密码和指纹 哪个身份识别方式更安全？

当初入TP的时候，就有过这个思考，是不是要带指纹识别；

不过后来仔细想了一下，这会是一个很有意思的事情；

依稀记得之前有电影片段，是某个机密的场所，进门需要指纹+掌纹，结果若干反派人物就直接把那位有指纹同学的手给砍了下来，淡定的进门了。。。

这个片段一次一次的让我对于指纹识别抱有一定的戒心，因为那就好像在告诉别人，嘿，我这里有一些小秘密，但是只有我的手可以打开哦～

。。。

言归正传，这就需要先回到身份识别方式的选择上。

最原始的识别方式就是传统的文本型密码（再往前咱们就不追究了吧）

后来有了动态识别码，或者硬件辅助（U盾）的手段；

再后来有了人脸识别，指纹识别，等等。

但哪个更安全？恐怕没办法立刻下结论，这就要扯到密码学里面的一个概念 – 相对安全性

不管多长的密码都只是相对安全的（其实指纹也好人脸识别也好，都可以抽象理解为一种密码）

无非是需要5分钟还是5000年才能“理论上”破译的差别，这就是相对安全；因为随着硬件性能的不断提高，当初认为是5000年才能破译的密码，可能现在只需要5分钟都不到就搞定了；同样，现在号称5000年才能破译的密码，在若干年后，随着计算能力的不断提高（尤其是更大规模更普及的云计算/分布式计算），指不定10年后就把这个在10年前认为需要5000年的计算量的事情在短短5分钟之内搞定了（当然这里说的略有夸张，毕竟5000年和5分钟相差了9个数量级）。

而密码的破译，或者说成功破译，几乎很少会依赖于计算能力，而更多的是依赖于 – 方法（砍手就是一个不错的方法～）

对于纯文本型的传统密码，也许只有按键记录器或者“偷窥”会靠谱一些；

而动态识别码和U盾，你只要“偷”到了这个硬件，就搞定了；

至于人脸识别和指纹识别，就更简单了，直接拿照片或者复制一下指纹（透明胶带或者玻璃杯子即可）就可以了；至于因为拿照片就可以搞定解锁这件事情。。。google表示压力略大（[图]谷歌建议用户吐舌头、歪脖子 设置高安全性能面部解锁密码），毕竟android4.x系统有一个“给力”的功能就是人脸解锁。。。

所以看起来，似乎安全性上，是传统密码 > 动态识别码及U盾（你需要随身携带） > 人脸识别和指纹识别

而从“用户需要记录的数据量/使用简易程度”来看，传统密码> 动态识别码及U盾（你需要随身携带）> 人脸识别和指纹识别

这很有意思，因为似乎，用户体验越高，安全性就越差（less is more，really？）

那到底该选择哪一种？

这很难说，其实这是一个因人而异的问题；

如果用户是一个“所有密码都一样”的“纯粹”的人，那么他真心需要“非传统密码”的保护，因为从某个角度来说，即使是他的照片都要比他的传统密码安全。

如果用户是一个自我保护意识很强的“杞人”，那么还是传统密码更适合他，而且是需要分级（根据信息安全级别的不同来分级密码）的。毕竟天天担心着自己的手被别人砍掉是压力很大的～ 因为“杞人”认为，内在的“存储”要比外在的“皮肤”靠谱的多～

当然，最好的办法，其实各个银行的网银已经给出了答案，就是多次不同类型的验证。毕竟现在连outlook都开始支持二次验证了（google是最先全线支持的么？）

而至于我，说实话我其实是一个蛮“纯粹”的人～