移动端正成为黑客最流行的攻击路径。新冠疫情后,BYOD开始普及,个人用户安全意识滞后,使得移动终端的安全问题更加严重。根据皮尤研究中心的一份报告,几乎三分之一的美国人不使用任何锁屏技术。事实上,手机锁屏是防止未经授权访问和保护个人移动设备隐私和数据的最重要环节之一。手机厂商和主流手机操作系统,尤其是安卓阵营,也推出了各种锁屏技术。最常见的类型是图案解锁、PIN码、人脸识别和指纹识别(编者按:本文不讨论未广泛支持的软硬件密钥方案)。然而,很少有用户真正了解和比较这四种安卓锁屏技术的安全性,甚至存在很多认知误区,比如过于相信人脸识别和指纹识别,低估PIN码等。下面,我们就为大家深入了解一下安卓手机锁屏/认证方式的安全性和优缺点:图案解锁顾名思义,需要用户在屏幕上滑出一条预先设定好的线条图案,才能解锁。解锁手机,其强度取决于图案的复杂程度。与其他屏幕解锁技术相比,图案解锁的安全强度充其量只能算是中等水平(令人惊讶的是,它并不是最差的)。与弱密码问题类似,图案越简单,越容易被他人窥探或“暴力破解”。事实上,该研究发现偷窥者在偷看一次后有64.2%的机会成功复制解锁图案。如果多次观察,这种风险会进一步增加。您可以通过关闭滑动线显示或选择更复杂的模式模式来提高模式安全性(但也会使其更难记住)。综合考虑,PIN/密码通常是更安全的选择。下面是一个看似简单实则难度大的花样解锁(4-2-3-1-7):而这个花样的解锁难度堪称地狱级(2-7-5-3-8-1-4-6-9):需要强调的是,这不仅仅是手机屏幕解锁密码,还有SIM卡PIN码。近年来,利用SIM交换攻击来突破常见的双因素身份验证极为猖獗,难以防范。一种最简单有效的解决方法是在开机密码之外设置SIM卡PIN码,防??止SIM卡被盗用或盗用(建议安卓和苹果用户开启)。安卓手机用户只需在“设置-安全-设置SIM卡锁”路径中开启SIM卡锁功能,修改为自定义密码即可完成SIM卡PIN码设置。设置SIM卡PIN码后,每次重启手机,除了屏幕解锁密码外,还需要输入SIM卡PIN码才能接入移动蜂窝网络服务。Android很多版本都允许设置四位数的屏幕解锁密码,总比没有好,如果你真的很在意安全性,你应该选择6-8位的屏幕解锁密码。对于屏幕解锁密码,我们建议至少设置8位,但需要注意的是很多用户会因为8位密码太长而使用弱密码,导致很多8位密码的安全性不如作为6位数字。因此,屏幕解锁密码需要保持一定的强度。虽然这样会增加记忆和输入的难度,但从长远来看,对自己狠一点才是王道。虽然厂商的指纹识别技术有各种宣传卖点(有的集成在屏幕下方,有的集成在按键上),但大体上都属于同一种生物识别技术。总的来说,指纹识别解锁仍然是目前公认的最快、最安全的方式之一(尤其是在全民戴口罩的时期)。但需要指出的是,指纹识别并非万无一失。攻击者可以从照片和其他来源窃取指纹(自拍或合影中手掌朝外的“V”或“心”是严重缺乏安全意识)。最简单的攻击方式只需要使用2D打印重新制作指纹,用于绕过生物识别锁。2017年,一名安全研究人员从高分辨率照片中重建了德国国防部长(谢天谢地德国没有核武器)的指纹。值得注意的是,随着新冠疫情成为持久战,非接触式指纹识别技术有望在未来得到推广。Gemalto和IDEMIA等公司已经调整了他们的解决方案以提供非接触式指纹感应。Facialrecognition/人脸识别可能是最不安全的技术之一,2019年与人脸识别技术相关的安全和隐私问题已经多次被曝光。虽然你可能认为人脸识别过程相当复杂,需要大量的技术支持奇迹,事实是它基本上取决于前置摄像头和一些软件。相机扫描您的面部图像,然后依靠面部识别算法来验证您的面部。解锁速度还取决于手机及其前置摄像头的质量。虽然很多知名金融APP和主流电商平台软件经常会催促甚至诱导你使用人脸识别技术,但作为安全领域的人,我们都知道这几乎是最不安全的认证技术之一。平安牛此前的头条报道《打人,不打脸:解决人脸识别滥用问题的10大解决方案》,对此有比较有说服力的解释。总而言之,坏人可以利用你在社交媒体上随处可见的果实来欺骗这项技术。事实上,研究人员在110款不同的智能手机上进行了测试,面部识别的安全性能相当糟糕。一般来说,指纹生物识别锁结合密码是一种更安全的方法。不同品牌的智能手机还通过添加特殊功能、采取生物识别安全措施(从面部扫描到不同级别的虹膜扫描)来增强其设备的安全性。例如,三星拥有自己的虹膜扫描技术,设置起来非常简单。即使戴眼镜的用户也可以使用它。该技术使用红外LED照亮您的眼睛,窄焦相机捕捉虹膜图案,然后使用智能手机处理该信息。听起来很高科技,但它安全吗?好吧,一群黑客使用具有红外功能的摄像头轻松欺骗了三星第一款提供该功能的手机。值得注意的是,虹膜识别已成为疫情期间最受关注的关键生物识别技术之一,可用于对佩戴防护帽、口罩或部分遮住面部的用户和市民进行身份验证、识别和监控操作。Android手机目前有多种屏幕解锁技术可供选择,最安全的方式是选择两种或两种以上安全技术的组合。就本文讨论的四大解锁技术而言,最安全的选择是足够长且复杂的PIN或密码,其次是指纹扫描,人脸识别是最不安全的选择。
