指纹识别，让智能手机更安全还是……？

FBI日前通过漏洞成功进入圣博娜迪诺枪击案凶手赛伊德的iPhone，但实际上智能手机早已有了通用的后门。

在关于苹果和FBI智能手机后门事件热闹的争论中，我们似乎忽略了很关键的一点：后门本身。

新款的智能手机早已暗藏关键后门：指纹、面部、虹膜等身体部位的识别设备等，由于公众对其带来的安全隐患毫不知情，它们干起活来可谓相当轻松。

让我们想象一下这个场景。你面前放着两台智能手机，A手机由PIN码保护，B手机则同时具备PIN码和指纹扫描功能。你认为两者哪个更安全？

A手机仅受到PIN码保护，而B手机同时受PIN码和指纹保护；

A手机可以被PIN码解锁，B手机需要同时输入PIN码和指纹才能解锁；

黑客仅需PIN码即可攻击A手机，而B手机则可能同时遭到PIN码和指纹攻击。

对于上述三种说法，你得出的结论是否一致？

让我们想象另外一个场景。有两栋房子，房子1仅有一个入口，而房子2拥有并联而非串联的两个入口。哪栋房子更易防范劫匪的攻击？

我们都会异口同声地回答是房子1。没人敢断言，如果房子同时被两个入口保护，就会更安全。与此类似的是，单纯通过PIN码登入，要比主要以指纹识别登入、PIN码作为紧急备用更加安全。

兼备还是择一？

接下来我们要谈论一下“与”和“或”的逻辑。如果认证系统包含生物识别，那么仅当它与密码同时使用时，才能增加安全性。如果它是与密码择一使用，那么和之前提到的房子一样，它不会提升安全性。

用“或”逻辑构建的认证系统仅仅是通过降低安全性带来了便利。如果将“或”误认成“与”，我们就可能受困于虚假的安全感。

双因素认证还是“比一还低”因素认证？

将生物认证和密码找回结合起来，相当于拥有两个平行入口的房子。你可以把它叫做“比一还低”因素认证，因为其安全性比只用密码还低。

要说两个入口的房子比一个入口的房子出入更加方便，这没有问题。但是嚷着“双门房比单门更安全”显然是痴人说梦。

类似地，生物认证产品和密码找回结合在一起的产品确实提供了方便。然而，把它们宣传成能够提升安全性的产品显然是愚蠢、不道德、反社会的。

一些大企业、顶级金融机构和政府部门正广泛宣传这种错误的观点，这个队伍里还有不少安全专家和知名媒体。这些人被误导了，还转过来误导别人，让错误的影响以指数级扩大。

这不是一个“好”与“更好”之间的比较，而是“有害”和“无害”之间的根本性判断。在医药、国防、执法机构也被错误思想毒害之前，我们必须采取措施。

建议

如前文的分析，生物认证带来的安全性通常比口令或密码的安全性更差，而错误的安全观念往往比缺乏防护本身更加可怕。我们提出的建议有如下几条：

智能设备生产厂商对隐私和安全性的问题心知肚明，他们可以告诉消费者，不要启用生物认证系统；

如果你是关心隐私和安全性的消费者，可以压抑自己开启生物认证后门的冲动；

如果有些消费者能够接受“比一还低”因素认证，可以让他们启用生物认证，获取便利。

微信搜索“IT之家”关注抢6s大礼！下载IT之家客户端（戳这里）也可参与评论抽楼层大奖！