V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
acros
V2EX  ›  iPhone

Touch ID 的“密码”不是唯一的,这个当付费工具验证手段不会存下隐患纠纷吗?

  •  
  •   acros · 2016-02-07 00:06:08 +08:00 via iPhone · 10624 次点击
    这是一个创建于 3213 天前的主题,其中的信息可能已经有所发展或是发生改变。
    去年十一的时候发现的,我的指纹和我爸的指纹能通用( iphone 5s ),本来我以为这是正常的,直系亲属嘛。后来公司同事听了这事说,在美国这个漏洞会惹出大官司(他本人在美国居住过四五年,也是做的 it )。 我找了下 iphone 的责任声明,但没找到 touch id 相关部分....
    不过再想想,现在支付宝等工具也应用上指纹了,要是因为指纹相似而被盗取财务,这个工具提供方会有连带责任么?
    34 条回复    2016-02-19 15:56:21 +08:00
    powergx
        1
    powergx  
       2016-02-07 00:09:10 +08:00 via iPhone
    采样点不够导致的
    paradoxs
        2
    paradoxs  
       2016-02-07 00:33:41 +08:00   ❤️ 1
    赶紧到美国起诉,可以脱离码农生涯了。
    acros
        3
    acros  
    OP
       2016-02-07 00:36:42 +08:00 via iPhone
    @paradoxs 这种得靠集体诉讼了吧。 嗯,哪天我想好了再恳请国家送我去美帝打倒苹果。
    Leafove
        4
    Leafove  
       2016-02-07 00:40:28 +08:00 via iPhone
    这又是一个你有家里钥匙你爹也有家里钥匙结果你觉得这是个漏洞的问题
    FinalDream
        5
    FinalDream  
       2016-02-07 00:45:33 +08:00   ❤️ 1
    @Leafove 明显不是这样,应该是拿着自己房门的钥匙打开了隔壁王叔叔房门的锁
    zakokun
        6
    zakokun  
       2016-02-07 00:48:43 +08:00
    @Leafove 这明显不是一回事啊!如果情况属实的话感觉问题挺严重的
    pathletboy
        7
    pathletboy  
       2016-02-07 00:48:57 +08:00
    @FinalDream 被你说的楼主要怀疑人生了
    skydiver
        8
    skydiver  
       2016-02-07 00:52:17 +08:00
    直系亲属的指纹也是完全没关系的吧……
    Mutoo
        9
    Mutoo  
       2016-02-07 00:52:18 +08:00
    确定不是两台设备上同时添加了两个人的指纹?那问题是挺大的。
    a302800411
        10
    a302800411  
       2016-02-07 00:53:44 +08:00
    没听说过指纹也遗传吧?
    这大概就是 MD5 的问题,虽然会有重复的 MD5 ,但多数情况都是惟一的就行了,毕竟这比 16 位密码复杂多了
    xuhaoyangx
        11
    xuhaoyangx  
       2016-02-07 00:55:16 +08:00
    当时我就记得别人这么说过 touchid 的

    一个前提 ios 的 touchid api 已经放出来了, 5s 发布 1 年后的事情
    某支付工具, api 放出来了好久都没开启相关通过指纹进行支付, mate7 还是哪台华为的机子,背部指纹的,一出来就给做出了这个功能,原因就是 5s 的 touchid 识别尺寸太小了,达不到识别标准?记不太清楚了,还说了苹果能拿这么小尺寸的做到识别很厉害,但是不安全。
    iphone6 就是增大了尺寸,但是发布会屁都没说,就是不好意思说不安全的问题哈哈
    SharkIng
        12
    SharkIng  
       2016-02-07 03:54:00 +08:00
    我觉得指纹采样点不够是一个原因,但是毕竟也是因为指纹很像造成的吧??你和你爸指纹虽然不一样但是很像我觉得直系亲属还是有可能的。如果真的是隔壁王叔叔的指纹开了你的手机,那就有问题了。
    actuallymax
        13
    actuallymax  
       2016-02-07 07:19:08 +08:00
    和你密码一样的人绝对比和你指纹一样的人多几百倍, 尤其还是 6 位数密码, so~
    sunnyyj
        14
    sunnyyj  
       2016-02-07 07:27:01 +08:00 via iPhone
    确实啊,感觉采样有点不严格,用自己两个大拇指采集为一个指纹,能采集成功,然后居然两个手指都能解锁。
    loading
        15
    loading  
       2016-02-07 07:51:21 +08:00 via Android
    然后苹果会说你按压的位置不对,你再设置一次,直到你服了为止…
    zenhand
        16
    zenhand  
       2016-02-07 08:14:46 +08:00
    这个好像在哪里看过说明,说有多少万分之一的概率会识别成相同的,它本来就不是唯一性的。
    zwl2828
        17
    zwl2828  
       2016-02-07 09:35:12 +08:00   ❤️ 2
    “每个指纹都是唯一的,因此,即使两个单独指纹的一小部分极为相似,也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹,发生这种情况的可能性为五万分之一。这比典型 4 位密码的一万分之一的猜中几率要好得多。五万分之一的可能性表示需要尝试多达五万次不同的指纹,直到可能无意中找到完全一样的指纹。而 Touch ID 只允许尝试五次指纹,如果都不成功,您必须输入密码,否则不能继续操作。” via 《关于 iPhone 和 iPad 上的 Touch ID 安全性》 https://support.apple.com/zh-cn/HT204587
    Halry
        18
    Halry  
       2016-02-07 10:31:53 +08:00 via Android
    指纹识别器有错误识别率这一参数的,还有 security level 和 dpi ,可能是 dpi 太低了, sl 不敢设高(拒绝率太高就很难用)。
    说实话 6p 和之前的 touchid 好难用,特别是手大的我,按几次就要密码了。。。
    alexzuo
        19
    alexzuo  
       2016-02-07 10:53:45 +08:00
    @Leafove 指纹这种东西,和遗传是没有关系的,哪怕同卵双胞胎的指纹也不应该一样,楼主碰到的这个事情,还是挺危险的
    ffffwh
        20
    ffffwh  
       2016-02-07 11:32:25 +08:00 via Android
    其实你是你爸的克隆,快去查查有没有染色体端粒短。。
    xupefei
        21
    xupefei  
       2016-02-07 11:39:33 +08:00
    @zwl2828 这个理由有一些问题。指纹相同大多数发生在直系血亲之间,因此实际可能性会远大于五万分之一(因为你的直系血亲只有几个人)。反观密码,密码重复和其他因素无关,于是一万分之一是准确的。
    说白了就是个样本空间的问题:指纹相同概率这个样本空间可以被缩小到很小的范围里。
    acros
        22
    acros  
    OP
       2016-02-07 11:45:53 +08:00 via iPhone
    @zwl2828 我在许可证和免责声明里面找的,以为 apple pay 相关条例会提到这个的问题呢。
    charlie21
        23
    charlie21  
       2016-02-07 12:13:52 +08:00
    任何新技术,在第一代的时候都是不成熟的, touch ID 这种技术也不例外
    Alesso
        24
    Alesso  
       2016-02-07 12:17:47 +08:00
    你之所以有这种想法,是因为你没有意识到:原来的字符密码,更不唯一。世界上有很多人密码会和其他人重复,指纹显然将这个重复率大幅降低了。
    如果你觉得指纹会重复,所以不能用来支付,那么字符密码就更不行了,现在这些在线支付公司岂不是都要赔钱?
    chairuosen
        25
    chairuosen  
       2016-02-07 12:40:06 +08:00
    同事的 6s ,只录了一个右手拇指,但是左右手拇指都能开锁。。。。。。。。
    acros
        26
    acros  
    OP
       2016-02-07 12:45:00 +08:00 via iPhone
    @Alesso 这个明显有区别。 传统密码是你自己设定的。指纹、虹膜这类,是对方以他的方法来鉴别你的特征,现在鉴别算法有缺陷,所以不能保证 100%正确,这是匹配方法问题。 密码匹配自然是 100%正确才能过的,但个人提供的密码可能相同,是用户自己提供的密码不够“唯一”。
    现在问题就成了, touch id 指纹识别正确率是多少,按上面说法 1/50000 ,近亲相似概率可能更高,因为这样的漏洞,如果出现财物纠纷,苹果会被牵扯在内么? 现在指纹支付在 ios 上算是常规配置了....
    Alesso
        27
    Alesso  
       2016-02-07 12:51:31 +08:00
    @acros 除非苹果刻意夸大的它的安全性,说不会重复之类的宣称,才有可能吃官司。否则,它就相当于「我们知道大多数用户密码不会去搞非常复杂的随机长密码,于是我们推出了指纹功能,帮你们生成一个重复率更低、更安全的密码」。
    ayanamist9
        28
    ayanamist9  
       2016-02-07 13:27:03 +08:00
    @xuhaoyangx 原来还有这么一段。
    actuallymax
        29
    actuallymax  
       2016-02-07 13:32:03 +08:00
    @acros

    1. 你提供的并不是你全部的指纹, 只是一部分。你在使用 touch id 的时候, 支付宝也不是匹配你这个人,而是你提供的部分指纹。

    2. 没有 100%的安全, 但是对于普通消费者来说也没什么比这个更安全了。

    3. 至于发生财务纠纷,苹果有没有责任这是法律问题, v2 有几个律师,怎么可能讨论的出结果?

    3. 破事水
    hzw
        30
    hzw  
       2016-02-07 15:13:32 +08:00
    如果,你和你爸爸每次用任意一部有 touch id 的苹果手机设备,都能展示出指纹录入后,可以父子通用,那倒是可以折腾下苹果。
    但我感觉不是很可能,你的情况有可能是偶然的,你自己可以多试几次看一下。
    hinkal
        31
    hinkal  
       2016-02-07 15:50:55 +08:00
    这也算漏洞?...我的密码恰好和同事密码相同都是 12345 ,软件开发商要负责嘛?概率很低 [譬如你说的指纹] 的事情没必要考虑吧
    nvidiaAMD980X
        32
    nvidiaAMD980X  
       2016-02-07 20:17:28 +08:00 via Android
    楼主,是不是你老爸知道了你的数字密码后,偷偷动了你的手机,录入了自己的指纹?
    Heracles
        33
    Heracles  
       2016-02-08 19:25:46 +08:00
    @sunnyyj iPhone 记录的并不是指纹图案。所以你用两个指头按,它就当一个指头记录。
    xjvf
        34
    xjvf  
       2016-02-19 15:56:21 +08:00
    没有图啊, 确定你手机里没录你爸的指纹?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:11 · PVG 03:11 · LAX 11:11 · JFK 14:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.