時，自以為這樣就安全了。而當賊入室盜竊時，他一眼就能看到保險柜，這等于告訴賊財產就在這里，能不能拿走就看你的本事了。 

獨立SE芯片也是同理，秘密都在這個顯眼的黑盒子里，等于給了黑客一個明確的指示，直接對它下手就有可能破解成功。這種架構違反了一條重要的信息安全理論，那就是秘密信息的載體沒有隱藏。

你可能會覺得破解芯片太難了，哪個笨賊會花費這么大的成本？奧老師你危言聳聽了吧？我并沒有危言聳聽，而是你不了解技術現狀。例如在無所不能的深圳華強北，拆卸處理手機芯片早已經是個低科技含量的灰色業務。

同樣是iPhone6手機，內存128G的高配版比16G的低配版貴1000多塊，你拿16G的低配版手機找到店鋪老板，他幾分鐘就能給你換個128G的內存，這項服務只需要300塊錢，而且老板會很貼心地把舊內存還給你，囑咐你這里有隱私，請自行銷毀。 

當前多數手機都采用類似的獨立SE芯片，對密碼進行封閉性黑盒處理是對的，但獨立結構卻是個安全漏洞，給不法分子下手破解提供了可能。

即使不盜取其中的密碼信息，只是把它拆下來，再換上個空的SE芯片，就相當于你取消了指紋或虹膜密碼，不法分子就可以進入到你的手機系統。這就好比是防盜門廠家宣傳自家的高級鎖根本無法盜配鑰匙，但人家小偷不走盜配鑰匙的路子，而是咔嚓一下把鎖芯換了，你的鑰匙再精密復雜也根本沒起到作用。

7、結束語

現在已經得到應用的生物密碼有四種，分別是指紋、虹膜、人臉和聲紋。生物密碼的加密強度大且不必記憶，已經得到了廣泛地應用，甚至會成為未來移動支付的主要認證模式。

生物密碼具有唯一性和不可變更性，要堅持“生物密碼必須掌握在自己手里”的原則，不能出于對商家的信任就假手于人，因為一旦泄露就是終身泄露，后果會非常嚴重。