应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

风口浪尖的“指纹支付”,安全隐患亟待关注

2017-05-18 08:52 未央网

导读:本月初,全球最大的支付公司之一的万事达卡(MasterCard)宣布,该公司正在测试一种带有指纹传感器的信用卡。用户无需在纸质支票上签名或输入密码,只要把手指按在银行卡上进行指纹验证,就可以证明自己的身份。该公司宣布,新型信用卡的研发已经基本完成,目前正在南非进行集中测试,有望在年底之前进行全球推广。该消息在发布之后再次将“指纹支付”推到了风口浪尖,引发了人们对于支付安全问题的广泛讨论。

  本月初,全球最大的支付公司之一的万事达卡(MasterCard)宣布,该公司正在测试一种带有指纹传感器的信用卡。用户无需在纸质支票上签名或输入密码,只要把手指按在银行卡上进行指纹验证,就可以证明自己的身份。该公司宣布,新型信用卡的研发已经基本完成,目前正在南非进行集中测试,有望在年底之前进行全球推广。该消息在发布之后再次将“指纹支付”推到了风口浪尖,引发了人们对于支付安全问题的广泛讨论。

  什么是指纹支付

  其实早在2014年,苹果公司和阿里巴巴旗下的支付软件Apple Pay和支付宝就分别推出了指纹支付功能。指纹支付,也称指纹消费,是采用已成熟的指纹系统进行身份认证,从而完成消费过程的一种新型支付模式。指纹支付的流程是,首先将指纹录入手机,然后在支付软件的手机密码一栏中开启指纹密码,通过指纹比对和支付密码等一系列校验后,指纹支付将正式开启。一旦开启,用户在使用电子钱包进行购物和转账时,不再需要输入数字密码,只需拿手指在位于HOME键的指纹传感器上进行指纹验证,系统就可以判断用户身份,并最终完成或叫停支付活动。此外,指纹支付的优越性还体现在,商家现有的支付设备就可以满足其新型支付技术的需要,不需要再增加花销更新设备。

  指纹支付一经推出就受到了广泛的关注的,其新颖的支付模式和便捷的操作流程吸引了大批的用户。上到一百多万美元的超级跑车,下到几美分的杂货,用户只需一根手指就可以完成整个支付流程,"剁手"变得更加方便。

  安全隐患亟待关注

  然而,指纹支付技术在给移动支付带来巨大便利的同时,也催生了一系列的安全隐患。简单来说,由于指纹一定要接触式采集,不可避免的会留下指纹痕迹;而日常生活中也会在各种地方留下指纹痕迹,这无疑在不知不觉中泄露了指纹信息,提高了伪造的风险。而随着3D打印技术的发展,伪造指纹和手指也将变得更加容易。

  近日,美国纽约大学和密歇根州立大学联合发布研究报告,聚焦指纹支付中存在的安全问题。报告指出,目前,iPhone与Android系列手机产品的指纹支付系统仍不完善,通过打印指纹等方式可以轻松破解手机的指纹解锁。来自这两所大学的研究人员自主研发了一套指纹破解程序"万能指纹"(MasterPrint),对一个人的指纹拍照,然后通过该程序进行打印,打印出来的模型就可以解锁手机的支付软件,准确率高达65%。

  在报告发布之后,尽管部分业内专家表示,由于在现实生活中存在着大量其他的影响因素,指纹破解程序的匹配率将远远低于65%,但该研究结果还是引发了公众对于指纹支付安全问题的担忧。加拿大卡尔顿大学信息工程学院的Andy Adler教授表示,目前,指纹支付所面临的问题还远远未达到像报告所描述的那样严重,但也足以引起人们的警觉。

  那么,到底是什么原因导致我们的指纹密码如此轻而易举的就没破解了呢?要知道,人类指纹重复率极小,大约150亿分之一,故其称为"人体身份证",指纹的构造也极为复杂,伪造起来绝非易事。

  究其根本,导致指纹支付密码被轻松破解的关键在于智能手机的指纹读取机制和用户设置指纹密码的不当操作。

  人类指纹特征分为两类:整体特征和局部特征。整体特征的组成十分复杂,通常难以伪造,而由于智能手机附带的指纹扫描仪通常较小,只能读取部分指纹,因此,只需要伪造出指纹的局部特征即可破解指纹密码。此外,在设置指纹支付密码时,支付软件通常会要求用户提供8到10个不同的指纹图像,以完成初始设置。而大部分用户贪图方便,只用1到2个手指指纹进行设置,从而造成了安全隐患。

  作为最早涉足指纹支付的公司之一,苹果公司表示,早在开发Touch ID系统时,公司就已经对系统可能遇到的安全攻击进行了测试,并引入了一系列新的安全功能。目前,用户在使用Apple Pay的指纹支付功能时,只有5次重新输入的机会,之后Touch ID就不再接受任何指纹,要再输入密码才能解锁。据统计,苹果用户指纹密码被破解的概率仅为五万分之一,即0.002%。

  然而,部分业内专家认为苹果公司的此番说法着实有些言过其实。他们认为,出于商业机密的考虑,以苹果和谷歌为代表的科技公司通常不会向公众吐露关于指纹支付的技术细节。以谷歌公司为例,由于该公司对旗下软件的安全问题避而不谈,导致全球数十家Android手机制造商不得以降低手机安全等级的方式迎合谷歌产品的设计标准。

  除了安全问题外,指纹支付也存在诸多弊端。有专家提出,手指受伤导致指纹破损、空气过湿等情况,可能会影响到指纹支付的识别。而一些人从事的职业使得双手长期浸泡在水或化学物品中,如洗衣工、厨师、化工厂员工等,也可能偶然出现指纹无法识别的状况。另外,指纹支付还存在如下问题,例如:部分人群的指纹特征点少,难以成像;老年人指纹变的干涩难用,以致难以采集等。甚至很多手机暂时没有相关配置,而市面上的部分智能手机采用虚拟"Home"键的设置,用户也无法输入指纹。

  指纹支付难定位

  克拉克森大学的技术研究中心主任Stephanie Schuckers表示,如今大多数手机制造商已经意识到了指纹支付的安全隐患,并正在通过加紧研发反欺诈技术来完善安全系统。其中,美国手机芯片制造商高通公司已经发布了新型指纹传感系统,通过利用超声波技术来检测手指深层皮肤图案,验证指纹的真实性。

  指纹支付专家Boehnen博士则认为,安全问题是指纹支付这种新型技术与生俱来的弊端,很难从根本上得到解决。他表示,新的指纹传感系统能够从某种意义上缓解当前的困境,同时,以虹膜扫描为代表的新型生物识别技术也能够有效控制欺诈行为的发生,这些应用都将成为移动支付的一种补充,也是一种创新和突破,但是要成为主流普及到广大用户中还需要很长时间,其自身的缺陷也决定了它们难以成为主流的方向。