※ 引述《dharma (達)》之銘言:
: 輸入數字文字密碼
: 輸入滑動密碼
: ...
: 這些和輸入指紋
: 感覺上沒什麼差別啊
: 如果駭客可以截取文字、滑動...
: 同樣也可以截取指紋
: 為什麼指紋有比較安全?
: thank
其實密碼這東西就跟防毒很像,你要最嚴密的防護,你就要忍受防護
帶來的不便. 同樣的,你要使用很方便,你就要忍受防護能力不足.這
兩者本質上是衝突的.但是隨著科技的發展,防護力會慢慢增高,不便
性會慢慢降低.最後會達到一個親密點.
現在來比較一下,密碼跟指紋的差別.
以密碼來說,一般的鍵盤考慮a-z,A-Z跟0-9,如果再加上10個特殊字元,
每輸入一位數字,密碼的複雜度就會增加72倍.假設你有六位密碼,你的
密碼的可能性就會是72的6次方.
那指紋呢,指紋比較難說,因為不同的機器採樣的模式不同.我們考慮到
一般的電腦或手機上面設計的指紋採樣不可能很精密. 所以我們假設一
個最簡單的模型.
假設指紋的感應介面被畫成一個10x10的網格(越精密的掃描,當然可以畫
更細的網格),當我們的手貼上去的時候,指紋辨識機會掃描其中10個特徵
點(轉折,漩渦...等),然後把這10個特徵點在網格上的座標記錄下來.
(真實的系統,它們是去紀錄這十個點的相對距離跟角度)
如果是這樣的話,一根手指就會定義出10組(x,y),每個x,y可以從1~10.所
以一根手指就給出了10的20次方種組合.
如果換算成鍵盤密碼的話,相當於你要10~11位密碼才可以達到一根手指給
出的安全性.如果是指紋辨識的精密度更高的話,這數字會差更大!
那方便性呢? 現在一根手指的指紋辨識大概可以在1秒完成.如果我們用10
位數的密碼取代,以按一個碼需要0.5秒計算,10位數需要5秒鐘才可以完成!
1sec VS 5sec
所以說指紋密碼的加密性跟方便度都大大的超過了鍵盤.而且最重要的是,
這組密碼你並不需要記! 因此以密碼學的觀點來看,指紋辨識可以說同時兼
具了高加密性跟高方便度.似乎無懈可擊!
但確實如此嗎? No!
指紋辨識同時也具有一個不可不迴避的問題:不能改!
如同臉部辨識,虹膜辨識,DNA辨識,或者各式各樣的生物辨識都是.它們都是
生物與生俱來的特性.跟你一生,改也改不掉.換言之,一旦被破解終生都作廢!
所以說一旦你的手機或電腦上的指紋資料被偷走了.你的指紋密碼將永遠被破
解!之前看到有朋友把10支手指頭的資料都設給了iPhone,坦白說我還真有一
點擔心.
另一個問題是,安全防護是有邊界效應的. 比如說防毒軟體,都不裝,也許40分,
裝一套,可能就到80分了,如果再加個防火牆,可能到90分了.但是再加個HIPS,
可能也只能提高到95分.安全防護也是.當你的密碼設到4,5位時(例如手機),如
果再搭配試錯三次鎖機這類功能,其實要靠破解已經很困難了,除非是受過專業
訓練的高手,否則大概90%的危險都擋掉了.再更多位,其實意義不大了.所以指紋
辨識雖然可以一隻手指就可以直接給你高達10位密碼的效果,但其實在第四位以
後那些密碼對安全性的貢獻,可能只是增加2,3分的效果.
所以現實生活中,我們如果我們以4位密碼來講,其實大概也就兩秒,如果再適當
搭配其他的規則,例如三次鎖機,例如選取識別圖片之類的功能,其實方便性來說
並沒有和指紋辨識相差這麼大了.
如果以這種觀點來比較,指紋辨識真正突出的優點就只剩下一個了:
不用記密碼!
但是反過來說,你接受你的銀行帳戶密碼永遠不能改嗎? 以及密碼被盜後終生
失效的風險嗎?
這是個見仁見智的問題. 大家答案都不同,就給各位自己思考了!