104被浏览12,859分享邀请回答15520 条评论分享收藏感谢收起122 条评论分享收藏感谢收起2 个回答被折叠（）你确定手机开机密码锁很安全？实际上要想打开你的密码锁太简单啦|指纹|手机|密码锁_新浪网
你确定手机开机密码锁很安全？实际上要想打开你的密码锁太简单啦
你确定手机开机密码锁很安全？实际上要想打开你的密码锁太简单啦
很多时候我们都认为自己的手机密码锁十分的安全，安全到，除非有人有和你一样的指纹，不然，即使盗了你的手机也无法使用它。然而这道看似安全的防线真的安全吗?1、一块橘子皮就能秒开你的手机指纹锁，还能转账付款。对于需要指纹验证的手机，通过使用一些简单的处理手段，任何人的指纹都可以解锁，甚至一块橘子皮都行。2、指纹触摸键被摔裂，任何人都能解锁。若是手机摔到了地上，导致指纹触摸键出现了裂纹，之后其他人都可以用指纹解锁他的手机。不仅如此，手机里的一些需要指纹识别才能使用的支付应用，陌生的指纹同样可以通过验证并使用。据苏州一家科技公司的技术人员，在实验室模拟出手机指纹触摸键裂纹的图案，经过多次试验，他们发现即使手机在没有任何损坏的情况下，经过一些处理后，仍然可以破解指纹锁，哪怕是用一块橘子皮也可以通过验证。3、指纹贴上做手脚，可破解手机指纹锁。在经过一些处理后，之前并没有录入指纹的人，竟然能够解锁开机。目前市面上一些主流品牌型号的手机经过实验，都能够将这些手机用自己的指纹成功解锁开机。通过在实验室里模拟裂纹图案，并进行了多次试验，发现破解指纹验证的关键在于指纹触摸键上的图案。于是技术人员拿一小块儿胶布或市面上流行的指纹贴，背面用导电笔涂抹形成图案，贴到手机指纹验证的部位。只要机主的指纹触碰到这块胶布或者指纹贴，成功解锁开机几次后，别人便都可以随意开机了。技术人员认为，指纹传感器接收到的信息包含指纹贴上的导电涂层，并不完全是机主手指的指纹。而在进行指纹比对时，只要部分信息相同就能通过验证。因此只要经过处理，其他人的指纹同样能够验证通过。4、应用指纹贴，多领域产品解锁成功。指纹验证不仅在手机上使用，在一些型号的笔记本电脑，甚至防盗门的电子锁上，都采用了指纹验证的方式。随后，技术人员又对某款门锁、笔记本电脑上的指纹锁进行了试验，发现了类似的安全隐患。专家提示，虽然这个漏洞涉及到了不同领域的不同产品，但如果您的指纹触摸键没有受损或贴指纹贴，就可以正常使用，不必过分担心。同时，也提醒大家，如果对于安全性比较在意，尽量不要使用指纹贴。另外在使用指纹验证前最好先检查一下触摸键上是否贴有其它异物或图案。大家一定要记住，记住，记住，重要的事情说叁遍都不够，还要强调一下，手机安全性能好不好，全靠自己长点心啦!
特别声明：以上文章内容仅代表作者本人观点，不代表新浪看点观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与新浪看点联系。别拿指纹当密码，没用！看完你就明白了 - 文章 - 伯乐在线
& 别拿指纹当密码，没用！看完你就明白了
密码就是一坨翔。，就算他们好不容易选了一个不错的，也会；就算你用了一个可以信赖的密码管理软件，。不过你知道比密码更烂的是什么吗？那就是指纹。指纹的问题多如牛毛，你在任何时候都不应该用它来取代密码。
密码应该是保密的，就像你小时候养的宠物的名字。相比之下，你带着手指头到处晃悠，它们几乎在任何时候都是暴露在外的。当你的密码被泄露了，一般很容易就换个新密码。可你不想换个手指头吧？最后，也是最为重要的，你希望密码是经过哈希处理的，这样就算密码数据库被盗，不法之徒也无法获取你的密码。
在本文剩下的篇幅中，我会分别介绍以上三个方面的内容，希望能说服你相信，从根本上说用指纹比用密码要糟糕得多。（你听信和的忽悠？不，我想你不会的。）
指纹并不保密
首先，使用指纹取代密码最明显的问题，就是指纹压根就不是保密的。想想你在影视剧里面看到的：警察在向坏蛋问话的时候，递给了他一杯咖啡，然后把这个杯子送到法医实验室，就搞到了他的指纹。案件侦破！
但实际情况会更糟。你的指纹到处都是。可以从纸张、键盘和桌子表面上提取到指纹。你不会把你的密码写在便签纸上，然后贴到工位的显示器上，对吧？可如果你的工作需要使用指纹来进行身份认证，那这个密码可能已经留在你的显示器上了。
德国黑客 Jan Krissler（网名 starbug），只要一有机会就会向别人灌输这个概念。 iPhone 5 touchID 系统刚发布的时候，starbug 就开始垂涎三尺了。他立刻买了一台，鼓捣了两天后，他证明自己能在苹果店门口排队的人群散去之前，就能骗过指纹读取器。 来自苹果的匿名人士表示，他们原本预期这个过程会花上两个月，而不是两天。
如何仿造指纹
他用来仿造指纹的技术超级简单。他复制了一个指纹，然后把它蚀刻在铜片上（和制作印刷电路板一样），在蚀刻上喷一层石墨，最后在上面盖上一层木胶或者乳胶。在铜片被蚀刻掉的地方，胶水加石墨的指模会更深，这用来模拟你手指上纹路。石墨涂层和手指一样拥有电容的特性。如果再用上和皮肤颜色相同的乳胶，你就做出了一个像碟中谍电影里一样的东西，成本只有 5 美元加上一个下午的时间。而你需要的只是从杯子或者书本上提取一张质量好点的指纹图片。
从照片中提取指纹
别在你的照片中露出指纹。不管这个指纹是不是真的能控制整个德国的军队，反正你明白这个意思了；希望他们真的别用指纹来当密码。
在德国的黑客交流大会上，，他讨论了这项技术所需要的照片分辨率，以及很多其他和生物特征辨识相关的黑客技术。不过重点在于，只要有足够的分辨率、或者是一个足够好的镜头，就可以从一个很舒服的距离拍摄到指纹的照片。其中主要的限制是焦距带来的浅景深以及光照情况，这对于那些在照明充足的台上、面对一大堆相机的政客们来说可不是个好消息。不管你是不是政客，除非你一直戴着手套，否则你的指纹就不会得到很好的保护。
指纹是不可改变的
好吧，假设说你的普通密码不管因为什么原因泄露了，会有多糟？在理想世界中，被攻破的网站会通知你并提醒你更换密码。你可以，或者你出生的年份和你妹妹的出生年份。搞定！
不过如果你用指纹当密码，然后不慎泄露的话，却不可能去改变它。实际上，在传统使用指纹的场景中，正是利用了它的唯一性和不可变性——比如在犯罪现场中用来甄别罪犯。要是能在犯罪之后改变指纹的话，你就不用戴那些碍事的手套了。
指纹会伴随你一生。如果我盗取了你的指纹，我就可以解锁你现有的指纹加密的设备，和你以后购买的所有指纹加密的设备。指纹只是半安全的，它不可修改，这让它成了相当糟糕的密码。这一点不用再多说了，反正肯定就是这么回事儿了，不过还是得强调一下，因为世上还是有很多坏警察的（译注：会盗用你的指纹）。
举个例子，敏感的政府机构会使用个人身份认证（PIV）卡，上面包括了雇员的指纹。除了需要输入正确的密码之外，使用 PIV 卡的联邦雇员还必须扫描指纹，并和保存在卡内的指纹进行对比。这种使用密码和指纹匹配的方式构成了系统。
而在这之后，，560 万（！）枚政府雇员的指纹被窃取，很可能是外国间谍机构干的。于是现在，因为其中的一个认证方式已经彻底完蛋了。如果当初政府在 PIV 卡中使用了一种可替换的方式，至少这次泄露弥补起来会容易得多。
密码需要定期更换来确保其保密性和安全性。指纹是不可更换的。
指纹是不能被哈希处理的
指纹的问题在于判定的时候只要近似就够了，而且应该也是这样。如果我在指纹识别器上按手指的时候稍微大了点劲儿，或者稍微错位了一点，又或者手指被划伤了，我依然希望这个识别器能接受我的指纹。训练有素的 FBI 探员在对比指纹时，通常都使用“部分”匹配的方式，只要有合理的精确度就够了。对于血肉之躯的人类和现实世界中的指纹扫描仪来说，近似匹配是合情合理的。不过只要指纹有细微的瑕疵，经过哈希处理后就会和参照版本完全不同。这也就意味着指纹是不可哈希的。哈希算法让密码更加健壮，一旦缺少了哈希算法的保护，指纹就变得脆弱得多。
现在假设一个靠谱点的网站被黑了，就算黑客窃取了网站的密码数据库，他们也不会因此拥有这些密码的列表。他们只能得到用户名以及被之后的密码。
当你输入密码的时候，网站会对结果进行哈希运算。如果你输入的哈希值和网站保存的哈希值相同，就能确认这个密码是正确的。因为哈希算法是完全单向的，所以对任何人来说，从哈希结果反推出你实际的密码几乎都是不可能的。实际上，反推哈希密码最简单的方式，就是尝试每个可能的密码，计算哈希值，然后进行比较。
相比之下，一个简单初级的实现，就是网站直接保存了每个用户的密码，但是用一个主密码对它们进行加密。如果黑客能够搞定这个主密码，他们就能破解整个数据库中的所有密码。这个主密码在每次密码校验过程中都会用到，这使得它拥有巨大的价值，同时却也非常脆弱。如果使用不同的主密码分别加密每个用户的数据的话，就意味着他们还得维护一个巨大的主密码数据库，这其实毛用都没有。这就是为什么每个靠谱的网站都只会保存用户密码的哈希结果。
不过哈希算法仍然可以比加密做得更好。如果网站的开发者拥有足够的安全意识，就会在进行哈希计算之前进行：在密码中附加上其他的一些东西（这个东西不必是保密的）；这会让暴力破解的过程变得更加缓慢，因为这相当于每个人的密码都是以不同的形式进行哈希的。
如果咱俩都使用了“!password123”作为密码，不过我的密码之前加了“elliot”，而你的密码之前加了“joe_user”，我们的密码经过哈希处理之后就会变得完全不同。就算黑客最终猜到了你的密码，因为这个“盐值”的存在，他们也无法立刻得知我的密码。
如果网站安全做得特别好的话，这个哈希过程会使用一个耗时的算法重复进行上千次，从而进一步减缓了暴力破解的速度。在你登录网站的时候如果花上个半秒一秒，对你来说可能不是什么事儿，不过对于那些依赖于每秒进行数百万次尝试的暴力破解者来说，这可就是大麻烦了。密码管理软件 （译注：如果你的浏览器默认是中文语言，这个链接会跳到他自己的中文版页面上，这个中文版页面……有点逗比），这件事是个很好的例证。他们被破解了这事儿本身确实挺糟的，你还是得换掉你的主密码，不过如果做得够好的话，任何人还是无法在短时间内暴力破解你的密码。
指纹和雪崩效应
刚才这些东西和指纹到底有啥关系？指纹本身不能经过哈希处理，所以上面那些做法（在数据中只保存加盐密码的哈希值）在安全性上面所带来的优势，对指纹来说毛用没有。这是因为除了单向之外，一个好的哈希算法展现了所谓的：密码中一个轻微的改变会导致哈希结果极大的区别。
字符串“!password123”在使用 MD5 哈希处理之后，得到的值是 b3a2efccbe10c39ff9a3ab2，而“!Password123”对应的值是 dfbc1927511。这两个字符串只有一个字母不同，那个大写的“P”，但是两个哈希结果的差异却相当巨大。这防止了那些暴力破解者去判断他们尝试的密码和实际密码之间的近似程度。如果密码中每出现一个正确字母就和目标哈希值接近一分的话，他们毫不费力地就能猜到你的密码了。雪崩效应意味着猜到“相似”的密码是毫无意义的。
正如我之前提到的，指纹技术需要能判断出“足够相似”。如果把它进行哈希处理的话，就会差之毫厘、谬以千里。这也就是说，指纹只能被明文存储，或者加密存储，但是哈希算法一点用也没有，因为一个好的哈希算法会导致雪崩效应。指纹数据库不可避免地会成为薄弱环节，只要你的指纹被保存下来，不管是在你的 iPhone 上、在 IPV 卡上还是在电子护照上，只要知道了主密码，这里面存储的指纹都可以被破解。
哈希方法对比加密方法的一个很好的例子，就是电子护照。其中，因为这些都是敏感信息。不过这些数据也只能加密（而不能哈希处理），因为护照读取器需要能够解密这些信息，才能和你的手指和眼睛进行比对。（译注：中国的电子护照在芯片内也包含指纹和照片，也是加密保存的）
在这上面，所有你的非敏感信息和加密之后的数据包会一起进行哈希计算，这个哈希值会使得篡改其中任何信息都变得很困难。你可能想在这些数据里面改变一个比特，然后在别的地方改变另一个比特“找补”回来，然而雪崩效应让这一切成为不可能。
即使这样，到目前为止，这也仅仅意味着你的指纹只能通过加密的方式进行保护，而不是哈希处理的方式。这对于海关来说无所谓，因为他们只关心你的指纹是不是被篡改过了。对他们来说，你的指纹只是用来证明你就是你；以及通过跟在你的信息后面的一个哈希值，来确保你的数据不会被篡改。
而另一方面，对于考虑到隐私问题的个人而言，只是把你的指纹进行加密不免让人有些担忧。一个拥有你的护照和正确密码的坏蛋，可以把数据进行解密从而获得你的指纹。虽然从护照封皮上提取你的指纹可能要容易得多，因为指纹不是保密的，还记得吧？
别把你的指纹当密码用。指纹是永久不变的、容易校验的并可以轻松获取的，这对于犯罪调查和确认你的身份来说非常有帮助。不过它们并不是密码，因为它们不是保密的、是无法改变的、而且也很难安全地保存。
打赏支持我翻译更多好文章，谢谢！
打赏支持我翻译更多好文章，谢谢！
关于作者：
可能感兴趣的话题
指纹确实不靠谱，眼睛倒是可以考虑。
关于伯乐在线博客
在这个信息爆炸的时代，人们已然被大量、快速并且简短的信息所包围。然而，我们相信：过多“快餐”式的阅读只会令人“虚胖”，缺乏实质的内涵。伯乐在线内容团队正试图以我们微薄的力量，把优秀的原创文章和译文分享给读者，为“快餐”添加一些“营养”元素。
新浪微博：
推荐微信号
（加好友请注明来意）
– 好的话题、有启发的回复、值得信赖的圈子
– 分享和发现有价值的内容与观点
– 为IT单身男女服务的征婚传播平台
– 优秀的工具资源导航
– 翻译传播优秀的外文文章
– 国内外的精选文章
– UI,网页，交互和用户体验
– 专注iOS技术分享
– 专注Android技术分享
– JavaScript, HTML5, CSS
– 专注Java技术分享
– 专注Python技术分享
& 2018 伯乐在线为何手机重启后必须先输入密码才能解锁，而用指纹不行？为何手机重启后必须先输入密码才能解锁，而用指纹不行？捷克互联网百家号欢迎转载，请注明出处，抄袭必究！有用过指纹识别功能手机的机友一定知道，现在很多指纹手机在关机重启后，第一次都必须要先输入密码才能解锁，而不能用指纹。当然了，不排除像魅族、努比亚等部分手机是开机就可以直接用指纹解锁的，但像华为、小米、苹果、一加等更多机型，重启开机时，系统都会自动提示“重启后要求输入解锁密码”方能解锁，无法使用指纹。使用的时候你们是不是会觉得这样太麻烦？为什么不像魅族、努比亚一样开机也能直接指纹解锁呢？这其中其实也是有些原因的，且听教授来细说。01提高密钥精准性在指纹录入的时候相信你们都已经体验过，我们按下指纹时所得到的信息其实都是不固定的，因为手指通过不同的角度（侧左边、侧右边、正中间等）录入都会得到不同信息。也就是说，指纹录入它不是一个精确、完整的数据，而后续的指纹验证是验证你按下的手指信息是否和录入采样时的一样，只要是一样的就可以解锁。但由于录入采样时所得到的本来就是一部分不完整的信息，所以这个信息只是可以用来和后续按压指纹做比对，但不能作为最终数据解密的密钥。因为密钥必须是非常精确的，而首次开机使用密码解锁则可以有效提高密钥的精准性。这是教授觉得的原因之一，希望你们没被绕晕，慢慢去体会~02密码安全等级苹果对于用户隐私的保护强度相信大家已经有目共睹了，之前苹果拒绝为FBI解锁人尽皆知，FBI用尽一切办法也解不了苹果手机上的密码锁，可见苹果设备安全程度之高。而苹果手机在重启时也是必须要先输入密码方能启用指纹。据国外用户查阅苹果官方技术资料后给出的答案，显示是说：其实苹果的Touch ID其实存储的并不是我们的指纹图像，而是一个数据标本而已。然后这些标本都被存放在处理器上某个文件中，这个文件是完全独立的，甚至系统也无法随意调用。也就是说苹果对于这些数据是做了全盘加密的，包括你的指纹采样信息，开启这些数据的密钥就是锁屏密码，想要开启就必须要输入锁屏密码，才能解密并访问到指纹信息。这样就不难理解，为啥苹果手机也是重启开机时，必须要先输入密码解锁，而不能直接用指纹了吧。03防止指纹信息被清空无法使用听说还有这样一种情况，不知道是真是假，教授也就跟着瞎猜。据说市面上有一种技术，拆了手机后，就能从存储元件里读取你的指纹，并抹掉手机之前保存的指纹信息。所以如果不设置开机必须输入密码，那别人拿到你手机后，直接抹掉里面的指纹信息就可以轻松使用你的手机了。而设置密码就是防止这种情况出现。所以，虽然麻烦点，想想若真是这样，那为了安全考虑，还是有密码好点。起码让不发分子就算拿到你的手机也用不了，“同归于尽”是不是。04易用性这个就是比较人性化的说法了，为什么开机输入密码而不是录指纹，教授觉得这可能是为了避免你的手指发生意外时（比如割到、断指甚至断手~~~~(&_&)~~~~），无法使用指纹识别。当然，我们都不希望有任何这种情况出现，但毕竟为了以防万一还是数字密码更加保险有么有？毕竟指纹的专一性和不可替代性太强，只有你事先录入的指纹才能解锁，但密码就不一样，就算你录指纹的手废了，那随便换个手输入密码也是可以正常使用手机的。再者，借手机给别人用的时候，只要输入密码所有人都可以用，方便很多，尤其是像教授这种经常要借同事手机来做各种测试的，如果只能用录指纹那就真的太狭隘、太不方便了。而且这样输入密码也可以有效防止太久不用而直接忘记密码。再想想一种情况，你半夜睡得正香的时候，如果有人非法闯入你屋内，偷完东西还顺便偷偷利用你的指纹解锁手机，把手机各种密码都破解，那后果不堪设想。以上就是教授对于这个问题的一些小看法。不知道你们有什么更好见解呢？最后我们做个小访问：你用的是什么手机呢？有指纹识别功能吗？那你重启开机第一次是需要先输入密码解锁，还是指纹也能直接解锁呢？你觉得哪一种更方便、更安全？留言说说你的看法呗~好配件，让手机更好玩！想要获得更多资讯可以关注微信公众号：手机教授sj9983 、绿联科技lvliankeji本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。捷克互联网百家号最近更新：简介:供科技资讯，让您第一时间掌握科技界信息。作者最新文章相关文章指纹登录失败怎么办_百度知道
指纹登录失败怎么办
我的就是该密码后就登录不行了，他们说开机时有两个选择：“系统登录”“一键还原”，但我的开机没有这两个选择直接进入登录界面，登录界面就只有指纹登录而没有密码登录，这个问题怎么解决呢？请高手告知
我有更好的答案
要看，你电脑有没有指纹识别板，如果有的话，一般所买笔记本只要有指纹识别板的话，所带的随机光盘里面都有相应的软件，安装软件后，在软件设置里面有相应选项。指纹识别失败后，才会要求用密码登陆。 这个属软件设计者的问题，。如果没有密码输入而指纹识别失败的话，那就进不来机了，其实应该设计有指纹识别失败后
采纳率：22%
我也不知道呢，没事情不要整这个高科技的，送去电脑城 花钱弄吧
为您推荐：
其他类似问题
您可能关注的内容
指纹的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。