没用!别拿指纹当密码看完就明白了

2015-12-03 | 来源: 网易 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

　　举个例子，敏感的政府机构会使用个人身份认证（PIV）卡，上面包括了雇员的指纹。除了需要输入正确的密码之外，使用PIV卡的联邦雇员还必须扫描指纹，并和保存在卡内的指纹进行对比。这种使用密码和指纹匹配的方式构成了双重认证系统。

　　而在这之后，美国国家人事局（OPM）被黑了，560 万（！）枚政府雇员的指纹被窃取，很可能是外国间谍机构干的。于是现在国土安全局可能不得不改为使用“三重认证”，因为其中的一个认证方式已经彻底完蛋了。如果当初政府在 PIV 卡中使用了一种可替换的方式，至少这次泄露弥补起来会容易得多。

　　密码需要定期更换来确保其保密性和安全性。指纹是不可更换的。

　　指纹是不能被哈希处理的

　　指纹的问题在于判定的时候只要近似就够了，而且应该也是这样。如果我在指纹识别器上按手指的时候稍微大了点劲儿，或者稍微错位了一点，又或者手指被划伤了，我依然希望这个识别器能接受我的指纹。训练有素的FBI探员在对比指纹时，通常都使用“部分”匹配的方式，只要有合理的精确度就够了。对于血肉之躯的人类和现实世界中的指纹扫描仪来说，近似匹配是合情合理的。不过只要指纹有细微的瑕疵，经过哈希处理后就会和参照版本完全不同。这也就意味着指纹是不可哈希的。哈希算法让密码更加健壮，一旦缺少了哈希算法的保护，指纹就变得脆弱得多。

　　

从初恋贾乃亮到前夫杨子,揭秘黄圣依情感密码

没用碉堡克星攻击伊斯法罕美坦承:太深了炸不到

《以法之名》4集过后,男主行为动机模糊,没用废戏多,注水严重

　　比如一个靠谱点的网站被黑了，就算黑客窃取了网站的密码数据库，他们也不会因此拥有这些密码的列表。他们只能得到用户名以及被单向哈希之后的密码。

　　指纹和雪崩效应

　　刚才这些东西和指纹到底有啥关系？指纹本身不能经过哈希处理，所以上面那些做法（在数据中只保存加盐密码的哈希值）在安全性上面所带来的优势，对指纹来说毛用没有。这是因为除了单向之外，一个好的哈希算法展现了所谓的雪崩效应：密码中一个轻微的改变会导致哈希结果极大的区别。

　　

　　字符串“!password123”在使用 MD5 哈希处理之后，得到的值是 b3a2efccbe10c39f2119979a6f9a3ab2，而“!Password123”对应的值是 d2583f9c75fbc22890d39e7241927511。这两个字符串只有一个字母不同，那个大写的“P”，但是两个哈希结果的差异却相当巨大。这防止了那些暴力破解者去判断他们尝试的密码和实际密码之间的近似程度。如果密码中每出现一个正确字母就和目标哈希值接近一分的话，他们毫不费力地就能猜到你的密码了。雪崩效应意味着猜到“相似”的密码是毫无意义的。

　　正如之前提到的，指纹技术需要能判断出“足够相似”。如果把它进行哈希处理的话，就会差之毫厘、谬以千里。这也就是说，指纹只能被明文存储，或者加密存储，但是哈希算法一点用也没有，因为一个好的哈希算法会导致雪崩效应。指纹数据库不可避免地会成为薄弱环节，只要你的指纹被保存下来，不管是在你的 iPhone 上、在 IPV 卡上还是在电子护照上，只要知道了主密码，这里面存储的指纹都可以被破解。