移動端正在成為最熱門的黑客攻擊路徑，新冠疫情后BYOD大行其道，個人用戶的安全意識滯后，讓移動端的安全問題更加嚴(yán)峻。根據(jù)皮尤研究中心(Pew Research Center)的報告，幾乎三分之一的美國人不使用任何鎖屏技術(shù)。

事實上，手機鎖屏是防止未授權(quán)訪問，保護個人移動設(shè)備隱私和數(shù)據(jù)的最重要的環(huán)節(jié)之一，而手機廠商和主流移動操作系統(tǒng)，尤其是Android陣營，也紛紛推出各種鎖屏技術(shù)，最常見的有圖案解鎖、PIN碼、人臉識別和指紋識別四大類(編者按：本文暫不討論未獲廣泛支持的軟硬件密鑰方案)。但是，很少有用戶真正了解和比較這四種Android鎖屏技術(shù)的安全性，甚至存在很多認(rèn)知誤區(qū)，例如過于信任人臉識別和指紋識別，輕視PIN碼。

以下，我們帶你深入了解安卓手機鎖屏/身份驗證方法的安全性和優(yōu)劣：

顧名思義，圖案解鎖需要用戶在屏幕上滑動出預(yù)先設(shè)定的線條圖案來解鎖手機，其強度取決于圖案的復(fù)雜程度。與其他屏幕解鎖技術(shù)相比較，圖案解鎖的安全強度最多可被視為中等級別(很詫異吧，并不是最差的)。與弱口令的問題類似，圖案模式越簡單，越容易被他人偷窺或“暴力破解”。

實際上，研究發(fā)現(xiàn)，偷窺者偷看一次解鎖圖案后成功復(fù)制的幾率高達(dá)64.2%。如果經(jīng)過多次觀察，這種風(fēng)險會進(jìn)一步增加。您可以通過關(guān)閉滑動線路顯示或選擇更復(fù)雜的圖案模式來提高圖案安全性(但也同時會增加記憶難度)?？紤]所有因素后，PIN碼/密碼通常是更安全的選擇。

下面是一個看似簡單但很難破解的圖案解鎖(4-2-3-1-7)：

而這個圖案解鎖的破解難度堪稱地獄級(2-7-5-3-8-1-4-6-9)：

• 需要強調(diào)的是，這里說的不僅僅是手機屏幕解鎖密碼，還包括SIM卡PIN碼，利用SIM交換攻擊突破常見的雙因素認(rèn)證近年來異常猖獗且難以防范，一個最簡單有效的解決辦法就是在開機密碼之外設(shè)置SIM卡PIN碼，最大限度防止SIM卡被未授權(quán)使用或者復(fù)制(安卓和蘋果用戶都推薦啟用)。安卓手機用戶只需在“設(shè)置-安全-設(shè)置SIM卡鎖定”路徑中激活SIM卡鎖定功能，并修改為自定義密碼即可完成SIM卡PIN碼設(shè)置。
• 設(shè)置SIM卡PIN碼后，每次重啟手機后，除了屏幕解鎖密碼，還需要輸入SIM卡PIN碼才能接入移動蜂窩網(wǎng)絡(luò)服務(wù)。
• 許多Android版本都允許您設(shè)置聊勝于無的四位數(shù)屏幕解鎖密碼，如果你真的關(guān)心安全性問題，應(yīng)當(dāng)選擇6-8位屏幕解鎖密碼。
• 對于屏幕解鎖密碼，我們建議最少設(shè)置8位，但是需要注意的是，很多用戶會因為8位密碼過長而使用弱密碼，導(dǎo)致很多8位密碼的安全性還不如6位。所以，屏幕解鎖密碼需要保持一定的強度，這雖然會增加記憶和輸入難度，但是從長遠(yuǎn)來看，對自己狠一點才是王道。

雖然廠家的指紋識別技術(shù)宣傳賣點五花八門(有的集成在屏幕下方，有的集成在按鈕上)，但總體上屬于同一種生物識別技術(shù)?？傮w來說，指紋識別解鎖依然是目前公認(rèn)的最快捷最安全的方式之一(尤其是全民戴口罩的時期)。

但需要指出的是，指紋識別并非萬無一失。攻擊者可以從照片和其他來源竊取指紋(自拍或合影掌心朝外“比V”或“比心”是嚴(yán)重缺乏安全意識的表現(xiàn))，最簡單的攻擊方式只需要使用2D打印就可重新創(chuàng)建指紋，用于繞過生物特征識別鎖。2017年，一名安全研究人員從高分辨率照片中重建了德國國防部長的指紋(值得慶幸的是德國沒有核武器)。

值得注意的是，由于新冠疫情變成持久戰(zhàn)，非接觸式指紋識別技術(shù)未來有望得到推廣。金雅拓(Gemalto)和IDEMIA等公司已經(jīng)對其解決方案進(jìn)行了調(diào)整，以提供非接觸式指紋感應(yīng)技術(shù)。

人臉識別/面部識別可能是最不安全的技術(shù)之一，2019 年人臉識別技術(shù)相關(guān)的安全和隱私問題已經(jīng)多次曝光。盡管您可能認(rèn)為人臉識別過程相當(dāng)復(fù)雜并且需要大量技術(shù)奇跡，但事實是它基本上取決于前置攝像頭和某些軟件。相機會掃描您的臉部圖像，然后依靠面部識別算法來驗證您的臉部。解鎖速度還取決于您的手機及其前置攝像頭的質(zhì)量。

雖然很多知名金融app和主流電商平臺軟件經(jīng)常催促甚至誘導(dǎo)您使用面部識別技術(shù)，但作為安全領(lǐng)域人士，我們都知道這幾乎是最不安全的認(rèn)證技術(shù)之一。

安全牛之前的頭條報道“打人不打臉：人臉識別濫用的十大應(yīng)對方案”，對此有較為相信的闡述?？傊瑝娜丝赡軙媚谏缃幻襟w上唾手可得的臉部照片來欺騙該技術(shù)。實際上，研究人員在110種不同的智能手機上進(jìn)行了測試，人臉識別的安全性表現(xiàn)相當(dāng)糟糕。通常，建議將指紋生物識別鎖與密碼結(jié)合使用才是更安全的方法。

不同品牌的智能手機還通過添加特殊功能來增強其設(shè)備的安全性，采取生物識別安全措施——從各種級別的面部掃描到虹膜掃描。例如，三星擁有自己的虹膜掃描技術(shù)，其設(shè)置非常簡單。甚至戴眼鏡的用戶也能使用。該技術(shù)使用紅外LED照亮您的眼睛，通過窄焦點相機捕獲虹膜圖案，然后用智能手機處理該信息。聽起來非常高科技，但是安全嗎?嗯，一個黑客團隊使用具有紅外功能的攝像頭輕松了欺騙三星首款提供該功能的手機。

值得注意的是，虹膜識別已成為疫情期間最受關(guān)注的關(guān)鍵生物識別技術(shù)之一，可為戴著防護帽、口罩或部分遮蓋面部的用戶和市民進(jìn)行身份驗證、識別和監(jiān)視操作。

安卓手機目前有很多屏幕解鎖技術(shù)可選，最安全的做法是選擇兩種或者多種安全技術(shù)組合。就本文著重討論的四大解鎖技術(shù)來說，最安全的選擇是足夠長且復(fù)雜的PIN或密碼，其次是指紋掃描，人臉識別是最不安全的選擇。