密码和指纹 哪个身份识别方式更安全?

当初入TP的时候,就有过这个思考,是不是要带指纹识别;

不过后来仔细想了一下,这会是一个很有意思的事情;

依稀记得之前有电影片段,是某个机密的场所,进门需要指纹+掌纹,结果若干反派人物就直接把那位有指纹同学的手给砍了下来,淡定的进门了。。。

这个片段一次一次的让我对于指纹识别抱有一定的戒心,因为那就好像在告诉别人,嘿,我这里有一些小秘密,但是只有我的手可以打开哦~

。。。

言归正传,这就需要先回到身份识别方式的选择上。

最原始的识别方式就是传统的文本型密码(再往前咱们就不追究了吧)

后来有了动态识别码,或者硬件辅助(U盾)的手段;

再后来有了人脸识别,指纹识别,等等。

但哪个更安全?恐怕没办法立刻下结论,这就要扯到密码学里面的一个概念 – 相对安全性

不管多长的密码都只是相对安全的(其实指纹也好人脸识别也好,都可以抽象理解为一种密码)

无非是需要5分钟还是5000年才能“理论上”破译的差别,这就是相对安全;因为随着硬件性能的不断提高,当初认为是5000年才能破译的密码,可能现在只需要5分钟都不到就搞定了;同样,现在号称5000年才能破译的密码,在若干年后,随着计算能力的不断提高(尤其是更大规模更普及的云计算/分布式计算),指不定10年后就把这个在10年前认为需要5000年的计算量的事情在短短5分钟之内搞定了(当然这里说的略有夸张,毕竟5000年和5分钟相差了9个数量级)。

 

而密码的破译,或者说成功破译,几乎很少会依赖于计算能力,而更多的是依赖于 – 方法(砍手就是一个不错的方法~)

对于纯文本型的传统密码,也许只有按键记录器或者“偷窥”会靠谱一些;

而动态识别码和U盾,你只要“偷”到了这个硬件,就搞定了;

至于人脸识别和指纹识别,就更简单了,直接拿照片或者复制一下指纹(透明胶带或者玻璃杯子即可)就可以了;至于因为拿照片就可以搞定解锁这件事情。。。google表示压力略大([图]谷歌建议用户吐舌头、歪脖子 设置高安全性能面部解锁密码),毕竟android4.x系统有一个“给力”的功能就是人脸解锁。。。

所以看起来,似乎安全性上,是传统密码 > 动态识别码及U盾(你需要随身携带) > 人脸识别和指纹识别

而从“用户需要记录的数据量/使用简易程度”来看,传统密码> 动态识别码及U盾(你需要随身携带)> 人脸识别和指纹识别

这很有意思,因为似乎,用户体验越高,安全性就越差(less is more,really?)

那到底该选择哪一种?

这很难说,其实这是一个因人而异的问题;

如果用户是一个“所有密码都一样”的“纯粹”的人,那么他真心需要“非传统密码”的保护,因为从某个角度来说,即使是他的照片都要比他的传统密码安全。

如果用户是一个自我保护意识很强的“杞人”,那么还是传统密码更适合他,而且是需要分级(根据信息安全级别的不同来分级密码)的。毕竟天天担心着自己的手被别人砍掉是压力很大的~ 因为“杞人”认为,内在的“存储”要比外在的“皮肤”靠谱的多~

当然,最好的办法,其实各个银行的网银已经给出了答案,就是多次不同类型的验证。毕竟现在连outlook都开始支持二次验证了(google是最先全线支持的么?)

而至于我,说实话我其实是一个蛮“纯粹”的人~