物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

風(fēng)口浪尖的“指紋支付”,安全隱患亟待關(guān)注

作者:張沛祺
來源:未央網(wǎng)
日期:2017-05-18 08:52:04
摘要:本月初,全球最大的支付公司之一的萬事達卡(MasterCard)宣布,該公司正在測試一種帶有指紋傳感器的信用卡。用戶無需在紙質(zhì)支票上簽名或輸入密碼,只要把手指按在銀行卡上進行指紋驗證,就可以證明自己的身份。該公司宣布,新型信用卡的研發(fā)已經(jīng)基本完成,目前正在南非進行集中測試,有望在年底之前進行全球推廣。該消息在發(fā)布之后再次將“指紋支付”推到了風(fēng)口浪尖,引發(fā)了人們對于支付安全問題的廣泛討論。
關(guān)鍵詞:生物識別指紋支付

  本月初,全球最大的支付公司之一的萬事達卡(MasterCard)宣布,該公司正在測試一種帶有指紋傳感器的信用卡。用戶無需在紙質(zhì)支票上簽名或輸入密碼,只要把手指按在銀行卡上進行指紋驗證,就可以證明自己的身份。該公司宣布,新型信用卡的研發(fā)已經(jīng)基本完成,目前正在南非進行集中測試,有望在年底之前進行全球推廣。該消息在發(fā)布之后再次將“指紋支付”推到了風(fēng)口浪尖,引發(fā)了人們對于支付安全問題的廣泛討論。

  什么是指紋支付

  其實早在2014年,蘋果公司和阿里巴巴旗下的支付軟件Apple Pay和支付寶就分別推出了指紋支付功能。指紋支付,也稱指紋消費,是采用已成熟的指紋系統(tǒng)進行身份認(rèn)證,從而完成消費過程的一種新型支付模式。指紋支付的流程是,首先將指紋錄入手機,然后在支付軟件的手機密碼一欄中開啟指紋密碼,通過指紋比對和支付密碼等一系列校驗后,指紋支付將正式開啟。一旦開啟,用戶在使用電子錢包進行購物和轉(zhuǎn)賬時,不再需要輸入數(shù)字密碼,只需拿手指在位于HOME鍵的指紋傳感器上進行指紋驗證,系統(tǒng)就可以判斷用戶身份,并最終完成或叫停支付活動。此外,指紋支付的優(yōu)越性還體現(xiàn)在,商家現(xiàn)有的支付設(shè)備就可以滿足其新型支付技術(shù)的需要,不需要再增加花銷更新設(shè)備。

  指紋支付一經(jīng)推出就受到了廣泛的關(guān)注的,其新穎的支付模式和便捷的操作流程吸引了大批的用戶。上到一百多萬美元的超級跑車,下到幾美分的雜貨,用戶只需一根手指就可以完成整個支付流程,"剁手"變得更加方便。

  安全隱患亟待關(guān)注

  然而,指紋支付技術(shù)在給移動支付帶來巨大便利的同時,也催生了一系列的安全隱患。簡單來說,由于指紋一定要接觸式采集,不可避免的會留下指紋痕跡;而日常生活中也會在各種地方留下指紋痕跡,這無疑在不知不覺中泄露了指紋信息,提高了偽造的風(fēng)險。而隨著3D打印技術(shù)的發(fā)展,偽造指紋和手指也將變得更加容易。

  近日,美國紐約大學(xué)和密歇根州立大學(xué)聯(lián)合發(fā)布研究報告,聚焦指紋支付中存在的安全問題。報告指出,目前,iPhone與Android系列手機產(chǎn)品的指紋支付系統(tǒng)仍不完善,通過打印指紋等方式可以輕松破解手機的指紋解鎖。來自這兩所大學(xué)的研究人員自主研發(fā)了一套指紋破解程序"萬能指紋"(MasterPrint),對一個人的指紋拍照,然后通過該程序進行打印,打印出來的模型就可以解鎖手機的支付軟件,準(zhǔn)確率高達65%。

  在報告發(fā)布之后,盡管部分業(yè)內(nèi)專家表示,由于在現(xiàn)實生活中存在著大量其他的影響因素,指紋破解程序的匹配率將遠(yuǎn)遠(yuǎn)低于65%,但該研究結(jié)果還是引發(fā)了公眾對于指紋支付安全問題的擔(dān)憂。加拿大卡爾頓大學(xué)信息工程學(xué)院的Andy Adler教授表示,目前,指紋支付所面臨的問題還遠(yuǎn)遠(yuǎn)未達到像報告所描述的那樣嚴(yán)重,但也足以引起人們的警覺。

  那么,到底是什么原因?qū)е挛覀兊闹讣y密碼如此輕而易舉的就沒破解了呢?要知道,人類指紋重復(fù)率極小,大約150億分之一,故其稱為"人體身份證",指紋的構(gòu)造也極為復(fù)雜,偽造起來絕非易事。

  究其根本,導(dǎo)致指紋支付密碼被輕松破解的關(guān)鍵在于智能手機的指紋讀取機制和用戶設(shè)置指紋密碼的不當(dāng)操作。

  人類指紋特征分為兩類:整體特征和局部特征。整體特征的組成十分復(fù)雜,通常難以偽造,而由于智能手機附帶的指紋掃描儀通常較小,只能讀取部分指紋,因此,只需要偽造出指紋的局部特征即可破解指紋密碼。此外,在設(shè)置指紋支付密碼時,支付軟件通常會要求用戶提供8到10個不同的指紋圖像,以完成初始設(shè)置。而大部分用戶貪圖方便,只用1到2個手指指紋進行設(shè)置,從而造成了安全隱患。

  作為最早涉足指紋支付的公司之一,蘋果公司表示,早在開發(fā)Touch ID系統(tǒng)時,公司就已經(jīng)對系統(tǒng)可能遇到的安全攻擊進行了測試,并引入了一系列新的安全功能。目前,用戶在使用Apple Pay的指紋支付功能時,只有5次重新輸入的機會,之后Touch ID就不再接受任何指紋,要再輸入密碼才能解鎖。據(jù)統(tǒng)計,蘋果用戶指紋密碼被破解的概率僅為五萬分之一,即0.002%。

  然而,部分業(yè)內(nèi)專家認(rèn)為蘋果公司的此番說法著實有些言過其實。他們認(rèn)為,出于商業(yè)機密的考慮,以蘋果和谷歌為代表的科技公司通常不會向公眾吐露關(guān)于指紋支付的技術(shù)細(xì)節(jié)。以谷歌公司為例,由于該公司對旗下軟件的安全問題避而不談,導(dǎo)致全球數(shù)十家Android手機制造商不得以降低手機安全等級的方式迎合谷歌產(chǎn)品的設(shè)計標(biāo)準(zhǔn)。

  除了安全問題外,指紋支付也存在諸多弊端。有專家提出,手指受傷導(dǎo)致指紋破損、空氣過濕等情況,可能會影響到指紋支付的識別。而一些人從事的職業(yè)使得雙手長期浸泡在水或化學(xué)物品中,如洗衣工、廚師、化工廠員工等,也可能偶然出現(xiàn)指紋無法識別的狀況。另外,指紋支付還存在如下問題,例如:部分人群的指紋特征點少,難以成像;老年人指紋變的干澀難用,以致難以采集等。甚至很多手機暫時沒有相關(guān)配置,而市面上的部分智能手機采用虛擬"Home"鍵的設(shè)置,用戶也無法輸入指紋。

  指紋支付難定位

  克拉克森大學(xué)的技術(shù)研究中心主任Stephanie Schuckers表示,如今大多數(shù)手機制造商已經(jīng)意識到了指紋支付的安全隱患,并正在通過加緊研發(fā)反欺詐技術(shù)來完善安全系統(tǒng)。其中,美國手機芯片制造商高通公司已經(jīng)發(fā)布了新型指紋傳感系統(tǒng),通過利用超聲波技術(shù)來檢測手指深層皮膚圖案,驗證指紋的真實性。

  指紋支付專家Boehnen博士則認(rèn)為,安全問題是指紋支付這種新型技術(shù)與生俱來的弊端,很難從根本上得到解決。他表示,新的指紋傳感系統(tǒng)能夠從某種意義上緩解當(dāng)前的困境,同時,以虹膜掃描為代表的新型生物識別技術(shù)也能夠有效控制欺詐行為的發(fā)生,這些應(yīng)用都將成為移動支付的一種補充,也是一種創(chuàng)新和突破,但是要成為主流普及到廣大用戶中還需要很長時間,其自身的缺陷也決定了它們難以成為主流的方向。

人物訪談