本月初,全球最大的支付公司之一的万事达卡(MasterCard)宣布,该公司正在测试一种带有指纹传感器的信用卡。用户无需在纸质支票上签名或输入密码,只要把手指按在银行卡上进行指纹验证,就可以证明自己的身份。该公司宣布,新型信用卡的研发已经基本完成,目前正在南非进行集中测试,有望在年底之前进行全球推广。该消息在发布之后再次将“指纹支付”推到了风口浪尖,引发了人们对于支付安全问题的广泛讨论。
什么是指纹支付
其实早在2014年,苹果公司和阿里巴巴旗下的支付软件Apple Pay和支付宝就分别推出了指纹支付功能。指纹支付,也称指纹消费,是采用已成熟的指纹系统进行身份认证,从而完成消费过程的一种新型支付模式。指纹支付的流程是,首先将指纹录入手机,然后在支付软件的手机密码一栏中开启指纹密码,通过指纹比对和支付密码等一系列校验后,指纹支付将正式开启。一旦开启,用户在使用电子钱包进行购物和转账时,不再需要输入数字密码,只需拿手指在位于HOME键的指纹传感器上进行指纹验证,系统就可以判断用户身份,并最终完成或叫停支付活动。此外,指纹支付的优越性还体现在,商家现有的支付设备就可以满足其新型支付技术的需要,不需要再增加花销更新设备。
指纹支付一经推出就受到了广泛的关注的,其新颖的支付模式和便捷的操作流程吸引了大批的用户。上到一百多万美元的超级跑车,下到几美分的杂货,用户只需一根手指就可以完成整个支付流程,"剁手"变得更加方便。
安全隐患亟待关注
然而,指纹支付技术在给移动支付带来巨大便利的同时,也催生了一系列的安全隐患。简单来说,由于指纹一定要接触式采集,不可避免的会留下指纹痕迹;而日常生活中也会在各种地方留下指纹痕迹,这无疑在不知不觉中泄露了指纹信息,提高了伪造的风险。而随着3D打印技术的发展,伪造指纹和手指也将变得更加容易。
近日,美国纽约大学和密歇根州立大学联合发布研究报告,聚焦指纹支付中存在的安全问题。报告指出,目前,iPhone与Android系列手机产品的指纹支付系统仍不完善,通过打印指纹等方式可以轻松破解手机的指纹解锁。来自这两所大学的研究人员自主研发了一套指纹破解程序"万能指纹"(MasterPrint),对一个人的指纹拍照,然后通过该程序进行打印,打印出来的模型就可以解锁手机的支付软件,准确率高达65%。
在报告发布之后,尽管部分业内专家表示,由于在现实生活中存在着大量其他的影响因素,指纹破解程序的匹配率将远远低于65%,但该研究结果还是引发了公众对于指纹支付安全问题的担忧。加拿大卡尔顿大学信息工程学院的Andy Adler教授表示,目前,指纹支付所面临的问题还远远未达到像报告所描述的那样严重,但也足以引起人们的警觉。
那么,到底是什么原因导致我们的指纹密码如此轻而易举的就没破解了呢?要知道,人类指纹重复率极小,大约150亿分之一,故其称为"人体身份证",指纹的构造也极为复杂,伪造起来绝非易事。
究其根本,导致指纹支付密码被轻松破解的关键在于智能手机的指纹读取机制和用户设置指纹密码的不当操作。
人类指纹特征分为两类:整体特征和局部特征。整体特征的组成十分复杂,通常难以伪造,而由于智能手机附带的指纹扫描仪通常较小,只能读取部分指纹,因此,只需要伪造出指纹的局部特征即可破解指纹密码。此外,在设置指纹支付密码时,支付软件通常会要求用户提供8到10个不同的指纹图像,以完成初始设置。而大部分用户贪图方便,只用1到2个手指指纹进行设置,从而造成了安全隐患。
作为最早涉足指纹支付的公司之一,苹果公司表示,早在开发Touch ID系统时,公司就已经对系统可能遇到的安全攻击进行了测试,并引入了一系列新的安全功能。目前,用户在使用Apple Pay的指纹支付功能时,只有5次重新输入的机会,之后Touch ID就不再接受任何指纹,要再输入密码才能解锁。据统计,苹果用户指纹密码被破解的概率仅为五万分之一,即0.002%。