本月初,全球最大的支付公司之一的萬事達(dá)卡(MasterCard)宣布,該公司正在測試一種帶有指紋傳感器的信用卡。用戶無需在紙質(zhì)支票上簽名或輸入密碼,只要把手指按在銀行卡上進(jìn)行指紋驗(yàn)證,就可以證明自己的身份。該公司宣布,新型信用卡的研發(fā)已經(jīng)基本完成,目前正在南非進(jìn)行集中測試,有望在年底之前進(jìn)行全球推廣。該消息在發(fā)布之后再次將"指紋支付"推到了風(fēng)口浪尖,引發(fā)了人們對于支付安全問題的廣泛討論。
什么是指紋支付
其實(shí)早在2014年,蘋果公司和阿里巴巴旗下的支付軟件Apple Pay和支付寶就分別推出了指紋支付功能。指紋支付,也稱指紋消費(fèi),是采用已成熟的指紋系統(tǒng)進(jìn)行身份認(rèn)證,從而完成消費(fèi)過程的一種新型支付模式。指紋支付的流程是,首先將指紋錄入手機(jī),然后在支付軟件的手機(jī)密碼一欄中開啟指紋密碼,通過指紋比對和支付密碼等一系列校驗(yàn)后,指紋支付將正式開啟。一旦開啟,用戶在使用電子錢包進(jìn)行購物和轉(zhuǎn)賬時(shí),不再需要輸入數(shù)字密碼,只需拿手指在位于HOME鍵的指紋傳感器上進(jìn)行指紋驗(yàn)證,系統(tǒng)就可以判斷用戶身份,并最終完成或叫停支付活動(dòng)。此外,指紋支付的優(yōu)越性還體現(xiàn)在,商家現(xiàn)有的支付設(shè)備就可以滿足其新型支付技術(shù)的需要,不需要再增加花銷更新設(shè)備。
指紋支付一經(jīng)推出就受到了廣泛的關(guān)注的,其新穎的支付模式和便捷的操作流程吸引了大批的用戶。上到一百多萬美元的超級跑車,下到幾美分的雜貨,用戶只需一根手指就可以完成整個(gè)支付流程,"剁手"變得更加方便。
安全隱患亟待關(guān)注
然而,指紋支付技術(shù)在給移動(dòng)支付帶來巨大便利的同時(shí),也催生了一系列的安全隱患。簡單來說,由于指紋一定要接觸式采集,不可避免的會(huì)留下指紋痕跡;而日常生活中也會(huì)在各種地方留下指紋痕跡,這無疑在不知不覺中泄露了指紋信息,提高了偽造的風(fēng)險(xiǎn)。而隨著3D打印技術(shù)的發(fā)展,偽造指紋和手指也將變得更加容易。
近日,美國紐約大學(xué)和密歇根州立大學(xué)聯(lián)合發(fā)布研究報(bào)告,聚焦指紋支付中存在的安全問題。報(bào)告指出,目前,iPhone與Android系列手機(jī)產(chǎn)品的指紋支付系統(tǒng)仍不完善,通過打印指紋等方式可以輕松破解手機(jī)的指紋解鎖。來自這兩所大學(xué)的研究人員自主研發(fā)了一套指紋破解程序"萬能指紋"(MasterPrint),對一個(gè)人的指紋拍照,然后通過該程序進(jìn)行打印,打印出來的模型就可以解鎖手機(jī)的支付軟件,準(zhǔn)確率高達(dá)65%。
在報(bào)告發(fā)布之后,盡管部分業(yè)內(nèi)專家表示,由于在現(xiàn)實(shí)生活中存在著大量其他的影響因素,指紋破解程序的匹配率將遠(yuǎn)遠(yuǎn)低于65%,但該研究結(jié)果還是引發(fā)了公眾對于指紋支付安全問題的擔(dān)憂。加拿大卡爾頓大學(xué)信息工程學(xué)院的Andy Adler教授表示,目前,指紋支付所面臨的問題還遠(yuǎn)遠(yuǎn)未達(dá)到像報(bào)告所描述的那樣嚴(yán)重,但也足以引起人們的警覺。
那么,到底是什么原因?qū)е挛覀兊闹讣y密碼如此輕而易舉的就沒破解了呢?要知道,人類指紋重復(fù)率極小,大約150億分之一,故其稱為"人體身份證",指紋的構(gòu)造也極為復(fù)雜,偽造起來絕非易事。
究其根本,導(dǎo)致指紋支付密碼被輕松破解的關(guān)鍵在于智能手機(jī)的指紋讀取機(jī)制和用戶設(shè)置指紋密碼的不當(dāng)操作。
人類指紋特征分為兩類:整體特征和局部特征。整體特征的組成十分復(fù)雜,通常難以偽造,而由于智能手機(jī)附帶的指紋掃描儀通常較小,只能讀取部分指紋,因此,只需要偽造出指紋的局部特征即可破解指紋密碼。此外,在設(shè)置指紋支付密碼時(shí),支付軟件通常會(huì)要求用戶提供8到10個(gè)不同的指紋圖像,以完成初始設(shè)置。而大部分用戶貪圖方便,只用1到2個(gè)手指指紋進(jìn)行設(shè)置,從而造成了安全隱患。
作為最早涉足指紋支付的公司之一,蘋果公司表示,早在開發(fā)Touch ID系統(tǒng)時(shí),公司就已經(jīng)對系統(tǒng)可能遇到的安全攻擊進(jìn)行了測試,并引入了一系列新的安全功能。目前,用戶在使用Apple Pay的指紋支付功能時(shí),只有5次重新輸入的機(jī)會(huì),之后 Touch ID 就不再接受任何指紋,要再輸入密碼才能解鎖。據(jù)統(tǒng)計(jì),蘋果用戶指紋密碼被破解的概率僅為五萬分之一,即0.002%。
然而,部分業(yè)內(nèi)專家認(rèn)為蘋果公司的此番說法著實(shí)有些言過其實(shí)。他們認(rèn)為,出于商業(yè)機(jī)密的考慮,以蘋果和谷歌為代表的科技公司通常不會(huì)向公眾吐露關(guān)于指紋支付的技術(shù)細(xì)節(jié)。以谷歌公司為例,由于該公司對旗下軟件的安全問題避而不談,導(dǎo)致全球數(shù)十家Android手機(jī)制造商不得以降低手機(jī)安全等級的方式迎合谷歌產(chǎn)品的設(shè)計(jì)標(biāo)準(zhǔn)。
除了安全問題外,指紋支付也存在諸多弊端。有專家提出,手指受傷導(dǎo)致指紋破損、空氣過濕等情況,可能會(huì)影響到指紋支付的識(shí)別。而一些人從事的職業(yè)使得雙手長期浸泡在水或化學(xué)物品中,如洗衣工、廚師、化工廠員工等,也可能偶然出現(xiàn)指紋無法識(shí)別的狀況。另外,指紋支付還存在如下問題,例如:部分人群的指紋特征點(diǎn)少,難以成像;老年人指紋變的干澀難用,以致難以采集等。甚至很多手機(jī)暫時(shí)沒有相關(guān)配置,而市面上的部分智能手機(jī)采用虛擬"Home"鍵的設(shè)置,用戶也無法輸入指紋。
指紋支付難定位
克拉克森大學(xué)的技術(shù)研究中心主任Stephanie Schuckers表示,如今大多數(shù)手機(jī)制造商已經(jīng)意識(shí)到了指紋支付的安全隱患,并正在通過加緊研發(fā)反欺詐技術(shù)來完善安全系統(tǒng)。其中,美國手機(jī)芯片制造商高通公司已經(jīng)發(fā)布了新型指紋傳感系統(tǒng),通過利用超聲波技術(shù)來檢測手指深層皮膚圖案,驗(yàn)證指紋的真實(shí)性。
指紋支付專家Boehnen博士則認(rèn)為,安全問題是指紋支付這種新型技術(shù)與生俱來的弊端,很難從根本上得到解決。他表示,新的指紋傳感系統(tǒng)能夠從某種意義上緩解當(dāng)前的困境,同時(shí),以虹膜掃描為代表的新型生物識(shí)別技術(shù)也能夠有效控制欺詐行為的發(fā)生,這些應(yīng)用都將成為移動(dòng)支付的一種補(bǔ)充,也是一種創(chuàng)新和突破,但是要成為主流普及到廣大用戶中還需要很長時(shí)間,其自身的缺陷也決定了它們難以成為主流的方向。
01月07日 18:14
