使用指紋識別進行移動支付時，該如何保護您的資金安全？

　　在很多人看來，2015年可算是移動支付元年，這一年，移動支付來勢洶洶，增長迅猛。但在真正談論移動支付前，很有必要言及當下智能手機市場，因為移動支付的崛起，首先得感謝其主要載體智能手機的廣泛普及。來自騰訊網相關報道的數據顯示，經過5年多的發展，中國智能手機市場規模已經由2011年的1.2億部躍升至2015年的4.7億部，這龐大的用戶基數使得我國移動支付市場的前景充滿想象。

　　我國當下移動支付的市場規模到底有多大?我們不妨看看來自中國互聯網絡信息中心(CNNIC)發布的第36次《中國互聯網絡發展狀況統計報告》，該報告顯示，截至2015年6月，中國網民規模達6.68億，其中手機網民規模達5.94億，占比達88.9%。2014年，中國移動支付的交易額達到6萬億，而2015年，這個數據預計將突破9萬億，交易額增長率達50%左右。

　　移動支付規模與增速的雙重驚人為生物識別技術的加入提供良好契機，相比傳統的密碼輸入而言，生物識別技術不但可大大提升移動支付的使用體驗，其安全性亦得大大強化。但加入生物識別技術后的移動支付就真的完美了嗎?相信在您看完下面的這些探討后，心中自會有答案。

　　成為移動支付最受歡迎的生物識別應用

　　在談論生物識別技術前，先簡單理清生物識別的原理，其實原理很簡單，那就是世上沒有兩片完全一樣的樹葉，正是基于這一點，才有了各種不同的生物識別應用技術，因為沒有兩個手指的指紋是完全一樣的，于是就有了指紋識別應用;因為沒有兩張臉龐的特征是完全一樣的，于是就有了面部識別，以此類推之，諸如聲音識別、虹膜識別、手掌識別及視網膜識別等等。鑒于移動支付多數應用于智能手機之上，并不是所有的生物識別技術都可得以應用，因此本文將探討的重點放在指紋識別技術上，因為它是目前在移動支付上被應用得最為廣泛的一種生物識別技術。

　　指紋識別技術在智能手機上的廣泛應用得歸功于蘋果公司，因為其始作俑者正是蘋果公司，現在讓我們將時間駁回到2013年9月20日，在這一天，蘋果發布了史上第一款加載按壓式指紋識別技術的手機iPhone 5s，該指紋識別功能是由AuthenTec研發，蘋果老謀深算，早在2012年就以3.56億美元將其收購，由于蘋果公司完全擁有該按壓式指紋識別技術的專利，并拒絕授權給其他廠商，導致一時間蘋果在該領域孤獨求敗，但蘋果引領的這場指紋識別潮流確是覆水難收，其他廠商們紛紛在其上發力，不多久，安卓系的手機廠商們便推出了具備按壓式指紋識別手機，而到了2015年下半年，具備指紋識別技術的智能手機已經由當初的旗艦級機型下放至千元機行列，筆者預計，2016年將是手機指紋識別技術的普及年，高中低端手機都將加載指紋識別應用。

　　那么指紋識別技術何以能打敗其他生物識別技術而獨傲群雄呢?首先是它與手機具有天生的適配性，人們操作手機時正是用手而非身體的其他器官;其次指紋識別技術盡管在手機上的應用并不久，但指紋識別技術的產生已頗久，技術本身已經相當成熟，其在價格、性能、安全性及識別精度上可說達到了一個較為完美的平衡，這是其他生物識別技術所不能比擬的，但指紋識別技術真的就完美了嗎?當然不是!

　　指紋識別設計的兩大原則

　　應該說手機指紋識別技術大大提升了移動支付的使用體驗，但其中亦隱藏著安全性危機。指紋本身是無法破解的，但是指紋必須轉化為信息才能被應用，而指紋信息則很可能被非法獲取。

　　前Google安全大師Shuman Ghosemajumder曾在接受采訪時表示，蘋果試圖建立指紋的云端數據存儲中心是極端危險的舉措，同時表示，蘋果在這方面無疑會得到世界級安全專家的建議。

　　Shuman Ghosemajumder同時提到了手機指紋識別技術應用需遵循的2點原則：第一，指紋掃描必須只是基于硬件，不能通過軟件激活，或是將指紋信息傳遞給軟件。因為如果該裝置能夠被軟件激活，則無法避免被惡意代碼攻擊的風險。而基于硬件的實現方式僅會通知軟件“指紋驗證通過”或“指紋驗證失敗”兩種狀態，不會與軟件分享任何指紋相關的數據與信息;第二，本地存儲的指紋信息，其位置必須非常安全，這個位置必須禁止軟件訪問，否則黑客會通過破解軟件的方式來獲取指紋信息。

　　毫無疑問，Shuman Ghosemajumder提到的2點原則應該成為所有指紋識別手機廠商都需遵循的基本原則，但手機廠商本身的研發實力參差不齊，由此很容易導致指紋識別手機出現嚴重的安全性漏洞，以筆者曾經使用過的魅族mx4 pro為例，盡管該手機的指紋識別體驗相當不錯，但有一個致命的安全漏洞，即在已經開啟指紋解鎖功能的情況下，用戶只需進入“工程模式”，就能輕易清除指紋識別的解鎖功能，實現對手機全部功能的訪問，讓指紋識別解鎖功能形同虛設，這是一個非常嚴重的Bug，盡管魅族后來修復了該Bug，但由此亦相當程度上顯示了指紋識別功能在安全性上的形勢不容樂觀，而一旦用戶的指紋信息泄露，其結果可能是災難性的，因你的指紋信息是無法改變的，由此導致的惡果很可能將會陪伴你一生!

　　結語

　　客觀來講，任何一種技術都不可能是完美無瑕的，指紋識別技術當然也不例外，對廠商而言，Shuman Ghosemajumder所言的兩點設計原則可謂金科玉律，但安全性絕非僅僅關乎廠商，亦關乎用戶，用戶良好的使用習慣亦是必不可少的，例如用戶私自將手機越獄(iPhone)或者Root(安卓系手機)，將會大大增加手機的安全性風險，隨意地在手機中打開陌生人發來的網絡鏈接亦如此等等。相信經過廠商、用戶及運營商等的多方努力，移動支付的安全性問題會得到大大地緩解!

　　（文/徐永紅 RFID世界網獨家稿件，轉載請注明來源作者！）