如果要罗列今年可能会被重度加码的一项手机新配置的话,那么指纹识别一定排在最前列的方队。细数起来,目前包括摩托罗拉、苹果、HTC、三星,以及国产中的华为、vivo、魅族、OPPO等都推出了指纹识别技术的手机,而除了一些后来厂商将继续加码这一技术之外,指纹识别也有着向中低端机型蔓延的趋势。
值得注意的是,就在昨天,小米被曝在国家知识产权局网站上公布了指纹识别设计方案,而且还申请了专利。
但早在iPhone 5s的Touch ID引发了Android厂商的跟风后,就有人提出了这样的问题——Android上的指纹识别有没有意义?这听上去是一个容易拉仇恨的问题,难道Android用户就不是人了吗?甚至包括厂商都不得不为之付出更多的口水来说明和解释,但归结起来,还是Android系统一贯以来较低的安全性所导致的,再经由指纹识别这么一个敏感的事物给放大,就变成了一个严峻的大问题。
不给力的是,最具代表性的Android厂商三星在最近就恰好提供了一个反面教材,美国安全企业FireEye宣布三星旗下上一代旗舰S5上的指纹识别模块存在漏洞,甚至已经有人可以通过破解使用Paypal实现转账付款。而企业同时还指出,基于Android 4.4的三星S5并不是个案——于是,又有人开始讨论起了Android手机的指纹识别无用论。可事实真的如此吗?
指纹识别安全很重要,但应该从多维度考虑它
虽然手机以不同系统和不同配置的区分,已经被打散成了一个庞大的树状图,但在指纹识别的实现上,基本方式都是硬件基于ARM TrustZone技术,再加上软件加密的方案。前者简单来说就是ARM为了保护指纹、密码信息所构建的一个安全体系,是一个独立于SoC和所有软件的隔离区的自主体系。包括iPhone上的Secure Enclave模块和华为Mate 7的指纹模块都是基于这一技术。
至于软件方面,厂商会采用不同的算法对指纹信息进行加密,例如魅族MX4 Pro采用的是AES 128多重加密算法,不过值得一提的是,使用三星处理器的MX4 Pro显然不如华为和苹果使用自家或定制处理器的模式安全,前者已经被曝出只要通过刷机双清的方法就可以彻底删除指纹识别——而这一点也是决定指纹识别安全性高低的参考值之一,毕竟只有达到硬件级别的指纹识别激活、处理和保密,才能算是相对安全的,除此之外,指纹照片也必须确保存储安全,比如云端存储就可能产生被盗用的风险。
而Android设备的Root(以及iOS设备的越狱),都有可能徒增这种风险——但即便如此,也不能说明指纹识别就是没有意义的,毕竟除了你的智能手机之外,世界上很多机密要地,也仍然采用的是指纹识别的方案,只不过它们通常由许多种安全措施配合在一起,使得总体的安全度提升到了很高而已——直白点说,世界上就没有什么完美的安全措施,而指纹识别在当下也拥有着绝对的无可替代性。
更别说,运用人体的一些生物体征进行加密的方式本身就是未来保护个人信息安全的一个主流趋势,指纹识别在一定程度上是践行这种趋势的先行者,从这个角度上看,它不应该被过于排斥。
想要推动行业发展,就离不开Android这块大蛋糕
虽然早在智能手机初期,摩托罗拉就推出了具备指纹识别模块的Atrix 4G,但其真正被带火也不过就是前年iPhone 5s发布之后,但由于苹果使用的是它收购来的行业顶级企业AuthenTec家的技术,因此曾搞得一时间Android厂商都找不到能够媲美前者按压式的指纹解锁方案商,只好大量使用滑擦式的指纹识别模块,并且由于后者技术方面的问题导致模块的体积通常都很大,无法安放在正面,于是前年包括去年上半年的多数指纹识别手机,都尴尬的采用了背部划擦式的指纹识别方案。
但不论怎么说,行业是被激活了,指纹识别模块厂商参与不了苹果的市场也没关系,占据了80%多的Android用户在翘首以盼呢,于是包括收购了Validity的美国Synaptics、瑞典FPC、挪威的IDEX、韩国的CrucialTec、国内的汇顶、思立微等等,都纷纷秣兵厉马,多家目前已经开发出了正面的电容按压式指纹识别,并被应用于诸如三星S6、魅族MX4 Pro等机型上。
而在今年,指纹识别技术还将迎来新一轮爆发——从某种程度上它和许多之前的技术一样,都是被iPhone带火,然后借由Android发扬给全世界的。
但要清楚,指纹识别只防君子而不防小人
说白了,无论是一把五金锁,还是家用防盗门,抑或是金库安全体系甚至是盗墓小说里的各种机关,都是防君子而防不了小人的,指纹识别等各种科技安全手段从本质上来说,也亦如是。
而且对于大部分人来说,他们需要指纹识别,不仅仅是为了移动支付而已,排在更前面的需求一般是指纹识别带来的解锁和验证体验,其次是它给用户保护个人信息安全的一种信心,最后可能才是移动支付。
而Android手机是否可以做到足够安全?当然是可以的,指纹识别只是其中一道程序,介于手机不加密这种方便但不安全,以及加密了安全但不方便的中间值。而它对于安全的意义,并不在于它是全能且一定安全的,而在于它拉高了窃密和破解的成本,让用户不变的信息价值由于破解成本提升了而变得不再“实惠”——这才是指纹识别在“安全”上的普适意义。
当然,随着移动支付的发展,对于指纹识别以及其他人体生物识别,行业应该有所联合,政府也应该出台相关措施,以法律规范的形式来保护指纹识别技术的发展,毕竟这正好也是个促进公民信息安全和普及相关知识的好契机,而这样的保护,也才是真正有意义的。