移动端正在成为最热门的黑客攻击路径,新冠疫情后BYOD大行其道,个人用户的安全意识滞后,让移动端的安全问题更加严峻。根据皮尤研究中心(Pew Research Center)的报告,几乎三分之一的美国人不使用任何锁屏技术。
事实上,手机锁屏是防止未授权访问,保护个人移动设备隐私和数据的最重要的环节之一,而手机厂商和主流移动操作系统,尤其是Android阵营,也纷纷推出各种锁屏技术,最常见的有图案解锁、PIN码、人脸识别和指纹识别四大类(编者按:本文暂不讨论未获广泛支持的软硬件密钥方案)。但是,很少有用户真正了解和比较这四种Android锁屏技术的安全性,甚至存在很多认知误区,例如过于信任人脸识别和指纹识别,轻视PIN码。
以下,我们带你深入了解安卓手机锁屏/身份验证方法的安全性和优劣:
顾名思义,图案解锁需要用户在屏幕上滑动出预先设定的线条图案来解锁手机,其强度取决于图案的复杂程度。与其他屏幕解锁技术相比较,图案解锁的安全强度最多可被视为中等级别(很诧异吧,并不是最差的)。与弱口令的问题类似,图案模式越简单,越容易被他人偷窥或“暴力破解”。
实际上,研究发现,偷窥者偷看一次解锁图案后成功复制的几率高达64.2%。如果经过多次观察,这种风险会进一步增加。您可以通过关闭滑动线路显示或选择更复杂的图案模式来提高图案安全性(但也同时会增加记忆难度)。考虑所有因素后,PIN码/密码通常是更安全的选择。
下面是一个看似简单但很难破解的图案解锁(4-2-3-1-7):
而这个图案解锁的破解难度堪称地狱级(2-7-5-3-8-1-4-6-9):
需要强调的是,这里说的不仅仅是手机屏幕解锁密码,还包括SIM卡PIN码,利用SIM交换攻击突破常见的双因素认证近年来异常猖獗且难以防范,一个最简单有效的解决办法就是在开机密码之外设置SIM卡PIN码,最大限度防止SIM卡被未授权使用或者复制(安卓和苹果用户都推荐启用)。安卓手机用户只需在“设置-安全-设置SIM卡锁定”路径中激活SIM卡锁定功能,并修改为自定义密码即可完成SIM卡PIN码设置。
设置SIM卡PIN码后,每次重启手机后,除了屏幕解锁密码,还需要输入SIM卡PIN码才能接入移动蜂窝网络服务。
许多Android版本都允许您设置聊胜于无的四位数屏幕解锁密码,如果你真的关心安全性问题,应当选择6-8位屏幕解锁密码。
对于屏幕解锁密码,我们建议最少设置8位,但是需要注意的是,很多用户会因为8位密码过长而使用弱密码,导致很多8位密码的安全性还不如6位。所以,屏幕解锁密码需要保持一定的强度,这虽然会增加记忆和输入难度,但是从长远来看,对自己狠一点才是王道。
虽然厂家的指纹识别技术宣传卖点五花八门(有的集成在屏幕下方,有的集成在按钮上),但总体上属于同一种生物识别技术。总体来说,指纹识别解锁依然是目前公认的最快捷最安全的方式之一(尤其是全民戴口罩的时期)。
但需要指出的是,指纹识别并非万无一失。攻击者可以从照片和其他来源窃取指纹(自拍或合影掌心朝外“比V”或“比心”是严重缺乏安全意识的表现),最简单的攻击方式只需要使用2D打印就可重新创建指纹,用于绕过生物特征识别锁。2017年,一名安全研究人员从高分辨率照片中重建了德国国防部长的指纹(值得庆幸的是德国没有核武器)。
值得注意的是,由于新冠疫情变成持久战,非接触式指纹识别技术未来有望得到推广。金雅拓(Gemalto)和IDEMIA等公司已经对其解决方案进行了调整,以提供非接触式指纹感应技术。
人脸识别/面部识别可能是最不安全的技术之一,2019 年人脸识别技术相关的安全和隐私问题已经多次曝光。尽管您可能认为人脸识别过程相当复杂并且需要大量技术奇迹,但事实是它基本上取决于前置摄像头和某些软件。相机会扫描您的脸部图像,然后依靠面部识别算法来验证您的脸部。解锁速度还取决于您的手机及其前置摄像头的质量。
虽然很多知名金融App和主流电商平台软件经常催促甚至诱导您使用面部识别技术,但作为安全领域人士,我们都知道这几乎是最不安全的认证技术之一。
安全牛之前的头条报道“打人不打脸:人脸识别滥用的十大应对方案”,对此有较为相信的阐述。总之,坏人可能会用您在社交媒体上唾手可得的脸部照片来欺骗该技术。实际上,研究人员在110种不同的智能手机上进行了测试,人脸识别的安全性表现相当糟糕。通常,建议将指纹生物识别锁与密码结合使用才是更安全的方法。
不同品牌的智能手机还通过添加特殊功能来增强其设备的安全性,采取生物识别安全措施——从各种级别的面部扫描到虹膜扫描。例如,三星拥有自己的虹膜扫描技术,其设置非常简单。甚至戴眼镜的用户也能使用。该技术使用红外LED照亮您的眼睛,通过窄焦点相机捕获虹膜图案,然后用智能手机处理该信息。听起来非常高科技,但是安全吗?嗯,一个黑客团队使用具有红外功能的摄像头轻松了欺骗三星首款提供该功能的手机。
值得注意的是,虹膜识别已成为疫情期间最受关注的关键生物识别技术之一,可为戴着防护帽、口罩或部分遮盖面部的用户和市民进行身份验证、识别和监视操作。
安卓手机目前有很多屏幕解锁技术可选,最安全的做法是选择两种或者多种安全技术组合。就本文着重讨论的四大解锁技术来说,最安全的选择是足够长且复杂的PIN或密码,其次是指纹扫描,人脸识别是最不安全的选择。