指纹与密码：普通用户指南

本文作者Mark Burnett是一名安全顾问，原文载于其博客Xato.net。

苹果业已宣布，iPhone 5s将会包含指纹扫描功能。大部分人认为这一创举将是安全方面的一大革新，但是，很多来自安全社区的专业人士对此都抱有高度怀疑。虽然很多媒体认为，指纹将会成为密码的终结者。然而在这一点上，还是存在很多异议的。在此我希望能将指纹与密码的对比罗列出来，供那些并不是非常清楚其含义的人参考。

生物识别技术就如同我们日常熟悉的用户名、密码的概念一样，是一种系统用来识别和验证用户身份的方法。我们都熟知的一点是，密码的安全性很弱，并且不方便管理。这就是为什么人们总是期望诞生新的认证产品，进而终结密码的使用。尽管密码存在这样那样的缺点，但目前而言，它仍然在各种身份验证系统中扮演着不可或缺的角色。

事实上，密码确实有很多缺点，然而瑕不掩瑜。同理，对于生物识别技术也是一样。你无法简单的用指纹识别来取代密码，进而得到一个完美的解决方案。即便一些旧有问题会因此得到解决，一些新的问题也会随之引入。

为了理清这些概念，如下的表格将对生物识别技术与密码认证在各方面作逐一对比。打钩的条目表示该技术在此方面远胜过对方。两边都打钩则表示各有优缺点。

以上对比说明了什么？

如你所见，显然生物识别技术并非密码的完美替代方案。这也是为什么每次生物识别技术公司在其发布会上宣称自己是密码终结者时，其安全专家们只能表现的唯唯诺诺。生物识别技术确实在某些方面明显优于密码，但是他们也有很多劣势。甚至在某些方面，他们二者都很脆弱，或是根据具体情境各有优点。目前而言，上面的列表并未考虑到每个条目的权重。但是一个基本的观点在于，无法通过简单的比较，得到二者孰优孰劣。

不过有一点可以指出的是，通过同时使用二者来获得更好的安全性，是远胜于仅使用其中一项的。这是因为你能够享受二者各自的优势，而缺点则减少了。举例而言，我们都知道一旦你的指纹信息被盗用后，指纹自身是无法改变的。但是通过密码与指纹的配对就能够解决这个问题。同时采取二者的方式被称为二元认证。

就目前披露的信息而言，还不知道苹果手机是否允许同时使用密码与指纹。

具体到iPhone的指纹扫描传感器上，一些有趣的特点很值得注意。首先，将指纹识别装置附加到手机上，弥补了很多单纯生物识别技术的缺陷。比如登记难，需要特殊的硬件支持以及隐私等问题。因为指纹只是存储在本地，即你自己的手机上，所以这些问题都迎刃而解。另一点有趣的事实是，手机自身成为了验证身份的第三重因素：它只属于你。当这一点结合另外二元认证在一起之后，使得这一身份认证系统变得很可靠。试想一次盗用行为需要首先取得你的手机，然后还要拥有你的指纹，最后还要知道你的密码。这几乎很难同时做到。

总之，指纹扫描装置的安全性主要取决于他的实现。但是即便它不尽完美，也比无数缺乏保护的手机要强得多。

这里还有一些很多人提到的安全问题：比如这会否是一个美国国家安全局用来构建指纹数据库的大阴谋呢？就目前所知，苹果是通过加密指纹，然后进一步将其存储在本地可信的硬件中，并不会上传网络。这种做法是否安全还有待观察。但是值得留意的一点是，你的指纹其实并没有想象中的那么私密：事实上它会留在每一样你碰过的东西上。