蘋(píng)果新公布的iPhone5S中的指紋傳感器可能大幅提高設(shè)備的安全性，但它絕非是確保設(shè)備安全的必殺技。研究人員稱，iPhone5S指紋傳感器的效果取決于部署方式，以及是否與其他安全措施聯(lián)用。

蘋(píng)果周二公布了兩款iPhone——iPhone5C和iPhone5S，后者配置被稱為T(mén)ouchID的指紋傳感器。蘋(píng)果在新產(chǎn)品發(fā)布會(huì)上說(shuō)，研究表明，多達(dá)半數(shù)的手機(jī)用戶沒(méi)有設(shè)置4位數(shù)的PIN，或更復(fù)雜的密碼來(lái)保護(hù)設(shè)備的安全。iPhone5S用戶無(wú)需密碼，即可通過(guò)TouchID就可以解鎖手機(jī)并在iTunes上購(gòu)物。目前尚不清楚TouchID是否會(huì)被應(yīng)用在其他尚未公布的產(chǎn)品中，或第三方應(yīng)用是否能利用TouchID驗(yàn)證用戶身份。

蘋(píng)果在新產(chǎn)品發(fā)布會(huì)還公布，指紋數(shù)據(jù)以加密格式存儲(chǔ)在iPhone5S的A7芯片中，而非存儲(chǔ)在蘋(píng)果服務(wù)器或iCloud中，并且不能被軟件直接訪問(wèn)。指紋傳感器一直存在容易出現(xiàn)失誤的問(wèn)題。另外，黑客還可能竊取用戶的指紋，騙過(guò)指紋傳感器。據(jù)蘋(píng)果稱，TouchID掃描手指表皮下的皮膚層，分辨率為500ppi（每英寸500個(gè)像素），可以識(shí)別任何角度的指紋。但是，TouchID能否經(jīng)過(guò)安全研究人員的考驗(yàn)還有待觀察。

安全公司Rapid7高管德克·西戈德森（DirkSigurdson）說(shuō)，“攻擊指紋傳感器的常見(jiàn)手段包括使用手指照片和利用獲得的指紋創(chuàng)建指紋模型。希望iPhone5S指紋傳感器不會(huì)讓復(fù)制的指紋蒙混過(guò)關(guān)。”他還指出，最好的單因子認(rèn)證方法是存儲(chǔ)在人腦中的高安全性密碼，但是，人要?jiǎng)?chuàng)建和記住高安全性密碼相當(dāng)困難。因此用戶通常會(huì)使用“糟糕的密碼”，這也是優(yōu)秀的指紋傳感器和匹配算法可能提高iOS設(shè)備安全性的原因。

移動(dòng)安全廠商Lookout首席安全研究人員馬克·羅杰斯（MarcRogers）說(shuō)，指紋傳感器安全性并不高，這是許多軍事機(jī)構(gòu)利用手掌或視網(wǎng)膜掃描裝置驗(yàn)證用戶身份的原因。他還表示，許多人甚至沒(méi)有設(shè)置手機(jī)SIM卡PIN（個(gè)人識(shí)別密碼），因?yàn)槊看味驾斎隤IN太不方便了，因此，指紋傳感器只是在一定程度上有助于提高設(shè)備的安全性。羅杰斯指出，如果與其他安全技術(shù)聯(lián)用，指紋傳感器能極大提高設(shè)備的安全性。例如，蘋(píng)果應(yīng)當(dāng)允許用戶設(shè)置一個(gè)高安全性的密碼，用于保護(hù)文件系統(tǒng)，用戶只需要在開(kāi)機(jī)時(shí)輸入一次即可。指紋傳感器可以作為一項(xiàng)中等強(qiáng)度的安全措施，用來(lái)解鎖設(shè)備。這樣用戶可以安全、方便兼得。

另外，如果蘋(píng)果允許第三方應(yīng)用使用指紋傳感器，第三方應(yīng)用的安全性將得到大幅提升。例如，銀行應(yīng)用要求用戶在交易時(shí)使用指紋傳感器驗(yàn)證身份，防止黑客利用竊取的用戶密碼興風(fēng)作浪。

安全廠商Trustwave旗下SpiderLabs安全研究團(tuán)隊(duì)主管克里斯托弗·波格（ChristopherPogue）在一封電子郵件中說(shuō)，總體而言，指紋傳感器可能會(huì)提高iPhone5S安全性，但其效果取決于使用方式和用戶是否真正使用它，“消費(fèi)者能方便地了解如何使用指紋傳感器是問(wèn)題的關(guān)鍵”。

與羅杰斯一樣，波格也認(rèn)為，被用作雙因子認(rèn)證系統(tǒng)的一部分，才能發(fā)揮指紋傳感器的最大功效。“與移動(dòng)設(shè)備上的其他部件一樣，指紋傳感器與操作系統(tǒng)互相通訊；與其他應(yīng)用一樣，因受多種因素的影響，指紋傳感器也存在缺陷”。與密碼不同，人們既不會(huì)忘記自己的指紋，也不會(huì)與他人分享自己的指紋，因此，從這一意義上來(lái)說(shuō)指紋安全性高于密碼。但是，指紋傳感器也需要失效保護(hù)機(jī)制，防止用戶因受傷導(dǎo)致指紋改變時(shí)不能使用設(shè)備。這一機(jī)制可能會(huì)導(dǎo)致無(wú)法預(yù)期的安全缺陷。

波格還指出，訪問(wèn)控制應(yīng)當(dāng)使用至少兩個(gè)因素——“用戶記得的東西”，例如密碼或PIN；“用戶擁有的東西”例如物理令牌，或者“用戶自身的特征”，例如包括指紋在內(nèi)的生物特征。增添一層安全技術(shù)會(huì)極大地提高黑客非法訪問(wèn)設(shè)備的難度。