使用指纹识别进行移动支付时,该如何保护您的资金安全?
在很多人看来,2015年可算是移动支付元年,这一年,移动支付来势汹汹,增长迅猛。但在真正谈论移动支付前,很有必要言及当下智能手机市场,因为移动支付的崛起,首先得感谢其主要载体智能手机的广泛普及。来自腾讯网相关报道的数据显示,经过5年多的发展,中国智能手机市场规模已经由2011年的1.2亿部跃升至2015年的4.7亿部,这庞大的用户基数使得我国移动支付市场的前景充满想象。
我国当下移动支付的市场规模到底有多大?我们不妨看看来自中国互联网络信息中心(CNNIC)发布的第36次《中国互联网络发展状况统计报告》,该报告显示,截至2015年6月,中国网民规模达6.68亿,其中手机网民规模达5.94亿,占比达88.9%。2014年,中国移动支付的交易额达到6万亿,而2015年,这个数据预计将突破9万亿,交易额增长率达50%左右。
移动支付规模与增速的双重惊人为生物识别技术的加入提供良好契机,相比传统的密码输入而言,生物识别技术不但可大大提升移动支付的使用体验,其安全性亦得大大强化。但加入生物识别技术后的移动支付就真的完美了吗?相信在您看完下面的这些探讨后,心中自会有答案。
成为移动支付最受欢迎的生物识别应用
在谈论生物识别技术前,先简单理清生物识别的原理,其实原理很简单,那就是世上没有两片完全一样的树叶,正是基于这一点,才有了各种不同的生物识别应用技术,因为没有两个手指的指纹是完全一样的,于是就有了指纹识别应用;因为没有两张脸庞的特征是完全一样的,于是就有了面部识别,以此类推之,诸如声音识别、虹膜识别、手掌识别及视网膜识别等等。鉴于移动支付多数应用于智能手机之上,并不是所有的生物识别技术都可得以应用,因此本文将探讨的重点放在指纹识别技术上,因为它是目前在移动支付上被应用得最为广泛的一种生物识别技术。
指纹识别技术在智能手机上的广泛应用得归功于苹果公司,因为其始作俑者正是苹果公司,现在让我们将时间驳回到2013年9月20日,在这一天,苹果发布了史上第一款加载按压式指纹识别技术的手机iPhone 5s,该指纹识别功能是由AuthenTec研发,苹果老谋深算,早在2012年就以3.56亿美元将其收购,由于苹果公司完全拥有该按压式指纹识别技术的专利,并拒绝授权给其他厂商,导致一时间苹果在该领域孤独求败,但苹果引领的这场指纹识别潮流确是覆水难收,其他厂商们纷纷在其上发力,不多久,安卓系的手机厂商们便推出了具备按压式指纹识别手机,而到了2015年下半年,具备指纹识别技术的智能手机已经由当初的旗舰级机型下放至千元机行列,笔者预计,2016年将是手机指纹识别技术的普及年,高中低端手机都将加载指纹识别应用。
那么指纹识别技术何以能打败其他生物识别技术而独傲群雄呢?首先是它与手机具有天生的适配性,人们操作手机时正是用手而非身体的其他器官;其次指纹识别技术尽管在手机上的应用并不久,但指纹识别技术的产生已颇久,技术本身已经相当成熟,其在价格、性能、安全性及识别精度上可说达到了一个较为完美的平衡,这是其他生物识别技术所不能比拟的,但指纹识别技术真的就完美了吗?当然不是!
指纹识别设计的两大原则
应该说手机指纹识别技术大大提升了移动支付的使用体验,但其中亦隐藏着安全性危机。指纹本身是无法破解的,但是指纹必须转化为信息才能被应用,而指纹信息则很可能被非法获取。
前Google安全大师Shuman Ghosemajumder曾在接受采访时表示,苹果试图建立指纹的云端数据存储中心是极端危险的举措,同时表示,苹果在这方面无疑会得到世界级安全专家的建议。
Shuman Ghosemajumder同时提到了手机指纹识别技术应用需遵循的2点原则:第一,指纹扫描必须只是基于硬件,不能通过软件激活,或是将指纹信息传递给软件。因为如果该装置能够被软件激活,则无法避免被恶意代码攻击的风险。而基于硬件的实现方式仅会通知软件“指纹验证通过”或“指纹验证失败”两种状态,不会与软件分享任何指纹相关的数据与信息;第二,本地存储的指纹信息,其位置必须非常安全,这个位置必须禁止软件访问,否则黑客会通过破解软件的方式来获取指纹信息。
毫无疑问,Shuman Ghosemajumder提到的2点原则应该成为所有指纹识别手机厂商都需遵循的基本原则,但手机厂商本身的研发实力参差不齐,由此很容易导致指纹识别手机出现严重的安全性漏洞,以笔者曾经使用过的魅族mx4 pro为例,尽管该手机的指纹识别体验相当不错,但有一个致命的安全漏洞,即在已经开启指纹解锁功能的情况下,用户只需进入“工程模式”,就能轻易清除指纹识别的解锁功能,实现对手机全部功能的访问,让指纹识别解锁功能形同虚设,这是一个非常严重的Bug,尽管魅族后来修复了该Bug,但由此亦相当程度上显示了指纹识别功能在安全性上的形势不容乐观,而一旦用户的指纹信息泄露,其结果可能是灾难性的,因你的指纹信息是无法改变的,由此导致的恶果很可能将会陪伴你一生!
结语
客观来讲,任何一种技术都不可能是完美无瑕的,指纹识别技术当然也不例外,对厂商而言,Shuman Ghosemajumder所言的两点设计原则可谓金科玉律,但安全性绝非仅仅关乎厂商,亦关乎用户,用户良好的使用习惯亦是必不可少的,例如用户私自将手机越狱(iPhone)或者Root(安卓系手机),将会大大增加手机的安全性风险,随意地在手机中打开陌生人发来的网络链接亦如此等等。相信经过厂商、用户及运营商等的多方努力,移动支付的安全性问题会得到大大地缓解!
(文/徐永红 RFID世界网独家稿件,转载请注明来源作者!)