iPhone的指纹认证

最初发表于Wired.com（2013年9月9日）

为了获得生物识别技术，苹果收购了AuthenTec公司，据说这是苹果最为昂贵的收购案之一。有许多推测是关于苹果公司会如何把这项技术融入它的产品线中的。许多人推断将在明天发布的新一代iPhone将会带有指纹认证系统，并且可以用于好几种方式，例如在狭窄的读写器上划过手指以便让手机可以识别出你的动作。

苹果把生物识别技术加入iPhone中是明智之举。对于移动设备来说，指纹认证在便利性和安全性之间达到了良好的平衡。

生物识别系统很诱人，但事实并没有那么简单。它们有着错综复杂的安全特性。例如，生物特征不是密钥。你的指纹不是秘密，在你碰到的每个地方都会留下指纹。

指纹读写器的漏洞同样有着悠久的历史。其中一些要好过其他产品。最简单的方法就是检查手指的脊线，还有一些可能会被精美的复印件骗过。其他的还会检查毛孔。更好一些的会校测脉搏或手指温度。想用橡胶指纹来骗过它们是比较困难的，但通常也是可能的。十多年前一名日本研究员就成功骗过了指纹读写器，他使用的是通常用于制作小熊橡皮糖的明胶混合物。

我所见过的最好的认证系统是某个政府大门入口的安全设施。或许你可以用伪造的指纹骗过它，但是荷枪实弹的士兵会确保你没有机会去尝试。迪士尼公司在它的公园门口使用了类似的系统，但是没有士兵把守。

设计只对你进行身份认证的生物识别系统要比设计能辨识未知的人的生物识别系统更加容易。也就是说，对于系统来说，回答“这个指纹是否属于这个iPhone的主人”这个问题要比回答“这个指纹是谁的”更加简单。

认证系统可能有两种失灵的方式。它可能错误地允许某个非授权人员访问，或是错误地拒绝某个已授权人员的访问。在任何消费者系统中，第二种故障要比第一种糟糕得多。是的，如果iPhone的指纹系统偶尔允许其他人访问你的手机，则可能产生问题。但是如果你无法可靠地访问你自己的手机，那么会更加糟糕——一周后你就会弃用这个认证系统。

如果苹果公司的新一代iPhone具备生物识别安全功能的消息是真的，那么设计者在确保用户总能进入手机界面的问题上可能犯了错误。认证失败的情况在天冷时，或当你的手指在水中泡久了有褶皱等时，会很常见。但是用户还是可以使用传统的PIN系统。

所以生物识别认证技术可能被黑客入侵吗？

答案几乎是肯定的。我确定如果有人拥有一份你的指纹的完美拷贝，并且具备一些基础的材料工程专业能力，或者仅需要一台足够好的打印机，就能够通过认证解锁你的iPhone。但是老实说，如果这些坏家伙拥有你的iPhone和指纹，你可能就要担心更大的问题了。

关于生物识别系统的最后一个问题是数据库。如果该系统是中心化的，将会有一个存储生物识别信息的大型数据库，但这会很容易被黑客攻击。对苹果公司的产品来说，该系统几乎肯定是本地化存储的。你通过iPhone来认证，而不是通过网络去认证。所以一个中心化的指纹数据库是没有必要的。

苹果公司的举动很可能把指纹读写器功能带到主流产品中。但是所有的应用不是一样的。如果你的指纹能解锁手机，那是可接受的。如果你的指纹被用来认证你的iCloud账户，那就是完全不同的事情了。该应用需要的中心化数据库会带来巨大的安全风险。