是否设置生物识别(指纹/面容)
反方:
“生物识别不是额外的安全性功能,但可以帮助用户更便捷的解锁,这让更长的密码变得更加实际。”但是有几个问题:
- 除了 iOS 平台,几乎没有厂商公布自家生物识别功能的具体实现和安全强度,前几年 iPhone 刚出 Touch ID 的时候,有些跟进的厂商几乎是乱搞的,甚至出现过直接明文存储用户指纹图片的操作,现在虽然这种事少见了,但有没有类似 TPM 芯片/安全隔区的防护设计,可靠性如何,几乎完全无从得知
- 生物识别本身并没有那么安全。根据 Apple 官方提供的数据,单个 Touch ID 在人群中的命中率约为五万分之一(安全性介于四位数字密码和五位数字密码之间);单个 Face ID 在人群中的命中率约为一百万分之一(安全性相当于六位数字密码)。如果设置了多个指纹和替用人脸,安全性还将进一步降低。考虑熟练输入一个长度在 4-6 位的密码也不会花比几秒更长的时间,不用生物识别也是一种可接受的选择
正方:
- 当然你可以 argue 说生物识别没有社会工程学方面的问题,所以比等价的数字密码还是要安全一些,这个我是同意的
- 生物识别确实可以极大提升密码的安全性(密码长几位至少可以降低数十万倍的单纯碰撞概率),并且在重视安全性的系统中往往可以快捷停用
数字密码 or 复杂密码
反方:
- 复杂密码的主要问题是引入了输入法这一额外的攻击面。有些手机甚至会在锁屏界面使用定制的第三方输入法。好一些的用安全键盘(通常运行在一个比较受限的沙盒环境中,且不会记录用户输入),但还是额外的攻击面;而数字键盘就简单的多,几乎没有攻击面
正方:
- 但是数字键盘太大了,在不安全的物理环境中输入很容易出现窥屏问题,全键盘这个问题就小得多。并且只考虑单纯碰撞的话,显然未知长度的复杂密码比已知长度的纯数字更安全
如果是你,你会怎么选择,为什么?
1
Select Language