雷鋒網(wǎng)按：本文作者李揚(yáng)淵，邁瑞微電子創(chuàng)始人。

指紋識別安全嗎？最近有媒體披露了Computex（臺北電腦展）上觸控及指紋識別國際大佬 A 公司和中國大佬 B 公司科技間的一場撕逼事件。

臺北電腦展上，A 公司展示了“只用5分鐘，我們就能偽造你的指紋，解鎖你的手機(jī)”，拿華為手機(jī)開刀，疑似劍指 B 公司的指紋識別芯片。B 公司工作人員控訴 A 公司因競爭失利就搞技術(shù)秀故意黑 B 公司。B 公司工作人員還強(qiáng)調(diào)，A 公司破解的是 B 公司上一代產(chǎn)品，更安全的“活體指紋檢測技術(shù)”基本不能破解。

兩個大佬多年懟來懟去的口水仗先放一邊，只評價態(tài)度的話，恐怕 B 公司工作人員的說法才算得上氣急敗壞。 A 公司做一場技術(shù)秀本來就符合科技展的定位，B 公司卻因為競爭對手的技術(shù)秀疑似劍指自家產(chǎn)品，就控訴“故意黑”，未免太小題大作。至于用來擋搶的“活體指紋檢測技術(shù)”，其實早就被淘寶假指紋膜賣家破解。

早在今年3月，有網(wǎng)友上傳了破解“活體”指紋識別的視頻（http://v.youku.com/v_show/id_XMjUwNTg5MDgxMg==.html）。

在視頻中，某品牌手機(jī)搭載的 B 公司“活體指紋”遭“隱形指紋膜破解”：

技術(shù)原理

其實所謂“破解”并不神秘，只是基于技術(shù)本身的漏洞而已。B 公司展示的原理示意圖指出，用LED發(fā)光進(jìn)入手指，在指內(nèi)漫射并從指紋出射由PD檢測，結(jié)合以電容式指紋圖像采集。只是簡單的多傳感組合而已。無獨(dú)有偶，電容指紋傳感器界的老大Authentec在2012年就獲得了該“活體指紋識別”技術(shù)的專利授權(quán)，專利號US8180120B2。

因Authentec被蘋果公司收購，Authentec的專利技術(shù)也歸蘋果公司所有，可是蘋果一直沒有用這個“活體識別”，為什么呢？

首先，假指紋五花八門。不妨來看看微軟公司在二十年前發(fā)布的假指紋材料目錄：

B 公司的“活體指紋檢測技術(shù)”能防住多少種呢？不幸的是，只有一種不屬于假指紋目錄的東西：

上圖左邊示意了 B 公司使用的黑色假指紋，右邊則是真正的假指紋膜。是否 B 公司的“活體指紋檢測技術(shù)”只能檢測其“獨(dú)創(chuàng)”的假指紋呢？

不妨來制作一次假指紋，并論證和測試一下 B 公司“活體指紋檢測技術(shù)”。首先準(zhǔn)備一瓶最普通的材料，液體膠水。

液體膠水的成分是膠質(zhì)、水、電解質(zhì)。水提供流動性，使膠水可以充滿表面縫隙；膠質(zhì)提供固體支架；電解質(zhì)促進(jìn)水和膠質(zhì)相互分散。用作假指紋時，水使膠水易于倒膜，膠質(zhì)提供透明固體支架，電解質(zhì)則提供導(dǎo)電性。用液體膠制作的指紋膜隨著其含水量不同能體現(xiàn)從濕皮膚到干皮膚的過渡，在電容式指紋傳感器行業(yè)一直被用于制作仿真指紋，用于測試傳感器對干濕指紋的適應(yīng)性。

制作過程

步驟1、先融化蠟用手指按壓倒模：

步驟2、把膠水倒入蠟?zāi)?，待其半固化取下?/p>

何一個能看懂 B 公司“活體指紋檢測技術(shù)”原理的人都可以預(yù)料到：第一、電容對該導(dǎo)電薄膜成像，圖像質(zhì)量甚至比真指紋清晰；第二、紅外光可以穿透該指紋膜到達(dá)真指紋，從真指紋出射的光線也可以穿過該指紋膜到達(dá)檢測器。也就是說，B 公司的“活體指紋檢測技術(shù)”可以百分百被辦公液體膠水破解掉。果然“得力辦公液體膠，破解活體指紋也得力”。而這只是20年前就遍為人知的假指紋目錄中的一項而已。

那么，這是否意味著指紋識別不靠譜呢？的確，在一定的應(yīng)用場景下是這樣的。比如上海指付通曾經(jīng)推出的用手機(jī)號和指紋進(jìn)行支付的模式，支付寶也曾推出過線下指紋支付項目，都消失無跡。在這種使用第三方指紋采集器的線下模式中，第三人可以使用假指紋在千里之外盜用身份竊取金錢，根本防不慎防。但在手機(jī)應(yīng)用中，值得關(guān)心的是指紋識別對手機(jī)的整體信息安全有沒有提升，而不是指紋識別自身的絕對能力有多強(qiáng)。蘋果公司一句話講得好，“比6位數(shù)Pin碼強(qiáng)”。畢竟此應(yīng)用場景下單一竊取指紋和單一竊取手機(jī)都無法進(jìn)入手機(jī)系統(tǒng)，避免了進(jìn)一步的損失發(fā)生，已經(jīng)實現(xiàn)了對手機(jī)的安全增值。在手機(jī)上搞活體指紋純粹是個偽需求，正牌從業(yè)者根本不會浪費(fèi)時間做無用功，因為廉價的“活體指紋檢測”方案的破解成本一般遠(yuǎn)遠(yuǎn)低于方案成本，只有成本較高的技術(shù)組合才有機(jī)會達(dá)到較高的破解成本。而破解成本是安全技術(shù)安全程度的唯一度量標(biāo)準(zhǔn)。

看看破解 B 公司所謂“活體指紋檢測技術(shù)”成本如何：

模具蠟，零售價1元rmb；

得力液體膠一瓶，零售價0.8元rmb；

可制作破解 B 公司“活體指紋檢測技術(shù)”的假指紋膜200只，平均每只0.009rmb。

造假5分鐘”，“花費(fèi)1分錢”，“破解一輩子”，才是 B 公司“活體指紋檢測技術(shù)”的真正效果。

正因為在智能手機(jī)領(lǐng)域既是偽需求又沒卵用，連炒作價值都沒有，B公司在手機(jī)市場遭遇了滑鐵盧，浪費(fèi)了不少宣傳費(fèi)。但據(jù)知情人士舉報，B公司把魔爪伸向了涉及公眾安全的門鎖行業(yè)，又要全球“首發(fā)”活體指紋檢測技術(shù)，推出“活體指紋智能門鎖”。

手機(jī)行業(yè)對于指紋識別技術(shù)是比較陌生的，但在安防行業(yè)應(yīng)用已久，“活體”在安防行業(yè)也不是一個新概念，市場語言里，活體就是電容，電容就是活體。活體這個稱謂指相對于只需要打印指紋就能欺騙的光學(xué)指紋傳感器而言，總是稍稍好一點(diǎn)，并不強(qiáng)調(diào)能鑒定出各種假指紋。B公司包裝“活體指紋檢測技術(shù)”，以“活體指紋檢測技術(shù)”在安防產(chǎn)品的“首發(fā)”為噱頭，進(jìn)行包裝炒作，博取關(guān)注，真是干（san）得（xin）漂（bing）亮（kuang）。在當(dāng)前資本浮華的社會環(huán)境下，不沉心做研發(fā)，不細(xì)心做構(gòu)思，專心包裝炒作，這種公司的產(chǎn)品如何保證用戶的安全？在明知被一分錢破解的情況下，這無異于知（sha）假（ren）售（fang）假（huo）?？上У氖牵卜佬袠I(yè)對“活體”這個詞匯并不陌生，畢竟指紋識別在安防領(lǐng)域是核心技術(shù)，這門技術(shù)也正是由安防市場孕育，才延伸到手機(jī)市場的。

指紋是重要的隱私信息，用戶千萬不可因相信如此荒唐的“假技術(shù)”而放松了防止指紋信息泄露的意識，否則后患無窮。

有興趣的讀者可以查看我的往期文章

警惕“黑科技”——聊聊手機(jī)“指紋識別”宣傳上的那些陷阱

防不勝防，揭秘指紋識別中的“假技術(shù)”

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。