安卓手機(jī)四大主流解鎖方法安全性點(diǎn)評(píng)
移動(dòng)端正在成為最熱門的黑客攻擊路徑,新冠疫情后BYOD大行其道,個(gè)人用戶的安全意識(shí)滯后,讓移動(dòng)端的安全問(wèn)題更加嚴(yán)峻。根據(jù)皮尤研究中心(Pew Research Center)的報(bào)告,幾乎三分之一的美國(guó)人不使用任何鎖屏技術(shù)。

事實(shí)上,手機(jī)鎖屏是防止未授權(quán)訪問(wèn),保護(hù)個(gè)人移動(dòng)設(shè)備隱私和數(shù)據(jù)的最重要的環(huán)節(jié)之一,而手機(jī)廠商和主流移動(dòng)操作系統(tǒng),尤其是Android陣營(yíng),也紛紛推出各種鎖屏技術(shù),最常見的有圖案解鎖、PIN碼、人臉識(shí)別和指紋識(shí)別四大類(編者按:本文暫不討論未獲廣泛支持的軟硬件密鑰方案)。但是,很少有用戶真正了解和比較這四種Android鎖屏技術(shù)的安全性,甚至存在很多認(rèn)知誤區(qū),例如過(guò)于信任人臉識(shí)別和指紋識(shí)別,輕視PIN碼。
以下,我們帶你深入了解安卓手機(jī)鎖屏/身份驗(yàn)證方法的安全性和優(yōu)劣:
顧名思義,圖案解鎖需要用戶在屏幕上滑動(dòng)出預(yù)先設(shè)定的線條圖案來(lái)解鎖手機(jī),其強(qiáng)度取決于圖案的復(fù)雜程度。與其他屏幕解鎖技術(shù)相比較,圖案解鎖的安全強(qiáng)度最多可被視為中等級(jí)別(很詫異吧,并不是最差的)。與弱口令的問(wèn)題類似,圖案模式越簡(jiǎn)單,越容易被他人偷窺或“暴力破解”。
實(shí)際上,研究發(fā)現(xiàn),偷窺者偷看一次解鎖圖案后成功復(fù)制的幾率高達(dá)64.2%。如果經(jīng)過(guò)多次觀察,這種風(fēng)險(xiǎn)會(huì)進(jìn)一步增加。您可以通過(guò)關(guān)閉滑動(dòng)線路顯示或選擇更復(fù)雜的圖案模式來(lái)提高圖案安全性(但也同時(shí)會(huì)增加記憶難度)??紤]所有因素后,PIN碼/密碼通常是更安全的選擇。

下面是一個(gè)看似簡(jiǎn)單但很難破解的圖案解鎖(4-2-3-1-7):

而這個(gè)圖案解鎖的破解難度堪稱地獄級(jí)(2-7-5-3-8-1-4-6-9):
- 需要強(qiáng)調(diào)的是,這里說(shuō)的不僅僅是手機(jī)屏幕解鎖密碼,還包括SIM卡PIN碼,利用SIM交換攻擊突破常見的雙因素認(rèn)證近年來(lái)異常猖獗且難以防范,一個(gè)最簡(jiǎn)單有效的解決辦法就是在開機(jī)密碼之外設(shè)置SIM卡PIN碼,最大限度防止SIM卡被未授權(quán)使用或者復(fù)制(安卓和蘋果用戶都推薦啟用)。安卓手機(jī)用戶只需在“設(shè)置-安全-設(shè)置SIM卡鎖定”路徑中激活SIM卡鎖定功能,并修改為自定義密碼即可完成SIM卡PIN碼設(shè)置。
- 設(shè)置SIM卡PIN碼后,每次重啟手機(jī)后,除了屏幕解鎖密碼,還需要輸入SIM卡PIN碼才能接入移動(dòng)蜂窩網(wǎng)絡(luò)服務(wù)。
- 許多Android版本都允許您設(shè)置聊勝于無(wú)的四位數(shù)屏幕解鎖密碼,如果你真的關(guān)心安全性問(wèn)題,應(yīng)當(dāng)選擇6-8位屏幕解鎖密碼。
- 對(duì)于屏幕解鎖密碼,我們建議最少設(shè)置8位,但是需要注意的是,很多用戶會(huì)因?yàn)?位密碼過(guò)長(zhǎng)而使用弱密碼,導(dǎo)致很多8位密碼的安全性還不如6位。所以,屏幕解鎖密碼需要保持一定的強(qiáng)度,這雖然會(huì)增加記憶和輸入難度,但是從長(zhǎng)遠(yuǎn)來(lái)看,對(duì)自己狠一點(diǎn)才是王道。
雖然廠家的指紋識(shí)別技術(shù)宣傳賣點(diǎn)五花八門(有的集成在屏幕下方,有的集成在按鈕上),但總體上屬于同一種生物識(shí)別技術(shù)??傮w來(lái)說(shuō),指紋識(shí)別解鎖依然是目前公認(rèn)的最快捷最安全的方式之一(尤其是全民戴口罩的時(shí)期)。
但需要指出的是,指紋識(shí)別并非萬(wàn)無(wú)一失。攻擊者可以從照片和其他來(lái)源竊取指紋(自拍或合影掌心朝外“比V”或“比心”是嚴(yán)重缺乏安全意識(shí)的表現(xiàn)),最簡(jiǎn)單的攻擊方式只需要使用2D打印就可重新創(chuàng)建指紋,用于繞過(guò)生物特征識(shí)別鎖。2017年,一名安全研究人員從高分辨率照片中重建了德國(guó)國(guó)防部長(zhǎng)的指紋(值得慶幸的是德國(guó)沒(méi)有核武器)。
值得注意的是,由于新冠疫情變成持久戰(zhàn),非接觸式指紋識(shí)別技術(shù)未來(lái)有望得到推廣。金雅拓(Gemalto)和IDEMIA等公司已經(jīng)對(duì)其解決方案進(jìn)行了調(diào)整,以提供非接觸式指紋感應(yīng)技術(shù)。
人臉識(shí)別/面部識(shí)別可能是最不安全的技術(shù)之一,2019 年人臉識(shí)別技術(shù)相關(guān)的安全和隱私問(wèn)題已經(jīng)多次曝光。盡管您可能認(rèn)為人臉識(shí)別過(guò)程相當(dāng)復(fù)雜并且需要大量技術(shù)奇跡,但事實(shí)是它基本上取決于前置攝像頭和某些軟件。相機(jī)會(huì)掃描您的臉部圖像,然后依靠面部識(shí)別算法來(lái)驗(yàn)證您的臉部。解鎖速度還取決于您的手機(jī)及其前置攝像頭的質(zhì)量。
雖然很多知名金融app和主流電商平臺(tái)軟件經(jīng)常催促甚至誘導(dǎo)您使用面部識(shí)別技術(shù),但作為安全領(lǐng)域人士,我們都知道這幾乎是最不安全的認(rèn)證技術(shù)之一。
安全牛之前的頭條報(bào)道“打人不打臉:人臉識(shí)別濫用的十大應(yīng)對(duì)方案”,對(duì)此有較為相信的闡述。總之,壞人可能會(huì)用您在社交媒體上唾手可得的臉部照片來(lái)欺騙該技術(shù)。實(shí)際上,研究人員在110種不同的智能手機(jī)上進(jìn)行了測(cè)試,人臉識(shí)別的安全性表現(xiàn)相當(dāng)糟糕。通常,建議將指紋生物識(shí)別鎖與密碼結(jié)合使用才是更安全的方法。
不同品牌的智能手機(jī)還通過(guò)添加特殊功能來(lái)增強(qiáng)其設(shè)備的安全性,采取生物識(shí)別安全措施——從各種級(jí)別的面部掃描到虹膜掃描。例如,三星擁有自己的虹膜掃描技術(shù),其設(shè)置非常簡(jiǎn)單。甚至戴眼鏡的用戶也能使用。該技術(shù)使用紅外LED照亮您的眼睛,通過(guò)窄焦點(diǎn)相機(jī)捕獲虹膜圖案,然后用智能手機(jī)處理該信息。聽起來(lái)非常高科技,但是安全嗎?嗯,一個(gè)黑客團(tuán)隊(duì)使用具有紅外功能的攝像頭輕松了欺騙三星首款提供該功能的手機(jī)。
值得注意的是,虹膜識(shí)別已成為疫情期間最受關(guān)注的關(guān)鍵生物識(shí)別技術(shù)之一,可為戴著防護(hù)帽、口罩或部分遮蓋面部的用戶和市民進(jìn)行身份驗(yàn)證、識(shí)別和監(jiān)視操作。
安卓手機(jī)目前有很多屏幕解鎖技術(shù)可選,最安全的做法是選擇兩種或者多種安全技術(shù)組合。就本文著重討論的四大解鎖技術(shù)來(lái)說(shuō),最安全的選擇是足夠長(zhǎng)且復(fù)雜的PIN或密碼,其次是指紋掃描,人臉識(shí)別是最不安全的選擇。