相信大家使用手機,不免都會使用指紋登錄,當許多網站都有
使用者的指紋,那指紋還可作為如銀行或某些比較重要的認證
使用嗎?
認證階段:
網站發送一個隨機挑戰碼 (Challenge) 給手機。
你按壓指紋,解鎖手機內的「私鑰」。
手機用私鑰對挑戰碼進行數位簽署,再將簽名傳回伺服器。
伺服器用預存的「公鑰」驗證簽名。如果正確,即代表是你本人。
網站會儲存用戶的指紋資料嗎?
絕對不會。
本地端存儲:指紋的數位特徵只存在你手機硬體的安全晶片中,甚至連手機作業系統都讀不到,更不用說上傳。
隱私保護:網站伺服器儲存的是「公鑰」以及你的帳號關聯資訊。即使網站資料庫被駭客攻破,駭客也只能拿到一串無用的公鑰,無法反推回你的指紋圖像。
不可還原性:存儲在手機裡的也不是指紋照片,而是加密後的特徵數據,就算被提取出來(極其困難),也無法還原成原本的指紋樣貌。
內文搜尋