移動(dòng)端正在成為最熱門(mén)的黑客攻擊路徑，新冠疫情后BYOD大行其道，個(gè)人用戶(hù)的安全意識(shí)滯后，讓移動(dòng)端的安全問(wèn)題更加嚴(yán)峻。根據(jù)皮尤研究中心(Pew Research Center)的報(bào)告，幾乎三分之一的美國(guó)人不使用任何鎖屏技術(shù)。

事實(shí)上，手機(jī)鎖屏是防止未授權(quán)訪問(wèn)，保護(hù)個(gè)人移動(dòng)設(shè)備隱私和數(shù)據(jù)的最重要的環(huán)節(jié)之一，而手機(jī)廠商和主流移動(dòng)操作系統(tǒng)，尤其是Android陣營(yíng)，也紛紛推出各種鎖屏技術(shù)，最常見(jiàn)的有圖案解鎖、PIN碼、人臉識(shí)別和指紋識(shí)別四大類(lèi)(編者按：本文暫不討論未獲廣泛支持的軟硬件密鑰方案)。但是，很少有用戶(hù)真正了解和比較這四種Android鎖屏技術(shù)的安全性，甚至存在很多認(rèn)知誤區(qū)，例如過(guò)于信任人臉識(shí)別和指紋識(shí)別，輕視PIN碼。

以下，我們帶你深入了解安卓手機(jī)鎖屏/身份驗(yàn)證方法的安全性和優(yōu)劣：

顧名思義，圖案解鎖需要用戶(hù)在屏幕上滑動(dòng)出預(yù)先設(shè)定的線條圖案來(lái)解鎖手機(jī)，其強(qiáng)度取決于圖案的復(fù)雜程度。與其他屏幕解鎖技術(shù)相比較，圖案解鎖的安全強(qiáng)度最多可被視為中等級(jí)別(很詫異吧，并不是最差的)。與弱口令的問(wèn)題類(lèi)似，圖案模式越簡(jiǎn)單，越容易被他人偷窺或“暴力破解”。

實(shí)際上，研究發(fā)現(xiàn)，偷窺者偷看一次解鎖圖案后成功復(fù)制的幾率高達(dá)64.2%。如果經(jīng)過(guò)多次觀察，這種風(fēng)險(xiǎn)會(huì)進(jìn)一步增加。您可以通過(guò)關(guān)閉滑動(dòng)線路顯示或選擇更復(fù)雜的圖案模式來(lái)提高圖案安全性(但也同時(shí)會(huì)增加記憶難度)?？紤]所有因素后，PIN碼/密碼通常是更安全的選擇。

下面是一個(gè)看似簡(jiǎn)單但很難破解的圖案解鎖(4-2-3-1-7)：

而這個(gè)圖案解鎖的破解難度堪稱(chēng)地獄級(jí)(2-7-5-3-8-1-4-6-9)：

• 需要強(qiáng)調(diào)的是，這里說(shuō)的不僅僅是手機(jī)屏幕解鎖密碼，還包括SIM卡PIN碼，利用SIM交換攻擊突破常見(jiàn)的雙因素認(rèn)證近年來(lái)異常猖獗且難以防范，一個(gè)最簡(jiǎn)單有效的解決辦法就是在開(kāi)機(jī)密碼之外設(shè)置SIM卡PIN碼，最大限度防止SIM卡被未授權(quán)使用或者復(fù)制(安卓和蘋(píng)果用戶(hù)都推薦啟用)。安卓手機(jī)用戶(hù)只需在“設(shè)置-安全-設(shè)置SIM卡鎖定”路徑中激活SIM卡鎖定功能，并修改為自定義密碼即可完成SIM卡PIN碼設(shè)置。
• 設(shè)置SIM卡PIN碼后，每次重啟手機(jī)后，除了屏幕解鎖密碼，還需要輸入SIM卡PIN碼才能接入移動(dòng)蜂窩網(wǎng)絡(luò)服務(wù)。
• 許多Android版本都允許您設(shè)置聊勝于無(wú)的四位數(shù)屏幕解鎖密碼，如果你真的關(guān)心安全性問(wèn)題，應(yīng)當(dāng)選擇6-8位屏幕解鎖密碼。
• 對(duì)于屏幕解鎖密碼，我們建議最少設(shè)置8位，但是需要注意的是，很多用戶(hù)會(huì)因?yàn)?位密碼過(guò)長(zhǎng)而使用弱密碼，導(dǎo)致很多8位密碼的安全性還不如6位。所以，屏幕解鎖密碼需要保持一定的強(qiáng)度，這雖然會(huì)增加記憶和輸入難度，但是從長(zhǎng)遠(yuǎn)來(lái)看，對(duì)自己狠一點(diǎn)才是王道。

雖然廠家的指紋識(shí)別技術(shù)宣傳賣(mài)點(diǎn)五花八門(mén)(有的集成在屏幕下方，有的集成在按鈕上)，但總體上屬于同一種生物識(shí)別技術(shù)。總體來(lái)說(shuō)，指紋識(shí)別解鎖依然是目前公認(rèn)的最快捷最安全的方式之一(尤其是全民戴口罩的時(shí)期)。

但需要指出的是，指紋識(shí)別并非萬(wàn)無(wú)一失。攻擊者可以從照片和其他來(lái)源竊取指紋(自拍或合影掌心朝外“比V”或“比心”是嚴(yán)重缺乏安全意識(shí)的表現(xiàn))，最簡(jiǎn)單的攻擊方式只需要使用2D打印就可重新創(chuàng)建指紋，用于繞過(guò)生物特征識(shí)別鎖。2017年，一名安全研究人員從高分辨率照片中重建了德國(guó)國(guó)防部長(zhǎng)的指紋(值得慶幸的是德國(guó)沒(méi)有核武器)。

值得注意的是，由于新冠疫情變成持久戰(zhàn)，非接觸式指紋識(shí)別技術(shù)未來(lái)有望得到推廣。金雅拓(Gemalto)和IDEMIA等公司已經(jīng)對(duì)其解決方案進(jìn)行了調(diào)整，以提供非接觸式指紋感應(yīng)技術(shù)。

人臉識(shí)別/面部識(shí)別可能是最不安全的技術(shù)之一，2019 年人臉識(shí)別技術(shù)相關(guān)的安全和隱私問(wèn)題已經(jīng)多次曝光。盡管您可能認(rèn)為人臉識(shí)別過(guò)程相當(dāng)復(fù)雜并且需要大量技術(shù)奇跡，但事實(shí)是它基本上取決于前置攝像頭和某些軟件。相機(jī)會(huì)掃描您的臉部圖像，然后依靠面部識(shí)別算法來(lái)驗(yàn)證您的臉部。解鎖速度還取決于您的手機(jī)及其前置攝像頭的質(zhì)量。

雖然很多知名金融app和主流電商平臺(tái)軟件經(jīng)常催促甚至誘導(dǎo)您使用面部識(shí)別技術(shù)，但作為安全領(lǐng)域人士，我們都知道這幾乎是最不安全的認(rèn)證技術(shù)之一。

安全牛之前的頭條報(bào)道“打人不打臉：人臉識(shí)別濫用的十大應(yīng)對(duì)方案”，對(duì)此有較為相信的闡述?？傊?，壞人可能會(huì)用您在社交媒體上唾手可得的臉部照片來(lái)欺騙該技術(shù)。實(shí)際上，研究人員在110種不同的智能手機(jī)上進(jìn)行了測(cè)試，人臉識(shí)別的安全性表現(xiàn)相當(dāng)糟糕。通常，建議將指紋生物識(shí)別鎖與密碼結(jié)合使用才是更安全的方法。

不同品牌的智能手機(jī)還通過(guò)添加特殊功能來(lái)增強(qiáng)其設(shè)備的安全性，采取生物識(shí)別安全措施——從各種級(jí)別的面部掃描到虹膜掃描。例如，三星擁有自己的虹膜掃描技術(shù)，其設(shè)置非常簡(jiǎn)單。甚至戴眼鏡的用戶(hù)也能使用。該技術(shù)使用紅外LED照亮您的眼睛，通過(guò)窄焦點(diǎn)相機(jī)捕獲虹膜圖案，然后用智能手機(jī)處理該信息。聽(tīng)起來(lái)非常高科技，但是安全嗎?嗯，一個(gè)黑客團(tuán)隊(duì)使用具有紅外功能的攝像頭輕松了欺騙三星首款提供該功能的手機(jī)。

值得注意的是，虹膜識(shí)別已成為疫情期間最受關(guān)注的關(guān)鍵生物識(shí)別技術(shù)之一，可為戴著防護(hù)帽、口罩或部分遮蓋面部的用戶(hù)和市民進(jìn)行身份驗(yàn)證、識(shí)別和監(jiān)視操作。

安卓手機(jī)目前有很多屏幕解鎖技術(shù)可選，最安全的做法是選擇兩種或者多種安全技術(shù)組合。就本文著重討論的四大解鎖技術(shù)來(lái)說(shuō)，最安全的選擇是足夠長(zhǎng)且復(fù)雜的PIN或密碼，其次是指紋掃描，人臉識(shí)別是最不安全的選擇。