手机指纹识别如何改变着我们的生活
发布日期:2015-12-18
随着红米Note3的推出,小米产线中终于补上了指纹识别的缺口。单单金属材质没什么好讲的,而从设计上说,红米Note 3差不多是iPhone 3G的外形复刻;内部留出空间给4000mAh电池算是唯一的用心之处。不过对于大电池来说,快充是非常必要的,否则又要回到晚上充白天用的旧使用习惯了,而仅仅配备了5v 1.5A充电的红米note3显然在这里没有多花钱。那么除此之外,最大的亮点就只有指纹识别了,借着小米产品第一次推出的指纹识别机型,那么在指纹识别全面普及的时代,我们生活会发生什么改变?
指纹识别工作原理
「一斗穷,二斗富,三斗四斗卖豆腐,五斗六斗开当铺,七斗八斗住高楼 ,九斗十斗享清福。」这句打油诗一样的谚语相信大家都不陌生。其中的「斗」,就是其中一种手指的纹路。纹路的数量、走向、角度因人而异,从而可以成为识别个人身份的信息。如果你有看过侦探剧,一定知道从案发现场提取指纹是识别罪犯的重要手段。
指纹识别的原理其实不复杂,简单的说就是扫描指纹,然后通过某种算法把指纹的信息换算成某个代码序列(比如条纹数量x3+条文角度x5+条文密度x7之类的,当然不可能这么简单啦),这个代码序列会被存储在某个特殊的芯片内,无法被破解或非法读取。在使用指纹时,指纹识别器会再次扫描指纹,然后按照相同的算法生成一个新序列,如果这个序列与之前存储的序列一致,就可以判定通过,从而允许解锁、支付等等的操作流程得以继续。
指纹识别技术发展到现在,最常见的有:电容识别。;Touch ID的电容识别则更有趣,它利用一个电容传感器感知你手指表面的微小电导率变化。手指皮肤的最外层,也就是指纹那一层,是不导电的,而指纹里面的皮下层是导电的。当你手指按在传感器上时,它会测量出指纹引起的极小的电导率变化信号,然后用这些测得的数据形成一幅图像——指纹的图像。苹果把这种传感器嵌入到了Home键里,并且用一个环包围住来减小信号干扰。我估计这个环会给你的手指传递一点电流以保证传感信号足够强烈清晰。这个设计非常赞。
产品:当指纹遇上手机
最先把「指纹」带入大众视野的,自然是Apple。发布于2013年9月的iPhone 5s虽然在外观设计上没有大的变化,但Touch ID的引入让iPhone再次获得了硬件上的领先。而不仅仅是指纹识别这么简单,苹果为iPhone设计了一整套的安全防护手段,使得直至今日,Touch ID仍然没有能够被从代码上攻破。
但是「世界首款指纹识别智能手机」的桂冠其实并不属于苹果,而是属于老牌通讯厂商MOTO。早在2011年年初,MOTO就发布了名为Atrix 4G旗舰手机,这款4寸的手机在背面顶部搭载了刮擦式指纹识别传感器(同时也是电源键),方便食指轻松识别。不过由于Android分裂的生态环境,只能靠自己的MOTO只将指纹用于解锁和资料保护。
2013年3月,hTC M7发布,开启了辉煌的ONE旗舰系列。半年后的2013年10月,同属于hTC ONE 系列的大屏旗舰ONE MAXX发布,这款5.9寸的庞然大物是hTC首款带指纹识别的产品(同时,也开启了国产手机三段金属的设计风潮)。同样,即使作为与Google关系密切的硬件厂商,hTC也只把指纹用于解锁,只是多了一个扫描不同指纹启动特定应用的设定,聊胜于无。
指纹除了在正面、背面、顶部之外,剩下的只有侧面了。于是今年(2015年)的8月,世界首款指纹在侧面的手机荣耀7i发布。有趣的是虽然早在其发布三个月前就有同样指纹在侧面的Nubia Z9尊享版发布,但直到今天也没有正式开卖。起了个大早赶了个晚集,让荣耀捡了个便宜。不过荣耀7i也是有点让人唏嘘,配了个反转摄像头,可是摄像头不能自己转要手动调……配了侧面指纹识别,但也只是指纹识别的功能,在另外一侧还有单独的电源键……不知道华为什么时候能花钱给老总们做个审美101的培训。
苹果提出某项新技术,常常会领先其他厂商一整年。在指纹方面,Android厂商花了那么久才反应过来的原因是,指纹识别芯片提供商的第一大AuthenTec与第二大UPEK(前身是芯片行业另外一个大名鼎鼎的公司意法半导体的生物识别部门,之前专门为IBM的ThinkPad提供指纹识别)在2010年合并,然后苹果2012年收购了合并后的公司,所以市面上一下没得选了……
三星S5的刮擦式指纹识别来自于一家叫做Validity的公司,而这家公司后来也被Synaptics(笔记本触摸板、手机触摸屏控制芯片的知名提供商)收购。
国产厂商喜欢使用的瑞典FPC(Fingerprint Cards)是一个相当有资历的生物识别企业,有资历到什么程度呢,人家官网的网址都是「指纹.com」。虽然出货量并不大,但技术实力是相当优秀的,在iPhone之前的手机厂商采用指纹识别一般都是它的产品(红米Note 3本次选择的指纹识别芯片也是来自于FPC)。
还有一个为国争光的深圳公司,汇顶科技(Goodix)。这是一家比较新的公司,成立距今十年多,之前一直在做手机触摸屏的控制芯片,2011年获得了MTK投资,2014年推出了和苹果一样的按压式指纹识别。比较知名的产品应该就是魅族第一款指纹识别手机MX4 Pro了,然而表现好像不是很理想,MX5也换成了FPC。
设计:致那些无处安放的指纹传感器
回到Android,我们面对的是一个浩瀚的分裂的机型海洋。正面的三大导航键有的是机械键,有的是电容键,有的是机械键和电容键混搭,有的则是没有元件结构的虚拟键。在这种情况下,增加一个指纹识别区域就有非常多的组合可能。
典型的,比如三星,作为iPhone的跟随着,它采用了机械Home键+电容返回/多任务键的设计,自然会跟随苹果选择在Home键上叠加指纹识别;
而更遵守Android设计规范、采用虚拟键设计的hTC ONE M9+,则选择直接在下巴上增加一个独立指纹识别区;
一加2算是以上两者的合体,他有自己的三颗电容键,因此Home键被换成了和电容键一样不可按下的指纹识别,此时类似于三星的设计;但一加2还有一个国际版的固件氧OS,在这个固件中可以关闭实体键转而使用虚拟键,就和hTC相似了。
去年大热的华为 Mate 7采用了虚拟键设计,则选择了把指纹放在背面,使得正面无需做修改;
提到Home+正面指纹,当然少不了魅族。把所有按键一股脑儿集合到同一颗按键上然后再加上指纹识别,好坏……不重复了。
那么指纹放在正面和背面哪种情况更好?这是相当有趣的一个话题。机身上一共就六个面,到底哪里才是放指纹的好地方呢?iPhone和三星选择了正面,首先是因为他们的产品原本就是有正面实体键的,延续产品设计是保持品牌识别度的重要手段。放在正面的好处很明显,就是位置一目了然,触摸准确率高。不好的地方,首先正面是一个非常紧凑的部位,增加指纹识别之后很局促,要么会导致产品结构复杂、成本提高,要么就会因为要留足够的空间给识别传感器,导致正面屏占比降低。对于现在已经奔到5.5寸的设备来说,寸土寸金的正面是非常宝贵的区域。还有就是,按照Android的规范,三颗导航键应该采取虚拟键设计,这就使得正面单独一颗指纹识别变得非常突兀。至于像一加、魅族这样自己定制了正面按键以实现空间利用的产品,再次提醒一下:常用按键不要重定义,常用按键不要重定义,常用按键不要重定义。
指纹在背面则刚好相反,首先手机的内部空间安排会灵活得多,从而降低了设计难度(因此可见几乎所有千元机都把指纹放在了背面);在大屏的持握姿势下,摄像头下方刚好是食指的位置,比较方面操作;另外对于指纹识别手机来说,背面大多是塑料或金属,加工成本要明显低于放在正面。不好的地方也很明显,由于背面看不到,手指不会很好地放在传感器正前方,因此指纹识别率不如放在正面高;加上用户的手掌大小千差万别,指纹的位置对于手小和手大的使用者可能不是最方便的位置;还有如果是手机放在桌子上查看讯息之类的操作,就必须把手机拿起来才能解锁使用。
说到这里有个有趣的事情,Google的上一代旗舰Nexus 6 原本背面的MOTO标志是指纹识别传感器的,但后来正式发售的时候被取消掉了,大概是因为彼时Android系统尚未为指纹识别做好支持(直到今年发布的Android 6.0才增加了原生的指纹识别功能)吧。
再有就是侧面了。由于电源键本来就在侧面,因此把指纹放在侧面和电源键集合在一起似乎顺理成章,而且这样的方案会让产品比指纹在正面或背面都要简洁。不过问题就来了:现在的手机的趋势是越做越薄,在当下的厚度条件下放入指纹识别,由于传感器面积很小,识别成功率就相当有限;另外对于5.5寸的产品来说,侧面并不是一个常见的手指位(由于大屏手机宽度大,拇指在正常使用下按侧面并不方便,对于5寸一下的手机来说侧面才是方便的),因此频繁使用的便利性也并不好。
我个人觉得,指纹放在哪里并没有绝对的优劣,只要厂商们从产品的实际使用出发,选择适合自己产品的设计就最好了。如果全世界所有手机都长得像iPhone也是一件很无趣的事情不是么。
千元机们都纷纷加上了指纹识别,但有诸多旗舰仍然在这一项上空缺,比如小米note。而根据各项传闻,锤子T2带有指纹的概率也是相当渺茫,不清楚是不是会同时发布带有指纹的高配版。除了T2,小米手机5也已经延期半年了,也许一样是被指纹绊住脚步了?
结合之前「小米note就是小米5」的传闻,瞎揣测一下:在小米手机5的研发过程中原本并没有指纹的功能考虑,因为彼时因为苹果的技术垄断,市面上支持指纹识别的旗舰并不多,所以小米的产线规划中并没有这个部分。没想到转入2015之后风云突变,市场上很快出现了实用性的指纹元件供应,自然就推动了手机搭载指纹识别的需求增长,不得已小米只好把开发中的新品提前发布并更名为新系列,转而开始了支持指纹识别的新机型开发。
这种推断其实已经发生过了,就是去年的锤子T1。原本T1是一款系统和设计都相当优秀的产品,但缓慢的开发进程使得其硬件配置在发布、并最终正式发售时已经没有任何优势(相同配置的小米4价格比其便宜1000块),使得其市场表现相当吃力。手机市场的变化风云莫测,也许这种不确定性才让整个产业充满了可能吧。
融合:指纹的未来
前几天微博上传出了「隐藏式正面指纹识别」的保护玻璃照片,众人褒贬不一。从结构上说,指纹识别传感器也是由保护玻璃(或保护涂层)+电容传感器的结构,因此和触摸屏的保护玻璃做到一起也不是不可能。不过这样带来的问题就是,手机组装时的难度要提高很多,可能会影响良品率。在短时间内,这个设计可能只会出现在旗舰级的产品上。
这个设计在功能上的含义基本没有,只是让手机的设计变得更灵活和完整了而已。另外由于不需要在正面玻璃上开洞,手机强度会有一定的提高,bia在地上的时候碎屏的概率也会相应的降低。不管如何,这都是指纹识别的一个进步,希望能尽快看到实际的产品应用吧。
之前的文章讨论过,iPhone 6s的3D Touch技术原理就是在触摸屏的电容感应层下面又加了一层触摸感应层,由于指纹扫描的元件本身也是一层电容感应层,所以理论上来说把传感器完全嵌入到屏幕里(显示区域)并不是不可能的。至于会不会带来这样的变化,让我们期待以后的iPhone吧。
iPhone在设计上的一个弱点是,下巴要为Home键留位置,而额头要和下巴保持对称,导致整个手机的比例很长。如果指纹识别真的可以和屏幕融合到一起,那么在相同尺寸下iPhone的显示内容会大大增加,单手操作型也会有明显的提高。那么问题就来了:机械Home键对于iPhone来说到底有多重要?以前我介绍过,iPhone的Home键设计来源于其单任务的系统特性,Home键对于App就像是电源键对于电器一样。在iPhone逐渐获得了完整的多任务运行能力之后,Home的定义显然变得臃肿和复杂了。在这种情况下,苹果是否会选择为了增加显示面积,放弃机械Home键,转而使用如概念图中的固定位置电容Home键,甚至更激进的小白点式虚拟Home键呢?
在设计风格从拟物转向抽象之后,也许实体键对iPhone变得不那么重要了。也许借这个机会,iPhone会开启设计的新纪元吧。
国中之国:硬件、软件和安全
一个重要的问题是:作为身份验证手段,指纹识别安全吗?
1.指纹图案本身是不会被记录下来的,在扫描进行的时候图案就会被实时转换成某个特定的代码序列
2.这个代码以及指纹识别程序是存储在芯片中一个特别的区域中( TEE,Trusted Execution Environment,苹果称之为SE,Secure Enclave,其他厂商有TrustZone之类的名字),这个区域被硬件级别的加密保护着,无法被破解、非法读取,只能由系统按照设定好的方法与其通信(很多人用iTunes更新iPhone上遇到错误53变砖,错误53是Touch ID损坏,而Touch ID与主板上的SE是一一对应的,Touch ID损坏视同SE遭到破坏,因此无法完成系统固件的写入)。这个独立的TEE区专门用于处理指纹识别相关的流程,是独立于手机软件系统的一个子系统,就像四周与邻国接壤、但领土完全独立的国中之国。
3.软件方面,软件本身并不会获得指纹相关的信息,而是直接获得指纹验证的判定结果。举个不太恰当的比方,支付宝、微信之类的账户密码是不同的钥匙,而这些钥匙被锁在一个保险箱中,保险箱只能用你的指纹打开。当需要用钥匙开门的时候,支付宝不是和你要指纹去开保险箱,而是向系统请求锁在保险箱中的密码,需要你自己打开保险箱,把只属于支付宝的钥匙给它。
4.得益于现在的技术进步,指纹扫描元件都是电学原理,大概可以想象成一个很小的无比精细的电容触摸屏。和把十个手指同时放在iPad屏幕上会识别出十个点一样,指纹放在这块精细的电容触摸屏上时,指纹凸起的地方会被会识别出来,从而获取到指纹的纹路。这个原理使得对指纹简单地拍照(或者从手机屏幕上用贴纸粘下指纹的痕迹)然后打印出来是无法被识别到的,因为那只是一个平面而已(和打印一张手指的图案放在iPad上无法识别一样)。而由于这个电学原理需要生物自身的电导性,因此把指纹翻印成硅胶指套,或者把可以通过验证的手指砍下来拿去验证都是无法通过的。要做出和真指纹一样有电学特性的指套,所需要的工具就很复杂了,如果真的有人做到这一步,恐怕指纹不会是最后的防线了(盗取密码之类的手段更简单更快)
5.正常情况下,唯一需要担心的情况是这种:
指纹比密码更安全?
一个典型的误解是:指纹比字符密码更安全。试着想想三个问题:
1.在非法使用者对你本人一无所知的情况下(比如偶然捡到了你的手机),字符密码和指纹解锁哪种更安全?
假设你设置的密码是4位数字,那可能的密码组合就是10x10x10x10=10000,被偶然试到正确密码的概率是一万分之一。而如果你的密码是6位数字,那这个概率就瞬间降低到了一百万分之一。这就是为什么iOS 9把锁屏密码从4位升级到了6位。
而指纹呢?根据苹果的iOS 安全白皮书,指纹的随机匹配概率是五万分之一,比4位数字密码小一些,但远大于6位数字密码。这个意思是说,陌生人试指纹解锁的成功率比试四位密码小,但远大于试6位数字密码。
2.哪种身份识别信息更容易被获取,字符密码还是指纹?
得益于社交网络的流行,通过你的微博、人人资料获取你的个人信息(比如生日、出生地等)结合社会工程学来获取你的密码并不困难,加上钓鱼邮件、IM诈骗之类的更是有很高的成功率。这使得尝试破解你手机密码的成功率远远高于百万分之一。但至少字符的组合仍然需要尝试和猜测。
而指纹呢?除非你是手冷的断翼天使一年365+1天时时刻刻带着手套,否则从你生活中提取一个完整指纹真是太简单——玻璃材质的手机屏幕就是最好的指纹收集器。不仅如此,手指上时时刻刻在分泌的油脂还大大提高了提取指纹的成功率——除非你是手上没有汗腺的怪物。
3.当密码或指纹发生泄漏时,哪种安全手段有更好的补救手段?
密码就是一列字符串,所以很简单的,只要通过某种方式让这个密码作废就可以很大程度上止损了。但指纹呢?你能够撕掉你的指纹让它重新长一副出来吗?这可是写在你DNA里的东西啊。
跟我读:指纹解锁的唯一意义在于便捷,指纹解锁的唯一意义在于便捷,指纹解锁的唯一意义在于便捷。
而另一个常见的疑惑是:为什么国产千元机都可以做到息屏指纹解锁,为什么iPhone和三星这种大厂旗舰反而必须先按下Home键点亮呢?
从结构上说,息屏解锁和双击亮屏的原理相同——只要一直开着指纹传感器就行了。但不一样的地方在于,指纹识别会动用的芯片区要有绝对的保密性。触碰就可解锁的指纹本身是没有机械结构的,为了解锁速度就必须要保证指纹传感器始终开启,连带整个加密区域也是要一直工作的。而像iPhone、三星和魅族这样需要在触碰的同时下压这个指纹扫描/Home键二合一的机械键点亮屏幕的设备,则可以在点亮屏幕的时候再唤醒指纹识别模块,从而减少耗电。
iPhone的Touch ID更是在这里设计了巧思,在手指接触到Home键时,金属圈会感应到手指的存在,从而在屏幕被点亮之前就唤醒指纹识别模块提前开始指纹识别,从而让用户感觉指纹识别比实际更快(你可以试试看把手指放在Touch ID上过一会儿再按下和手指一口气按下Home键两种情况下从屏幕亮起到进入桌面的时间)。
三星作为面向企业用户的品牌,也在硬件上考虑了安全性。在三星的Galaxy系列旗舰中有一个Knox功能模块,可以用来存放金融App、第二个微信等等。这个功能由主板上一个独立的元件保护着,在系统未被Root的时候,Knox模块内的资料无法被任何第三方手段读取;而当系统Root的时候,主板上这个独立元件会自动熔断,使得Knox模块失效、资料清除,从而避免其保护的资料泄漏。(这也使得三星手机成为了几乎最不适合极客用户折腾的产品╮(╯▽╰)╭)
但不仅仅是如此。指纹是一个非常敏感的身份标志,所以要以更高的安全标准来保护整个识别流程。iPhone的Touch ID在手机关机后刚开机的时候是无法使用的,必须要先输入一次锁屏密码,这是因为这时候系统还没有启动指纹模块的权限,要先通过验证密码来确认使用者的身份,系统才能够得以与指纹模块沟通。这种许可的有效期持续到关机之前,防止非法使用者通过反复开关机对指纹进行尝试。而可以息屏解锁的那些设备们,他们是否采取了什么措施来降低系统休眠状态下(此时软件上的各项安全限制都无法启动)指纹模块被非法读取的概率就不得而知了。
功能vs娱乐:指纹识别能干什么
说实在,我觉得国产厂商(全部,一个不落的)真的是坏得手指流脓头顶长疮,竟然把识别速度当作指纹解锁最重要的属性。在寻找相关材料的过程中,除了Apple和三星这种国际大厂,我没有找到任何一家国产厂商把安全性提到宣传的最高层级上(华为倒是和支付宝合作宣传过,但那是因为支付宝作为在线金融服务的属性对安全性有更高要求)。
识别速度和什么有关?1.选择的指纹识别传感器性能,而目前没有哪个厂商是自己拥有指纹识别传感器生产技术的,所以全看舍得在这一项上话多少钱罢了 2.指纹识别流程的安全性保护 硬件的加密解密都需要时间,而整个流程的安全性考虑越周密,就越会增加指纹识别流程的步骤,自然会拖慢识别速度 3.识别率 是的,对准确度要求越苛刻,需要进行对比的指纹特征就越多,也就需要更多的时间进行计算。稍稍降低指纹的识别率,识别速度就能够有明显的提高。
而关于识别率就更有趣了。一个简单的问题:把0°定为「冷」,100°定位「热」,那多少可以算作是冷和热的交界处呢?50°吗?那49°呢?51°呢?但如果把37°定为唯一的「舒适」,那么任何一个温度比对都可以得到唯一的结果,「舒适」或者「不是舒适」。指纹识别就类似于这个样子:从指纹图形转化为特征代码串的过程是有损的,因此只能以一个算法来判定两次扫描结果的相似度是否达到了可以解锁的标准,0%相似是不可解锁,100%是可解锁,那么百分之多少的时候是可解锁和不可解锁的交界处呢?而字符密码就完全没有这个问题了。系统中存在着一个唯一的正确密码,除此之外任何字符组合都是错误的。
指纹被应用于安全辨别,是因为这是跟随每个人的天然特征,独一无二且不会变化。但正因为独一无二和不会变化,就需要更严格的保护这个「一旦泄漏就功亏一篑」的身份标志。对于任何以指纹识别为卖点的产品,都要将安全性当作唯一的至高标准,而不是可笑的「识别速度」和「识别率」。如果你真的只是毫不在乎地将指纹当作解锁屏幕的快捷手段,那么在解锁速度的对比上,红米note 3<<魅蓝metal<乐视1s<荣耀5X。注意,部分产品的解锁速度和成功率会随着使用频率增加而逐渐提高,而完成解锁进入主屏的速度也并不绝对与识别速度一致,人(的感观)是很容易被欺骗的。
由于Android原生系统刚刚增加指纹识别功能模块不久,因此很长一段时间内指纹的功能仅限于屏幕解锁而已。简单粗暴地说,指纹就是编码了的密码,密码能玩出什么花样呢?不过三个臭皮匠顶个诸葛亮,厂商们也渐渐在为指纹的存在寻找更多(抓眼球的)意义。
1.资料加密
最基础的用法,把应用、图片、短信等放入一个私密区,用指纹加以保护。我个人觉得这是一个非常本土化的功能,因为在我看来依托手机自身的安全性设一个全局密码来限制自己以外的人使用是天经地义的事情,所以不是太赞同这种把资料单独锁定以求得「方便他人查看」和「个人信息保护」之间的微妙平衡的功能。不过对于会把重要邮件和资料放在手机中的商务人士,显然这个功能还是很有价值的(again,这样的话你该选iPhone或者黑莓而不是Android)
2.启动应用
由于大部分指纹识别芯片都可以存储5枚左右的指纹信息,所以一些ROM会加入「扫描某个特定指纹启动某个特定应用」的功能,意义类似于锁屏界面上的拨号和拍照快捷按钮。和「ATM上倒着输密码会自动报警」这个谣言不同,这是真实可以做到的。不过显然,哪个指纹代表哪个应用不像锁屏界面上划哪个按钮代表进入那个App那么直观,所以这个功能的实用性同样很弱(推荐厂商搭配五彩露指手套销售,色彩可帮助记忆嘛)。
3.主客系统
算是上两个功能的合体,利用资料分区(或者Android原生的多用户体系)登入不同权限级别的用户区域,目前在华为的EMUI中独有,不过我觉得这是相当有价值的功能,录一个平时不用的指纹,可以在被迫要求查看手机的时候悄无声息地启动一个「洁版系统」,保护面子,保护隐私。
4.触摸板
Android系统在最开始构建的时候是以黑莓为模板的,所以系统从底层提供了对指针和焦点的支持。在iPhone推出后,Android迅速模仿成触摸为主、按键操作为辅的系统,这也是为什么Android 2.X之前的各种机型大多会带有方向键、轨迹球或者触摸板。尽管时至今日触摸的地位已经不断被强化,但Android仍然保持了指针系统。这也使得在Android在轻办公领域有巨大的潜力,而自始至终整个图形界面都为触摸而设计的iOS则始终无法胜任生产力工具的重任。
大部分触摸板都是电容结构,而它的原理同样类似于手机触摸屏,这也就使得同样基于电容结构的指纹传感器变成一块迷你触摸板成为可能(魅族的mBack也不过是仅仅利用了点触功能而已)。不过这个功劳显然要归功于指纹识别芯片的生产商,各大手机厂商只是拿来集成在系统中而已。
在Android 6.0原生支持指纹识别之后,也许会有越来越多的软件可以让手机上这块区域变得不那么没用。
当指纹遇上支付……
移动支付是个很大的话题,月底我会单独开一篇聊一聊。指纹识别的原理前面介绍了,相当于应用把支付密码放进指纹保险箱,然后通过指纹开启。那么指纹支付能被哪些应用支持,就全看这些应用对该机型安全度的信心了。用60多页白皮书为自家安全性背书的iOS给出了三大保证:1.指纹信息完全在本地,绝对不会以任何形式传输出手机或上传云端 2.存储指纹的区域硬件上不可攻破 3.第三方应用只能获得「指纹通过/指纹不通过」的结果,具体指纹的判断由TEE独立执行。加上有iOS完善的开发接口支持,包括京东金融、支付宝、微信支付在内的各大在线金融服务都很快支持了指纹识别。
而Android显然要复杂得多,因此各机型的支持情况也各不相同。最早的三星S5,支付宝提供的指纹支付只是相当于把原先的「小额免密」功能加上了指纹锁而已,支付上限和小额免密一样是1000元。华为则是和支付宝共同合作,采用和iPhone类似安全机制的Mate 7让支付宝有信心给予其完整的支付权限,而在支付领域资历尚浅的微信则始终谨慎得多,给出了单日5000的限额。
红米Note 3目前尚未获得任何第三方金融服务的指纹支付支持,具体原因是无法做到让第三方支付信任安全性还是仅仅是发布仓尚未展开合作不得而知。我个人的看法是,按照指纹识别本身的安全级别,第三方应用们完全可以开放单日200元的小额指纹支付(反正即使没有指纹,这样小额的支付也多半没有任何密码保护,指纹算是锦上添花),以此来带动指纹支付的快速普及。不过谈论到大额指纹支付,我还是觉得除了iOS之外都不要了……
一个常见的误解是,指纹支付会被与二维码支付和NFC支付并列。这个话题很大以后有机会展开说,基本的一点是:二维码和NFC本身只是通讯手段,和数据线、蓝牙、红外一样;而指纹则是身份验证手段,应该和密码、数字签名、硬件key等并列。
前面的分析中说了,指纹识别的安全性其实远不如字符密码,最大的优势是便捷。这在小额支付中是非常实用的,但当大额度支付时则就处于劣势了。二维码支付是三者之中安全性最低的,一个是它极其容易被破解,另外一个从支付流程上来说,它是密码先验的——你在打开二维码的时候,就已经为后面任何可能的支付内容进行了身份验证了,而此时你并不知道你要付什么——类似于你开了一张空白支票并签了字,然后让商家在上面随便填.
NFC本身是硬件式的身份鉴权,就是「硬件持有人就是合法用户」,好处是在电子环节的破解几乎不可能,坏处就是任何持有硬件的人都可以使用该硬件的权限支付——比如丢了的不记名的公交卡。
只靠指纹是无法实现支付功能的,这个流程必须配合其他的通讯手段来完成。Apple选择了NFC,而在指纹识别在千元级普及后,支付宝们会不会为二维码加上指纹呢?以后我们继续探讨。
----------转自YY手机网
