Re: [問題] 指紋為什麼比較安全？

看板AntiVirus (防毒)作者pipidog (如果狗狗飛上天)時間12年前 (2014/04/05 04:11)推噓1(1推 0噓 11→)

留言12則, 4人參與討論串2/2 (看更多)

※ 引述《dharma (達)》之銘言： : 輸入數字文字密碼 : 輸入滑動密碼 : ... : 這些和輸入指紋 : 感覺上沒什麼差別啊 : 如果駭客可以截取文字、滑動... : 同樣也可以截取指紋 : 為什麼指紋有比較安全？ : thank 其實密碼這東西就跟防毒很像,你要最嚴密的防護,你就要忍受防護帶來的不便. 同樣的,你要使用很方便,你就要忍受防護能力不足.這兩者本質上是衝突的.但是隨著科技的發展,防護力會慢慢增高,不便性會慢慢降低.最後會達到一個親密點. 現在來比較一下,密碼跟指紋的差別. 以密碼來說,一般的鍵盤考慮a-z,A-Z跟0-9,如果再加上10個特殊字元, 每輸入一位數字,密碼的複雜度就會增加72倍.假設你有六位密碼,你的密碼的可能性就會是72的6次方. 那指紋呢,指紋比較難說,因為不同的機器採樣的模式不同.我們考慮到一般的電腦或手機上面設計的指紋採樣不可能很精密. 所以我們假設一個最簡單的模型. 假設指紋的感應介面被畫成一個10x10的網格(越精密的掃描,當然可以畫更細的網格),當我們的手貼上去的時候,指紋辨識機會掃描其中10個特徵點(轉折,漩渦...等),然後把這10個特徵點在網格上的座標記錄下來. (真實的系統,它們是去紀錄這十個點的相對距離跟角度) 如果是這樣的話,一根手指就會定義出10組(x,y),每個x,y可以從1~10.所以一根手指就給出了10的20次方種組合. 如果換算成鍵盤密碼的話,相當於你要10~11位密碼才可以達到一根手指給出的安全性.如果是指紋辨識的精密度更高的話,這數字會差更大! 那方便性呢? 現在一根手指的指紋辨識大概可以在1秒完成.如果我們用10 位數的密碼取代,以按一個碼需要0.5秒計算,10位數需要5秒鐘才可以完成! 1sec VS 5sec 所以說指紋密碼的加密性跟方便度都大大的超過了鍵盤.而且最重要的是, 這組密碼你並不需要記! 因此以密碼學的觀點來看,指紋辨識可以說同時兼具了高加密性跟高方便度.似乎無懈可擊! 但確實如此嗎? No! 指紋辨識同時也具有一個不可不迴避的問題:不能改! 如同臉部辨識,虹膜辨識,DNA辨識,或者各式各樣的生物辨識都是.它們都是生物與生俱來的特性.跟你一生,改也改不掉.換言之,一旦被破解終生都作廢! 所以說一旦你的手機或電腦上的指紋資料被偷走了.你的指紋密碼將永遠被破解!之前看到有朋友把10支手指頭的資料都設給了iPhone,坦白說我還真有一點擔心. 另一個問題是,安全防護是有邊界效應的. 比如說防毒軟體,都不裝,也許40分, 裝一套,可能就到80分了,如果再加個防火牆,可能到90分了.但是再加個HIPS, 可能也只能提高到95分.安全防護也是.當你的密碼設到4,5位時(例如手機),如果再搭配試錯三次鎖機這類功能,其實要靠破解已經很困難了,除非是受過專業訓練的高手,否則大概90%的危險都擋掉了.再更多位,其實意義不大了.所以指紋辨識雖然可以一隻手指就可以直接給你高達10位密碼的效果,但其實在第四位以後那些密碼對安全性的貢獻,可能只是增加2,3分的效果. 所以現實生活中,我們如果我們以4位密碼來講,其實大概也就兩秒,如果再適當搭配其他的規則,例如三次鎖機,例如選取識別圖片之類的功能,其實方便性來說並沒有和指紋辨識相差這麼大了. 如果以這種觀點來比較,指紋辨識真正突出的優點就只剩下一個了: 不用記密碼! 但是反過來說,你接受你的銀行帳戶密碼永遠不能改嗎? 以及密碼被盜後終生失效的風險嗎? 這是個見仁見智的問題. 大家答案都不同,就給各位自己思考了! -- ★人生中最溫暖的夏天是在紐約的冬天★ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 128.120.178.119 ※ 文章網址: http://www.ptt.cc/bbs/AntiVirus/M.1396642299.A.570.html ※ 編輯: pipidog (128.120.178.119), 04/05/2014 04:21:27