Apple Pay Touch ID 指紋識別的安全性?

指紋作為一種可以被隨時盜取的個人密碼,也是一種終身無法更改的密碼,被引入支付環節的潛在風險難道人們都看不到么?


難道比信用卡那個寫在外面的卡號和安全碼更不安全?


TouchID 必須是皮下活體的手指指紋(偷了指紋根本沒用,手指砍下來都沒用),而且指紋和 TouchID 校驗成功後,Apple Pay 是拿隨機生成的一次性 token 對賬的,又不是拿指紋信息明文對賬,從頭到尾指紋就不作為數據傳輸,連比爾蓋茨都稱讚 Apple Pay 的安全性,風險在哪?

只要不越獄,Apple Pay 就是便捷和安全兩方面都最佳的方式,對一個普通人來說。


這種問題啊,先百度。
touchID對砍下來的手指、死人的手指或者是盜取來的指紋模型都無效。

所以,在這些人身安全無法保證的條件下,
touchID確實存在安全印患。


能偷盜我的指紋的人,大概是我身邊的人,我身邊的人無論要做什麼損害我利益的事,我大概都沒辦法完全提防。


看到以上回答,不由得開了個腦洞……
如果一個人被劫持或威脅著用指紋轉賬給歹徒,報警之後,歹徒堅持聲稱是這個人自願轉賬的。畢竟支付過程是受害者實施的,咋辦?

還有一個就是,如果我睡著的時候,有人用我指紋轉賬,咋辦?


指紋識別真的安全嗎?辣條也能解鎖iPhone 6!

突然想起來,這個破視頻後半段是硬廣,不用看=-=

是不是因為最近放寒假,一幫幼兒園的人都來跳腳了?


不邀自請了...

本文不討論啥掃描成像技術 也不討論怎麼屏蔽屍體指紋(丫 瘮得慌)

僅從Touch ID與Secure Enclave之間指紋數據的加密運行機制整理了一下 其安全性幾何..

當然此回答純粹是本人從蘋果ios安全白皮書中的讀後總結,具體方式也許有變(我開個公司也不想公開具體細節)但是邏輯本身相信沒什麼毛病..

--------------------------------------------------------------------------------------------------------------------------

...叨逼叨叨逼叨 不如 上張圖:

額 又得叨逼叨了 .. 極不好意思中..

1.加密說明

蘋果所謂的 Touch ID 與 比如A11 處理器的綁定原理 無非就是為了加密做一層硬體的固化數據 我的理解是 如若其使用了DH秘鑰交換演算法(咱就認它用了這個演算法),其中 是將 g,N這兩個數據以硬體形式固化在了晶元晶圓中,不可讀,而只能在加密運算中作為參數被使用,以便在之後的密鑰交換握手過程 生成相等的會話秘鑰 Final Key.由DH演算法可知,在g,N相等情況下 random-t和random-s(這兩個數是通過程序生成的隨機數)即便不等 ,依然能夠生成相等的 Final Key(Final Key-t = Final Key-s). 而這個會話密鑰又是在之後的指紋數據加解密傳輸中是用來作為AES-ECC演算法的密鑰被使用的.

現在 你理解了為什麼蘋果說 Touch ID 壞了那麼就無法更換了 哪怕你跑到北京中關村 深圳華強北也無濟於事了 就認栽啪啪啪懟你的數字密碼去吧...因為每一個指紋晶元都擁有所謂硬體UID(unique ID)也即固化的物理數據(g,N)而cpu也是固化了(g,N)並且一一對應.最重要的是蘋果稱他們自己也不知道裡面的數據是什麼...而它們需要知道的只是這個cpu對應這個touch id 就行了,因為兩個硬體g,N 相等.一邊壞了就等於無法匹配相等的硬體數據..自然就沒法使用了..當然這其中蘋果自稱它們也不知道這個數 呵呵 我肯定是不信的...但它能硬氣到對FBI開放數據請求說NO...這個倒要大大地贊一下

後面的AES加密就一圖帶過了...

2.具體步驟

  • 指紋註冊

明文指紋數據進來通過生成相等的final key 在用以此作為AES加密解密密鑰,最終在Secure Enclave里將解出來的明文M通過sha-???(hash演算法都差不多)取hash值存儲在裡面.

  • 指紋驗證

流程同註冊時一致,最後對比hash值是否一致.將結果返回給 應用程序.

APP對你說 :"把你的豬蹄兒放上來」 你蒙圈照做了 過段時間APP又不耐煩地對secure enclave說:「Ok不Ok您倒是告訴我呀!」 secure enclave怒回:"你丫再急一個, 小心我讓豬懟密碼。」 你又蒙圈,APP老實了,好啦 Secure Enclave也很老實的 他把正確結果返回給了APP.

然後你就打開了各種支持Touch ID的APP...是不是很方便呢...

額 還是要鄭重其事:此乃本人一家之言 有何錯漏誤紕 歡迎各位大俠批評指正 小的也謝謝了..


以後還要引起虹膜解鎖,人臉解鎖,那麼豈不是更不安全?


手機丟了第一件事不是應該登錄網頁版iCloud,抹掉數據么?
難道還等著偷手機的人把你的apple ID、密碼、指紋和解鎖密碼都騙到手了才想怎麼解決么?


3d列印個手指


難道比信用卡那個寫在外面的卡號和安全碼更不安全? 所以安全性還是可以的,對於Apple Pay來說,如何吸引美國商家去採用他們的這項服務一直是一個難題。雖然目前美國的很多大型商家都已經支持該服務了,但因為必須升級終端以兼容 NFC,很多小型商家並不願意擔付這個成本。
相比之下,小型企業的靈活性則更高,但目前也不知道 Apple Pay 在這些企業中的採用率。最近蘋果公司與 Square 宣布合作,後者僅進一步兼容 Apple Pay。在最近一次財報會議上,蘋果表示 12 月季 Apple Pay 全球交易額同比增長 500%,用戶數量增加了 3 倍。http://18nk.cn/vfQb/


起碼比數字密碼安全不知道哪裡去了……樓上一堆被害妄想症的


推薦閱讀:

NFC 手機真的可以輕鬆讀取銀行卡信息嗎?

TAG:蘋果公司AppleInc | 移動支付 | 指紋識別 | 觸控ID | ApplePay |