移動支付興起指紋識別潮流，但它到底安全嗎？

　　移動支付近來增長率

　　第三方移動支付一季度規模破2萬億

　　據悉，僅僅2015年第一季度，中國第三方支付市場移動支付交易規模就達28292億元，環比增長率為5.18%。這些喜人的數據彰顯移動支付市場前景喜人，誰都想從中分得一杯羹。

　　得支付者得天下，三大巨頭阿里、騰訊及京東在移動支付領域展開角逐，傳統的移動支付通常是通過密碼認證的，一些顧客容易忘記密碼，這可能會給移動支付帶來一些意外的損失，如何避免?指紋識別來幫忙，相信沒人會忘記帶上自己的手指吧?截止6月10日，阿里、京東及騰訊三巨頭皆完成了各自在移動支付市場上的指紋識別布局。

　　指紋識別技術的加入，大大便捷了移動支付，算得上是在利潤驅動下，技術得以迅速應用的典型，一些業內人士認為相對傳統的密碼認證，指紋識別技術不但更便利，且其安全性亦更高，那么指紋識別技術真如這些業內人士所言的那么安全嗎?

　　移動支付指紋識別，從Iphone 5s說起

　　談到手機指紋識別，不得不提蘋果了，這家公司于2013年9月20日發布的iphone 5s首次加載指紋識別功能，該指紋識別功能是由AuthenTec研發，該公司的按壓式指紋識別技術可算當時最為先進的技術了，蘋果于2012年以3.56億美元將其收購，Iphone 5s之后，各手機廠商紛紛跟進，在自己的旗艦機型上加入指紋識別功能。無奈該按壓式指紋識別技術被蘋果公司壟斷，其他廠商只得自己研發或者采用其他的指紋識別方案，于是各種指紋識別技術紛紛登場。

　　Iphone 5s

　　蘋果以外的手機指紋識別技術

　　同樣作為手機巨頭的三星自然不會在指紋識別上讓蘋果獨美，其在14年2月推出的s5上，首次加入了指紋識別技術，s5采用Validity的解決方案，該方案是基于電容和無線射頻(RF)的半導體傳感器，這點其實跟蘋果的方案一致，與蘋果不同的是，s5的識別方式是滑動式，在進行指紋識別時手指必須得安照固定的方向滑動才能進行識別，這是其最大的缺陷，跟蘋果可實現360°無死角識別的方式差距明顯，嚴格來說，三星的這套方案更適合用在筆記本上，卻被用于手機，很顯然，三星有點慌不擇路了，好在三星在最近推出的旗艦機型上改進了指紋識別方案，其體驗的提升可謂脫胎換骨了。

　　三星S5

　　作為國產巨頭的華為，在其Mate 7手機上也首次加入了指紋識別功能，跟蘋果一樣，也采用了按壓式識別方式，提供解決方案的是一家瑞典的公司，名叫Fingerprint Cards ab(簡稱FPC)。該公司技術實力雄厚，其提供的指紋解決方案同樣支持360°識別，據稱其精度、時間、識別面積等甚至比iPhone 5S的體驗要好，遺憾的是由于種種技術上的原因，該套指紋識別模塊被安在了手機背面。

　　華為Mate7

　　另一國產新興品牌魅族，也在自己的旗艦機型mx4 pro上加入了指紋識別功能，為魅族提供指紋識別芯片解決方案的是一家來自深圳的本土企業匯頂科技，Validity 和Fingerprint Cards ab沒有做到的事情，匯頂科技做到了，跟蘋果一樣，魅族mx4 pro也將指紋模塊集成在了機身正面的HOME鍵上，這樣做的好處顯而易見，其一是不需要培養用戶的使用習慣;其二是勿需在手機上設計新的空間來放置指紋識別功能。匯頂科技的這套解決方案在解鎖速度與識別成功率上與蘋果的方案差別不大，實際的使用體驗亦相當，國人在指紋識別領域的研發實力不可小視。

　　魅族mx4 pro

　　其他國產品牌如HTC、酷派、VIVO等亦推出了各自加載指紋識別功能的手機，指紋識別技術儼然已成為手機領域內的熱門技術，隨著三大巨頭蘋果、谷歌及三星紛紛發力于移動支付領域，國內市場亦是如火如荼，指紋識別技術在移動支付領域天生具備的便利性與安全性使得其亦越來越受到廠商的青睞，相信這也會迅速催熟整套指紋識別應用產業鏈，前面所介紹的阿里、騰訊及京東三巨頭對其的重視可見一斑，目前應用于手機領域的指紋識別技術廠商主要有AuthenTec、Synaptics新思(Validity)、Fingerprint Cards AB(FPC)、CrucialTec、IDEX以及Goodix匯頂科技等，這些科技公司的技術實力毋容置疑，這是不是就意味著指紋識別技術就無懈可擊了呢?事實恐怕并非如此!

　　安全應用原則：硬件軟件各行其是

　　手機指紋識別技術盡管給移動支付帶來便捷，但安全性不容忽視，指紋本身是無法破解的，但是指紋必須轉化為信息才能被應用，而指紋信息便很可能被非法獲取，對此，前Google安全大師，安全領域的專家Shuman Ghosemajumder在接受采訪時表示，蘋果試圖建立指紋的云端數據存儲中心是極端危險的，但無疑蘋果在這方面會得到世界級安全專家的建議，他同時提到了手機指紋識別技術應該遵循的2點原則：第一，指紋掃描必須只基于硬件，不可通過軟件激活，或是將指紋信息傳送給軟件。如果該裝置能夠被軟件激活，則無法避免被惡意代碼攻擊的風險。而基于硬件的實現僅會通知軟件“指紋驗證通過”或“指紋驗證失敗”，但不會與軟件分享任何指紋相關的數據與信息;第二，在本地存儲的指紋信息，其存儲位置必須非常安全，這個位置必須禁止軟件的訪問，否則黑客會通過破解軟件的方式來獲取指紋信息。

　　Shuman Ghosemajumder提到的2點原則應該成為所有指紋識別手機廠商都應該遵循的基本原則，但手機生產商本身的研發實力參差不齊，由此很容易導致指紋識別手機出現嚴重的安全漏洞，以魅族mx4 pro為例，該手機的指紋識別體驗相當不錯，從完成對指紋的識別到點亮屏幕可謂一氣呵成，但該機有一個致命的安全漏洞，即使已經開啟了指紋解鎖功能，但只要進入“工程模式”，就能輕易清除指紋識別的解鎖功能，實現對手機全部功能的訪問，從而讓指紋識別鎖形同虛設，這是一個非常嚴重的bug，由此亦凸顯出指紋識別功能在手機安全性上的形勢不容樂觀，一旦用戶的指紋信息泄露，其結果將是災難性的，因為你沒法改變您的指紋信息，這樣的結果將會與你一生相隨。

　　相信利用指紋識別來完成移動支付將是一種潮流趨勢，越來越多的手機會加入指紋識別功能，而指紋識別功能在給移動支付帶來便捷的同時，也免去了人們記憶密碼之苦，但對于其安全性，需引起社會各界的重視，當然消費者亦勿需過濾，起碼就目前而言，其安全性是高于密碼認證的。

(文/徐永紅 rfid世界網獨家稿件，轉載請注明來源作者)