指纹应用日益广泛,但它并不比数字密码更安全
来源:科技日报
日期:2019-09-19 09:53:50
随着科学技术的快速发展,生活中指纹密码的应用越来越广泛。有鉴于此,有人说,指纹应用如此广泛,是不是意味着它比密码更加安全呢?
指纹、密码都是身份认证方法
“指纹和密码都是一种身份认证的方法。从技术角度来剖析,身份认证技术可以分为基于信息秘密的身份认证、基于生物特征的身份认证和基于信任物体的身份认证。”扬州大学信息工程学院(人工智能学院)张乐君教授说。
张乐君介绍,基于信息秘密的身份认证是通过所知道的信息来进行身份识别的,密码就是一种典型的方法。而基于生物特征的身份认证,是指通过可测量的身体部分(如指纹、虹膜等)或行为等生物特征进行身份认证的一种技术。使用传感器或者扫描仪来读取生物的特征信息,将读取的信息和用户在数据库中的特征信息比对,如果一致则通过认证。同时,基于信任物体的身份认证是据所拥有的东西来进行身份识别的,典型的方法包括智能卡、短信认证、优盾认证等。
两者哪个更安全因人而异
在人们日常工作生活中,从最早的出门带钱包到现在的手机指纹快捷支付,从出门必带钥匙到现在指纹解锁省去了丢钥匙的尴尬,这难道不是证明了指纹更加安全吗?
中国科学院自动化研究所副研究员臧亚丽此前对媒体表示,全世界60亿个人,每个人10个手指,而指纹又是唯一的,算下来指纹的安全性(指纹识别出错的概率)应该是600亿分之一,看起来好像是绝对安全的,但其实并不是。目前商用的指纹算法(比如手机解锁),在误识率为5万分之一的情况下,拒识率小于3%。也就是说,在别人的手指试5万次,会有一次能够非法通过认证的前提下,自己的手指每试100次,有3次会被系统拒绝掉。而降低误识率,拒识率就会高,所以,指纹系统的安全性大致是5万分之一,好一些的可能会达到10万分之一或者20万分之一,但目前的技术也就到此为止了。
而一个8位数字组成的随机密码,一共会有1亿种方案。也就是说,随便生成一个8位数字的密码,另外一个人随机猜到的可能性是1亿分之一。如果夹杂大小写字母和符号,就会有6千万亿种可能。这么一看,反倒是密码系统更安全了?然而也不是。
因为我们设置的密码,并不是随机的,即便是随机的密码,我们也很难记住。我们的密码设置一般都是自己惯用的几个组合,因此如果其他人对你密码的设置习惯有一定了解,也很容易破解。
江南大学物联网工程学院教授周治平说:“站在数字世界的角度看,指纹和密码都是数字化了信息内容,实际上没有明显差异。”指纹和密码是两把不同形状、不同结构、不同原理的锁,哪个锁“更好”要取决于锁什么样的门。
张乐君告诉记者,对于特别认真谨慎而且记忆力特别好的人,密码可能更安全;对于老年人来说长期使用固定容易记的密码安全隐患比较大,经常动态的变换密码又十分不方便,这个时候采用指纹技术就比较合适。
指纹应用广因为更方便
周治平说,现在工作生活中,指纹应用之所以越来越普遍,关键在于指纹属于生物特征,相对密码可以做到较好的唯一性,特别是随着一些设备的发展,指纹应用越来越便捷,用户不需要专业知识,使用门槛也低。
为了达到更高的身份认证安全性和便捷性,某些场景会将多种身份识别技术混合使用,即所谓的“双—多因素认证”。典型的应用是某些手机银行的APP,它将身份识别分为两个场景,首次使用和长期未使用的时候采用相对复杂的“静态登录密码+短信认证+U盾”的认证方式。“对于短期和频繁的使用时,绝大多数采用指纹识别技术,这样既方便了使用又增加了安全性。”张乐君说,“如果应用场景需求中安全级别高,就要采用动态、复杂的多重认证技术,如果便捷性更重要,我们就可以选用手指轻轻一搭全部认证工作自动完成的指纹技术。”