指纹认证安全吗？

扫描仪的安全性可能很大程度上取决于硬件的质量。我猜现在笔记本电脑附带的大多数扫描仪都很便宜，而且不适合高安全性的情况。即使是用于门锁的更高质量的扫描仪也不能不受指纹复制的影响。这个流言终结者剪辑证明了这一点。

就像哈雷所说的那样，多重挑战总是比单一挑战更安全。

大多数生物识别系统的问题在于它们本质上是“嘈杂的”，这需要软件从噪声中筛选出真正的信号。密码是几个字节，精确性需要完美。生物特征指纹、虹膜扫描、视网膜扫描或声纹都需要有一个“足够接近”的阈值，因为生物特征每天或每周都在变化。击败此类系统利用了生物特征认证技术“足够接近”的特性。

因此，在我看来，简单的生物识别不如正确选择的密码安全。这甚至没有涉及实施细节，例如扫描仪和认证器之间的信号捕获/重放可能性，或者容易破坏的皮肤电导率传感器（舔纸！）。

与密码结合使用时，可以增强安全性。但正如我所说，它不应该用来代替密码。

指纹通常比密码更安全，但这都是相对的。

但是你知道什么比指纹更安全吗？一个指纹和一个密码。你拥有的东西加上你知道的东西比单独的任何一个都安全得多。

• 使用指纹读取器比（强）密码更安全的操作系统身份验证？能轻易破解吗？

在某一时刻，它被认为是这样的。从那时起，已经开发出几种方法来击败这些扫描仪的廉价版本。

如果将其用作双因素或多因素身份验证过程的一部分，那么我相信它将通过提高进入难度来增强安全性。这里有人讨论这个。

• 顺便问一下，指纹存储在哪里？在硬件芯片上还是在文件系统上？

通常是文件系统。许多扫描仪只是将印象转换为传输到主机 PC 的散列。Kronos Touch ID是一种企业解决方案，旨在用作时钟；它将数据存储在 Paradox 表（！）中作为hash，所以很清楚他们的利润率来自这个设备......

• 这取决于阅读器的硬件吗？

有很多读者，每个人都有自己的方法。虽然我不能就此与任何权威人士交谈，但似乎“是”是这个问题的一个很好的答案。

• 这取决于库/操作系统的实现吗？

同样，我认为这取决于读者的类型。有些实际上传输的不仅仅是哈希（实际指纹图像），而另一些则不传输。

所有生物识别技术的问题在于，当您的安全材料（例如您的指纹、视网膜或 DNA）受到损害时，很难更改。

生物识别是一种身份识别形式，而不是身份验证。

编辑：跟进，我发现了这篇很棒的文章：身份验证和识别。

布鲁斯·施奈尔（Bruce Schneier）写了一篇关于生物特征的精彩分析，他在其中探讨了使用指纹读取器等技术进行身份验证的正面和负面影响。他指出，指纹很难伪造，但盗取却微不足道。就个人而言，在我的手指被严重割伤以损坏我的指纹之后，我被锁在自己的服务器机房外的那一周，足以让我发誓不要使用指纹读取器。

只要我不是“新用户”，我就会回来编辑这个 URL

http://www.schneier.com/blog/archives/2009/01/biometrics.html

我个人非常不喜欢生物识别技术。如果我为指纹系统掏钱，我宁愿使用 PKI 和密码 + 证书作为 ID。

根据应用程序和所需的安全级别，生物识别技术可能存在致命的缺陷。让我们假设坏人真的想要安全系统保护的任何东西，并且愿意绑架和/或杀死某人来获得它。

使用指纹读取器比（强）密码更安全的操作系统身份验证？能轻易破解吗？

是的，很容易从授权人那里砍下手指并用它来通过指纹读取器。或者，坏人可能会胁迫此人并强迫他们将手指放在扫描仪上。

另一方面，可以设置一个密码系统，其中一个密码可以提供访问权限，另一个“胁迫”密码不仅可以拒绝访问，还可以在输入时寻求帮助。

就个人而言，我不会在任何重要的系统上工作，以至于我想对它失去一根手指。如果有人非常想进去，我什至不希望他们被引诱我的手指......

指纹扫描仪是如何连接的？您正在查看的扫描仪是否在扫描仪和计算机之间使用某种加密。如果不是什么会阻止我在您的扫描仪和计算机之间插入设备然后捕获您的指纹？

你不能真正改变你的指纹。如果我能以一种我可以简单地一次又一次地发送相同数据的方式捕获指纹，那么你的系统就坏了。

指纹安全基于生物识别技术，其概念很简单，即生活在地球上的所有人的拇指印象都是不同的。逻辑是正确的，但它完全取决于您使用的技术，如果程序或硬件出现故障，那么它也可能存在风险。