全文共 7600 字,请仔细阅读
随着时代的变化,技术也会变得越来越普及。很有可能我们当中的许多人认为我们的设备也会变得越来越安全。
毕竟,我们不断购买最新的移动设备,接收软件或系统更新。据官方称这些软件更新修补漏洞,就如同将堵塞在泄漏水滴的水龙头一样,漏洞也会不断被堵住。
你不知道的是,有时候我们的设备会比以前更加脆弱。我们可能寄希望网络安全将够随着技术的进步而变得更加强大。但不可避免的是,很可能黑客会越来越容易地利用你手中的移动设备不可避免的安全漏洞来进行攻击。
比如说今年 9 月 Apple 发布了 iPhone X,而昨天很多人已经拿到这款十周年纪念版产品了,该机用到了 Face ID 技术,中文称之为脸部识别技术,到底有多么厉害竟然可以让库克放弃使用近五年的 Touch ID 技术呢?我们在下面文字中为你详细讲讲。
无论您是否关心移动安全的细节,您可能关心您的隐私,可以尝试阅读下面的这篇文章,主要讨论手机解锁认证的真正方法是什么?
生物识别和非生物识别:有什么区别?
根据定义,生物特征识别是指生物数据,
是指通过计算机利用人体所固有的生理特征(指纹、虹膜、面相、DNA等)或行为特征(步态、击键习惯等)来进行个人身份鉴定的技术。
简单来说是指纹或与遗传数据一样的东西。当您通过生物特征在移动设备上被识别时,这个生物特征就是您的密码。
生物特征数据可以包括指纹,脸部或虹膜扫描,而非生物识别安全性包括密码,PIN 码或图案模式。
对于智能手机,它的工作原理如下:
当您设置生物识别安全性时,首先要提供一个数字化的生物样本,并将其作为只读信息存储在设备上。然后可能已经猜到,它以只读方式存储,因此可以防止信息被修改或泄露,尽管事实上它作为原始数据存在于非常可靠的设备(芯片)上,但这是目前认为比较可靠的方式了。
当您需要访问该设备时,您必须提供另一个生物样品,该样品与最初存储的样品进行检查。如果样品匹配,您已经证明了您的身份并获得访问权限,但如果样品与存储的样品不符,则您无法验证您的身份,因此被拒绝。
非生物识别认证等同于使用密码,PIN 码或其他方式来验证您的身份。
我们的生活已经被密码统治了,直到现在,已经习惯于使用密码来保护我们的微博和微信等常用网站帐户,我们的 Email 登录,我们的淘宝帐户,甚至我们的银行卡密码,这些都是通过密码来认证的方式。
有人说。非生物识别形式的认证被认为不那么安全,那么「生物识别特征」就非常可靠?
首先我们要清楚的是,密码如此不安全的原因有可能是因为这是字母数字组合,所以理论上来说,有时间和耐性的黑客可以通过一组排除法就能成功。
除此之外,潜在的攻击者可能会看到您输入您的密码的方式或过程,并在访问您的设备后尝试跟随您的动作以满足您设备的认证要求。虽然手机设备上为了防止这种情况,包括限制输入密码不正确的次数,但这种预防措施不是那么绝对的。
也是因为这个原因,指纹传感器是比较安全的方式,目前正处于「全民使用」状态,即使在中低端移动设备上也成为标准功能。
“您输入的密码不正确”
我相信在您在使用手中的智能手机期间,您在某个时候会产生这个问题:使用哪种密码有啥关系?
当然,我们可以使用不同数量的异同密码。陌生人能够猜测你的密码可能性也是非常小的。但是,如果犯罪者是您身边的朋友或者亲人,并且如果您选择了与您的生活有某种关系的密码(比如生日、电话等),熊孩子解锁机会可能更大。事实上,被亲人入侵的可能性是选择设备正确解锁方法的原因之一,这也是这篇文章和你探讨的场景之一。
但是如果在我的密码中包含大写字母和特殊字符呢?这样的话,我的设备会更加安全吗?其实没有。
有的网站、密码安全软件、或者是个人,强制使用大写字母和数字和特殊字符组合,甚至在位数上进行审核,大家都认为这样的密码很安全,实际上并不会。
提出这个说法是名叫 Bill Burr 的人,他是美国国家标准技术研究所(NIST)的前任经理。他曾经认为以上文中提到的复杂密码会使设备更加安全。
2003 年,Burr 写了一篇八页的指南,通过他的这份不得不遵守的密码安全创建指南,让许多产品经理「受益良多」,一直沿用至今,比如 Wordpress 等。但最近,Burr 承认他当时对密码实际工作的理解很差,「非常抱歉,误导性的论文使我们必须制作这些不必要的复杂密码,不能使我们的设备或帐户更安全」。
我们现在知道,使用一串简单和不相关的数字或字母实际上比使用复杂的密码更安全。有一个着名的连环画非常滑稽的解释这一现象,证实了一台电脑如何花费 550 年(每分钟有一千个猜测),找出一个由「correct horse battery staple」这四个简单的单词组成的密码,而「Tr0ub4or&3」这样的密码则会以相同的速度三天后就会解开。
需要意识到,采用复杂密码制作,这样的做法并不会改变我们比以往任何时候都更容易受到黑客攻击的事实。我们已经无法生活在一个平面世界里,您的智能手机和 PC 设备是数字生活的唯一接入点。智能手表和其他可穿戴设备,平板电脑,路由器,智能电视以及其他多种网络连接技术,越来越多的设备已经投入到生活中,授权他们使用私人的帐户和相关使用信息。
智能手机的安全性不是绝对的,每个新连接的设备也都有自己的安全漏洞。
对于私人密码有一个保存的宽限,那就是二次验证的出现。二次验证不会立即授权登陆,而是会触发一次性临时代码发送给您,通常是通过短信或电话发送给你几位数字代码,您只能在登录窗口中输入临时代码后才能进入。并且与您的常规密码结合认证使用,而这成为了目前比较公认比较安全的方式。
当然,虽然比使用一个密码更安全,但二次验证仅对登录基于 Web 的帐户非常有用,但对于手机处于锁屏或关机下就不太可行。如果我们需要二次验证的场景下,智能手机还遇到无信号或飞行模式时,这个方法基本将无法使用。
因为在二次验证中,通常需要某种类型的数据连接,导致 PIN 码的传输允许被触发。
下一个聊的就是图案模式是否可以成为你手机解锁方式?
图案模式也是智能手机安全的一种非常受欢迎的方法。虽然密码需要字母数字输入,但这种图案模式要快得多,更容易解锁,即使需要非常繁琐的过程,很多人也是乐于解锁的。特别是当您单手使用设备时,这种方式简直是良药。
要设置图案解锁模式,你会看到三个三行排列的九个点;首先将您的手指放在所需的点上作为起点,并将一个个点一起连接,从点到线,线到面,形成图案。
也可以在三个点,五个点或十个点之间绘制连接线,使您的图案简单或复杂。一旦你的这种模式被设置,任何时候唤醒设备显示时,你会看到这九个点,并可以开始输入模式解锁。
为什么人们往往喜欢使用图案来保护手机呢?
主要原因大概是因为他们可以依靠肌肉记忆来输入自己的图案,并且几乎不需要查看或思考就可以解锁智能手机。
然而,这种模式的最大问题之一是其他人可以观察手指运动,很容易破解解锁设备,手机安全就成了摆设。
只有 9 个点,黑客可以利用很多漏洞机会找出你的密码,而不是测试在键盘上按字母数字密码的字母,黑客解锁机率几乎百分之百。
因为根据数据显示,几乎一半的锁屏模式从左上角开始。
在智能手机的所有非生物识别解锁认证形式之间,数字字母二次验证是比较安全的,如果你想要尽可能的安全,你应该使用生物识别认证。
你是密码
直到去年的 Galaxy Note 7,才拥有比较成熟的虹膜识别方案。虽然诺基亚之前有过这种模式,但技术还未成熟。这种方案是通过一种生物识别功能来验证私人的认证,而这就是生物指纹传感器。
现在我们也看到了三星很多型号手机都使用上了虹膜识别方案,包括 Samsung Galaxy S8 / S8 Plus 和新发布的 Galaxy Note 8 设备。我猜测在未来几年,我们可以看到更多类型的生物识别认证方式方案。比如 Face ID、超声波指纹识别等,毕竟,移动设备安全问题,已经变得越来越重要,让消费者越来越敏感的选项了。
过去几年来,即使在低成本设备上也出现了指纹传感器,包括 iPhone SE、iPhone 5S 等。
目前有几种不同的技术可以使用,第一个就是 98% 的移动设备都在使用的「电容式指纹传感器」解决方案,但不知道像 小米 MIX 一代这种超声波指纹识别方案到底是否算做例外还是算电容式指纹识别方案?
电容指纹传感器由许多对电荷变化非常敏感的微小紧凑的电容器组成。当您将手指放在传感器上时,通过从指尖和指肚之间的不同电荷电平推断出图案,从而创建指纹的虚拟图像。
虽然可以用指纹的高分辨率手指假体来愚弄指纹传感器,而这种方式的原理很简单。它们可以测量指纹的实际物理结构。因此,使用指纹来保护您的设备可能是目前最安全的方法。但是他真的有多安全?
事实上,Duo Security 的高级研发工程师 Kyle Lady 并不认为智能手机的生物识别安全性比非生物识别安全方法要好。凯尔认为,智能手机上的生物识别技术主要表现在可访问性方面,并提供了一组不同的密码属性,他还称,即使生物识别安全也不是完全可靠的。
此外,我们看到智能手机的生物识别认证真正起飞的主要原因之一是因为使用指纹很容易。凯尔在电子邮件交流中表示:“鉴于身份验证速度(生物识别技术比数字字母密码更快),我认为移动生物识别技术的最大优势是易于安装。Kyle 的公司使 Duo Mobile 成为流行的安全应用程序,用于通过二次验证来补充安全性,根据凯尔,约 84% 的 Duo Mobile 用户正在使用指纹验证来解开应用。
牛津大学移动安全咨询公司 Copper Horse 讲师 David Rogers 教授也有类似的话。作为个人来说, Rogers 教授和他的学生试图测试智能手机上的每种认证方法,得到的结论往往很悲伤,指纹识别,不超过一杯咖啡的成本,就可以解开。
在与 Rogers 教授的谈话中,他向我解释说,他们如何设法欺骗指纹,他们用所谓的『粘性手指』进行操作。具体来说,粘性手指是由橡胶状硅类材料制成的指尖复制品,能够及时捕获足够多的指纹细节,反复验证就可以轻松解锁。
同样地, Rogers 教授解释说,这些传感器也可能被印在导电油墨上的指纹的高分辨率照片所解锁,也可以模拟实际指纹的脊和谷之间的电荷差异来解锁。
指纹认证的另一个问题,那就是我们还没有一定的证据证明它是安全的。当然,有估计,之前苹果曾表示,人口中的随机人员可能会看到您的 iPhone 并使用解锁的概率大约为是五万分之一(Face ID 是十万分之一)。这也就是说明,并不是 100% 可以安全解锁。相关链接,苹果官方:http://t.cn/R0N8E1V
同时,Google 还没有发布关于指纹传感器保护 Android 设备可靠性的统计数字和概率。 Rogers 教授提到,虽然基础硬件和软件通常非常固定,但 OEM 厂商的软件算法可能会有一些重大的变化,因为有些厂商早在谷歌规定相关生物识别安全性的 API 之前就上了指纹识别功能,与谷歌官方文档并不一致。
生物识别认证比使用密码好吗?举个例子,假装我们是黑客,想要劫持某人的电话。非生物条件下,知道这个手机一组特定的八位字符密码,可以包含大小写字母,数字,标点符号和特殊字符,并且它们必须至少有一种。即使我们有无限的密码尝试和无限的时间,可能有一定机会机会和统计上实现解锁。
显而易见的问题是,如果概率统计上使用较少的安全性,我们是如何使用指纹传感器的?首先,当你将手指放在指纹传感器上时,如果别人看着你,看到你使用的是什么手指,因为你的指纹不是可以模仿的,但如果拥有了你的指纹,这种解锁方式也会成为。
指纹认证可能不是我们在 Android 设备上看到的唯一的生物识别安全形式。具体来说,您可能还会想知道 iPhone X、vivo 上使用的面部识别。它应该算作生物特征,对吧?
在大多数情况下,像 iPhone X 上目前可获得的面部识别功能是生物识别身份验证,因为设备让您的脸部成为密码认证。虽然它确实符合生物识别技术,但面部识别与指纹识别不一样,当涉及面部认证时,通常可以绕过照片。通过另一台设备上设置一个自拍,或者是视频就可以了。显然,这使得面部识别相当不安全,技术完成的理想状态是:你的脸必须是唯一的认证访问方式,来满足设备安全性要求。
还有一种生物识别认证方式称为 Trusted Voice(Google 的一部分安全功能的一部分,包括受信任的位置,可信设备和身体检测)。目前,Trusted Voice 功能允许唤起语音助手命令来解锁或识别设备。不幸的是,当您设置此功能时,会出现一个提示,通知您,语音认证可能会被声音类似的人所产生不安全问题,而这虽然是解锁手机密码很独特的方式,但并不可靠。
虹膜认证是智能手机上出现的另一种生物识别认证。三星 Galaxy Note 8 在使用中,同时,虹膜认证越来越多地被媒体称只为移动设备的最佳安全认证方式,甚至比指纹更好。但他们如何工作的?为什么他们比指纹更好?
你的虹膜,就是瞳孔和周围的白色之间,虹膜由内向外辐射的线组成的彩色部分,就会被认证,虹膜是完全私人的,又且只有你一人拥有,使其成为 Note 8 的主要卖点。但是,虹膜识别不能到低端手机上,因为需要一定的条件,除了超高分辨率相机模组和最佳照明条件以捕获您的虹膜之外,还需要将设备的红外线光引导到您,使得这些认证通过率大大增强,更清晰,并且在所有照明条件下更容易检测。反过来,您的智能手机将您的虹膜的模式转换为代码,从而验证您的身份。
Galaxy S8 和 S8 Plus 推出不到一个月后,“卫报”曾发布了一系列涉嫌三星虹膜扫描技术的德国黑客攻击的事情。这名黑客使用打印机和隐形眼镜创建人造眼睛以及注册用户的虹膜的高分辨率照片。值得注意的是,这是一张夜视照片,最后 S8 / S8 Plus 使用红外线捕获用户的虹膜,黑客攻击成功。显然,这种解锁模式也不是非常安全。
这并不奇怪,生物识别移动安全性是如此棘手。你的手机设备本来从使用起就不安全,同步数据,云盘备份等,安全性几乎为 0。即名人,政客,财富 500 强首席执行官等,他们都不能幸免,这不分任何身份的。
事实上,有些名人有指纹复制的例子,Google 相册中充满了名人面孔的高分辨率特写,还有身份证的爆出,至于原因,可能是网站漏洞,也可能是无防火墙意识。问题是,他们都不会解决的,因为这也是赚钱来源。
哪种解锁手机密码方式更技高一筹?
很难说什么是解锁智能手机的最佳方法,因为如您所见,生物识别和非生物识别认证的所有方法都有缺陷。两者中,生物认证较为安全的。
可以减轻生物识别和非生物识别身份验证缺陷,保证设备安全的的一种可能性解决方案是允许用户一次激活多个安全措施。
例如,在最新一代的 Galaxy 设备上,同时要求指纹激活和虹膜扫描,或者使用密码替换一个或另一个解锁方式,比如『小米手机的双开功能』。此外,还有通过使用软件来增强安全性的方法。像『某某卫士』这样的应用程序能够一定机率中保证安全吧?
生物特征认证成为目前使用广泛的原因是它们的易用性。不必输入密码,您只需将手指放在适当的传感器上,或将设备拿起到您的脸部,以便快速方便地访问。而随着智能手机生物识别安全性的不断提高,手机用户将继续受益。
至于哪种安全方法对于您的设备是最安全的,很难说。但是,即使你是碧昂丝或蒂姆·库克,也只能正常使用,并没有更好的替代方案。如前所述,生物特征和非生物特征都不可靠,所以我们所能做的就是加强防范,并等待手机厂商或行业继续改善其技术的时间。
写在尾巴
对于解锁,以上就是想表述的内容,但实际体验中,很多人为了易用很减少安全性的考量。对于手机厂商官方数据十分的相信,我认为这本身就是不正之风。
例如这两天被刷屏的 iPhone X,使用了 Face ID,抛弃了指纹识别,大家说:易用性好,貌似很安全?其实不然,它只是一个『认证』,并不能成为一个真正的安全解锁方式,也不是成为你手机中唯一的身份。
我在思考,多少人被这样忽悠中。安全真的被手机废掉了吗?我看啊,我们的安全意识全被某些舆论引导,导致成为今天这种尴尬状况。
希望每个人看完这篇文章会有所感悟吧。