指纹安全吗,支付宝、微信支付会上传用户的指纹吗

2016-12-27 08:41 | 牛评

6a0120a5580826970c019b00177553970b

永远正确的奥卡姆剃刀老师发长文对生物密码安全谈论了几点:第一,华为最安全;第二,某些手机厂商支付宝、微信等会上传用户指纹,而华为不会满足这样的要求,所以华为最安全。并指出因为生物识别因为其有限性,难道等到出现问题的时候我们要自废双手自戳双目。

虽然被人认为这么明显的华为的广告怎么能说是软文呢,但有一点是对的,就是剃刀老师通过自己的影响力提醒大家注意安全是对的。

要了解指纹是不是安全,首先要了解厂商是如何存储指纹的。

一,手机如何存储指纹?

要了解其他应用会不会获取用户指纹,首先要知道手机如何存储指纹?

第一,手机并不直接存储指纹图像,而是扫描指纹的特征码,并对特征码进行加密转换处理,所以直接上传指纹图像是不可能的,主流厂商中从来不会、也从来没有。

iPhone 5s Users Fooled By Apple, NSA or a Fake Finger

第二,指纹存储在安全的加密芯片中,并和处理器封装在一起,这个信息只有 Touch ID 传感器才能读取,其他软件均无法读取。比如 iPhone 将指纹信息存储在 A 系列处理器的 Secure Enclave 模块中,和 CPU 封装在一起,Touch ID 和 Secure Enclave 组成一个独立的处理系统。如果按照剃刀老师对华为 InSE 的理解,那么这也可以说成是InSE。

Touch_ID

第三,手机的指纹信息只会存储在本地的 Secure Enclave 模块中,而不会上传到服务器,也不会备份到 iCloud。厂商都不会把指纹信息保存在自己的服务器中,又怎么会上传到腾讯、阿里。如果有的话,网络上泄露的就不是密码,而是十几亿用户指纹。

第四,每个厂商对指纹的加密算法不同,如果腾讯阿里能够识别这些信息,那就说明所有手机厂商都要将自己的指纹加密算法交给腾讯、阿里、百度、京东…这可能吗?

二,应用商会要求上传指纹吗?

不会。

华为 PDT 经理李小龙转发奥卡姆剃刀的微博说有厂商要求将指纹上传到云端进行比对,被他严词拒绝。但是这是对其他厂商的不公平。而且这种模糊的说法并不利于澄清事实,反而会造成更多误解,建议支付宝或者微信对此尽快澄清。

屏幕快照 2016-12-27 上午8.23.20

第一,无论从效率还是速度上来说,上传指纹图像到服务器比对并不符合高效支付场景。不然,你离线支付为什么会成功。

第二,微信、支付宝都不会在本地存储指纹信息,指纹只存储在安全模块中。

第三,应用商不是要用户的指纹信息,手机也无法直接上传用户的指纹图像和信息,他们的分歧只是在用谁的密钥的问题。而并不是李小龙转发所说的应用商要将用户的指纹信息上传到云端进行比对。

而是考虑问题的角度不同,都有一套自己的解决方案。应用是希望用自己的密钥进行比对,毕竟资金出来问题是要支付商负责的,而厂商是希望自己为手机的安全负责,所以他们只是站的角度理解不同。

手机厂商之所以不愿意采用应用商的密钥方案,一方面是出于指纹信息的安全负责,应用商无法认定手机厂商的安全,手机厂商也无法认定应用商的安全;另一方面,是用指纹来满足对自己未来金融业务的支持;再者是出于简单,如果手机厂商要给支付宝用支付宝的密钥、那么就要给微信、京东等所有的厂商都用他们自己的密钥,这样手机就需要适配更多。所以简单起见,手机厂商都只返回自己的结果让应用商识别,这样从厂商的角度安全、又简单、还便于维护自己的利益,在用户角度也更好看。

三,在支付宝、微信中开通指纹支付有危险吗

没有危险。

第一,支付宝、微信并没有指纹识别、读取指纹、存储指纹的权限。行指纹识别的依然是 Touch ID ,而不是应用,所以在支付宝、微信中开通指纹支付并没有安全风险,也不会泄露你的指纹。

第二,支付宝、微信、京东开通指纹只是利用指纹传感器的结果进行比对,并不直接识别指纹,Touch ID 检测指纹的正确性,并给应用一个 Yes or no 的返回结果,应用只是调用这个结果,它本身并不具备识别性。

第三,每个手机厂商对指纹信息的加密处理方式不同,所以你的指纹数据对其他是无法使用的,就好像你的钥匙无法打开其他家的门。

所以支付宝、微信开通指纹支付并没有危险,你可以便捷的开通指纹支付。

至少,在目前,手机中安全存储的指纹依旧没有被从代码上攻破。

 

如果你觉得这篇文章对你有帮助,欢迎使用微信扫描以下二维码或者使用支付宝向 tonyguox@163.com (*涛)转账捐助,你的捐助将能让牛评网获得更好的发展。

牛评网微信捐助

更多好内容,欢迎关注我们的微博@牛评网 和扫描以下二维码关注我们的微信公众号。

牛评网微信公众号

© 本文版权属于 newping.cn ,未经许可禁止转载。商业使用请联系 newping@newping.cn 或微博 @牛评网。(文中观点代表作者观点,如有不同意见欢迎大家在评论区理性讨论。)