你的手机不能用微信指纹?支付宝更安全吗

现在,指纹识别成为智能手机的标配

从千元机到旗舰机,几乎都搭载了指纹识别

不过狗叔发现一个很有意思的东西

凡是支持指纹识别的手机,都支持在支付宝中使用指纹支付

然而,部分支持指纹识别的手机在使用微信支付时却无法使用指纹支付,必须乖乖的输入6位数密码

实际上,支付宝和微信在指纹识别上采用不同的工作原理

首先,我们就先来说说支付宝:

当用户录入指纹数据时,支付宝会将指纹数据全部加密并储存在本地设备中的TEE安全区域,不会上传到服务器或者云端

而TEE安全区域是一个与主操作系统并行的隔离环境,简单的来说就是一个隔绝的“黑盒子”,它有自己的OS操作系统,和安卓系统相互隔离,其中的数据不可能被读取走。

然而微信采用的工作原理就有些不同

微信的指纹认证方案是基于Android 6.0 接口和Key master,在安全上有很大的保证

在指纹模块工作时,还采用了SOTER原理,而SOTER的工作原理是使用签名、验签机制,基于RSA-2048非对称算法的密钥链签名、验签

实际上就是,支付流程开始时,微信后台会先下发一个随机串,并由客户端给到TEE等待用户指纹授权签名。用户使用指纹授权并成功之后,将签名串导出,发送到微信后台进行验签,验签通过之后即支付成功。全过程微信完全接触不到指纹图案

而不是很多人口中的,使用微信指纹支付,微信后台服务器会读取到我们的指纹图案。真正的图案还是保存在手机的TEE安全区域,在交易验证时会形成一个签名串与微信服务器进行验证

如果上面还是不懂的话,狗叔简单的总结下:

支付宝:采用本地TEE安全区域验证的方法,不上传任何指纹图形信息

微信:采用联网签名、验签方法,在支付时形成一个签名串与服务器验证

由于微信的指纹识别验证过程中涉到签名串的传输, 所以有些手机厂商考虑到用户的隐私和交易安全,并未接入微信的指纹识别接口,导致部分手机只支持支付宝指纹支付

有人就会问了,支付宝和微信的指纹支付哪个更安全呢?

虽然两者采用了不同的验证指纹识别方案,两种的方案的安全性都很高

支付宝是将指纹存储在TEE安全区域,由于TEE安全区域有独立的OS,在加上支付宝的安全校验服务来监控支付宝的交易安全。如果要破解或者获取本机的指纹支付,难度相当高。

微信由于微信并没有安全校验服务,所以只能通过联网签名、验签方法,在支付时形成一个签名串与服务器验证。如果服务器出问题了,签名串就无法相互匹配,就无法在支付时使用指纹识别。在破解难度上也是相当高。

目前支付宝和微信指纹支付都支持的手机品牌有:小米(部分机型)、vivo、OPPO、一加(一加2不支持)、魅族、ZUK(Z1不支持)、Moto(部分机型)

仅支持支付宝指纹支付的手机品牌有:华为(只有Mate7支持后续发布的新机不支持不知为何)三星、LG、索尼

所以,大家在选购手机时,想要体验指纹支付带来的便利最好提前询问售后。

前段时间,猫妹就问了狗叔一个关于指纹的安全问题:

手机设置了指纹识别,会被轻易破解么?

安卓手机在没有指纹识别上市时,大量手机只要关机进入REC然后进行双WP的操作就可以对手机进行重置化

而现在,手机大多数都添加了指纹识别。不少手机厂商在手机中添加安全机制。

如果手机设有指纹,BL没有解锁的话,这样不会给手机带来太多威胁,不过也不代表绝对的安全。把这种机子送到华强北那个地方,温柔的破解方法就是用软件,暴力点的就拆机,更换手机的硬件。

当手机设有指纹,BL解锁的话,路边的小黑店说不定都会可以破解。如果你会刷机的话,说不定自己都可以破解。

当然,也有无法解锁的手机,需要后台链接服务器通过账号解锁的。

所以,大家为了手机的安全,大家尽量不要去BL解锁手机。

狗叔在提醒大家,指纹识别并非绝对的安全,很多手机的指纹识别系统都被黑客攻破。

所以大家如果有重要的文件还有信息最好备份到手机,还是别用手机单储存介质。

BL:为系统bootloader

如果不破解bootloader,就无法初始化手机硬件,手机也就无法刷机等其他操作


(0)

相关推荐