指纹识别将颠覆“信息不安全”的时代

　　手机不加密码，方便但不安全；手机加密码，安全但不方便；而通过指纹进行加密正处于两者之间——在便捷性和安全性上找到了一个易于让用户接受的平衡点。

　　几乎每个人都熟悉在自动柜员机（ATM）取款的动作：把卡插进去，输入6位密码，取款、转账。但是，这部ATM并不知道是谁在插卡、输密、取款——这张卡可能是偷来的，这个密码可能是被暴力破解的，或者是已经被猜出来的。

　　同样，当人们的习惯转向移动支付，手机上的支付软件也不知道是谁在用这部手机进行交易——这在去年10月被颠覆，苹果公司上线Apple Pay移动支付平台，在这个支付平台上，用户的指纹才是密码。

　　据苹果CEO蒂姆·库克在苹果最新财季电话会上公布的数据，目前已经大约有750家银行和信用合作社支持Apple Pay。指纹识别作为生物特征识别“家族”最典型的代表，正试图颠覆这个“信息不安全”的时代。

　　如果说“指纹支付正在颠覆移动支付”言之尚早，那么“指纹加密”正成为手机领域炙手可热的新卖点恐怕无人反对。继苹果在iPhone 5S、iPhone 6等手机推出指纹识别技术之后，三星、华为、魅族等手机厂商无不大打“指纹识别牌”。手机厂商在指纹识别功能上的竞争，已经从“要不要放”升级到“该放正面还是反面”了。

　　“碳粉+胶带”能破指纹加密？

　　然而，人们对指纹加密安全性的质疑，几乎伴随着指纹加密技术的应用同时而来。最著名的桥段恐怕当属“钥匙忘在了锁头上”的说法了。

　　质疑者指出，虽然指纹具有唯一性（尽管这种假说本身无法通过科学手段一一验证，但人们迄今为止还未找到两个一模一样的指纹），但指纹在我们的生活中太过常见——我们的手会和各种东西接触，随时随地都会留下自己的指纹。

　　“这是典型的钥匙忘在了锁头上。”有网友指出，只需要一点碳粉外加一段透明胶带，就能轻松地“从喝水的杯子上获取一个人的指纹信息”。

　　用获得的指纹信息“再造”出来的指纹在学术上被称作“假指纹”，假指纹一般可被做成“指模”，用以骗过各类指纹识别系统。

　　臧亚丽是中国科学院自动化研究所的助理研究员，几年以来一直围绕指纹识别与指纹加密算法与技术展开研究。她告诉记者，通过碳粉、胶带这种简单的技术手段，尽管可以得到一部分指纹信息，“但这部分信息通常难以对我们造成威胁”。

　　“一般人通过简单的方式是做不出那么好的假指纹的。”臧亚丽说，一些犯罪现场也会残留非常多的指纹，然而即使给刑侦学专家充分的时间在现场采集、采集后再经过精细加工，“最终获得的指纹有60%的匹配度就非常不错了”。这个数字意味着，通过一般的采集加工手段，从水杯等生活用品上最终获得的假指纹与真实指纹的匹配度顶多只有60%相似。

　　自动指纹识别系统中都有一个阈值来区分指纹匹配是否成功。比如，正在验证指纹信息与存储信息比对匹配超过90%就算成功。而法医学上的指纹匹配度阈值更低（低于60%）。