(文/ Nalin Asanka)
隨著移動電子設備的普及,我們的電子設備儲存了越來越多的敏感信息,比如個人身份、銀行卡、家庭地址、支付消費習慣等等……為了保護這些信息,蘋果和安卓等設備的作業系統都有安全設置,在授予訪問權限之前進行用戶身份驗證。其中,最常見的安全機制包括指紋登錄,現在已經被廣泛應用在各大手機和各種系統當中。但是,指紋識別,你真的用對了嗎?
"指紋登錄"是一種生物識別技術,2013年由蘋果公司首次推出,名為Touch ID。
Touch ID推出時的想法很簡單:如果有一種更簡單、更快捷的登錄方式,就會鼓勵用戶保留更複雜的密碼,同時也能保留訪問的方便性。其目的是同時提高設備的可用性和安全性。然而,在實際應用中,大多數用戶仍然不知道這個最初的目的。
當iPhone開機後首次解鎖時,系統要求用戶輸入一組六位數字密碼,而非簡單的四位數字密碼。之後就可以用Touch ID解鎖手機,避免多次輸入密碼。但是問題是,用戶也可以選擇使用一組簡單的四位密碼,而不是六位密碼。而研究調查還發現,在Touch ID用戶中,大多數仍然使用弱登錄密碼,即四位數字密碼。對於不使用Touch ID的人來說也是如此。此外,調查中超過30%的參與者不知道他們可以使用字母密碼來代替四位數字密碼。
一些參與者表示,使用四位數字密碼是為了更快地解鎖。大多數人認為Touch ID解鎖更加便捷、快速。同時,並不是所有的人都了解所設的密碼的真實安全性,而只有12%的參與者正確估計了密碼的強度。
在我們使用指紋登錄和其他生物識別系統之前,首先來了解一下它們的工作機制。大多數人們都認為,生物識別的密碼非常安全,因為生物識別數據的存儲方式與密碼的存儲方式不同。一般的密碼存儲在雲端,但指紋數據只存儲在你的設備上。伺服器和應用程式永遠無法訪問你的指紋數據,也無法將其保存在雲端。然而,儘管網絡罪犯很難獲得你的真實指紋數據,生物識別系統並非完全安全。
例如,在2013年,蘋果的Touch ID指紋技術推出僅僅兩天後就遭到了攻擊。之後,許多人使用牙模或橡皮泥成功地通過了Touch ID驗證。同樣,研究表明,即使是2017年的iPhone X的面部識別功能也可能遭到破壞。使用四位密碼備份的Touch ID用戶也有風險。他們很容易受到"肩窺"攻擊,攻擊者只需越過受害者的肩膀就能看到他們輸入的密碼。其他類型的攻擊包括密碼猜測,甚至是熱指紋掃描,使用熱設備來確定螢幕上哪些區域最近被按下,從而推測密碼組合。
一旦指紋等生物特徵數據被盜,它就永遠被盜了。不像密碼可以隨時更改,生物特徵是無法更改的(除非你去整容)。而被盜的生物特徵數據可以被用來在用戶不知情的情況下識別用戶。比如,網絡罪犯通常傾向通過心理遊戲訪問人們的設備,誘使受害者點擊連結或下載附件,最終暴露他們的登錄憑證。在公共場合,罪犯可能會向你借電話。在這種情況下,他們通常很容易通過觀察來竊取你的密碼,而不必真的侵入你的設備。
Touch ID技術的設計初衷是為了提高安全性和可用性,如果人們理解其最初的目的,並設置更加複雜的密碼,就是還可以提高安全係數的。但是往往大多數用戶都會理所當然地認為,有了生物識別技術,就有了更多安全感。他們卻不知道仍然有很多方式可以竊取信息,從而讓網絡罪犯有機可乘。
來源:Nextgov網
文章來源: https://twgreatdaily.com/zh-cn/9Vu25m4BMH2_cNUgnEt5.html