指纹登录是怎么跑起来的 _指纹登录

现在指纹登录是一种很常见的登录方式，特别是在金融类App中，使用指纹进行登录、支付的特别多。指纹登录本身是一种指纹身份认证技术，通过识别当前用户的指纹信息，进而确认用户在系统内的注册身份。
指纹认证得以流行，我认为有两个关键点：
一是简便，没有了忘记密码的烦恼，也免去了输入密码的繁琐。
二是安全，能够用在支付环节，这就说明其可以达到金融级别的安全。
这篇文章就来简单看下指纹认证是如何做到以上两点的，其中有哪些坑，有哪些坎。
指纹识别的原理指纹认证的历史其实是很悠久的，在我国唐代指纹已经广泛应用于文书契约，宋代手印已正式成为刑事诉讼的物证，这说明人们早就认识到了个体指纹的独特性，并且有了成熟的识别方法。对于计算机指纹识别，也是去寻找指纹的独特性，这里仅做简单的介绍：
有一个关键概念：指纹特征点，常见的特征点有指纹中的端点和分叉点，算法中通常记录它们的位置和方向。程序通过光学传感器采集指纹图像，提取指纹特征点，用数学表达式描述它们，称为指纹模版。注册指纹时把指纹模版保存到数据库或其它存储中；验证指纹时，先提取当前指纹的特征点，再和已记录的指纹模版进行比对，匹配度达到一定的阈值就算匹配成功。

文章插图

对于指纹识别的两个安全问题：

指纹图像泄漏问题：程序可以不保存指纹图像；指纹模版进行某种加密处理后，可以做到无法还原出指纹图像。当然能做和做不做是两码事。指纹泄漏还有另一种情况，2014年德国黑客从照片中成功提取了德国国防部长的指纹，所以以后拍照时不要比划剪刀手了，但是大部分人的账户应该不值得冒着巨大的风险、花费很大的力气这样搞，所以平常也不用太担心，注意下就行了。
假指纹识别问题：万一指纹被别人采集到了，或者制作成了指模，是不是就可以畅通无阻了呢？对应这类问题，有活体指纹检测技术。硬件上采用电容传感器采集温度、心率等数据，加上光学传感器的指纹纹路数据，进行综合判断；软件上的实现则一般通过机器学习的方式进行识别。但是两者对假指纹的识别率可能都不太理想，可见的厂商宣传也不多，其中原因可能是因为仿生技术太牛逼了，这里也没找到太多有价值的信息。实际应用在金融领域时，金融服务商必然采取了更多的手段来降低安全风险，而不是单纯地看指纹认证结果，毕竟出了问题生意可能就做不下去了，所以大规模应用时的安全风险应该是有所控制的。

门禁中的指纹认证在移动设备广泛采用指纹认证之前，这一技术已经得到了大范围的应用，很多人应该都接触过刷指纹的门禁或者考勤机。从老板的角度看，刷指纹比刷卡更能有效地验证员工的身份，而且成本也不高。从员工的角度看，不用多带一张卡，更方便高效。从安全的角度考虑，指纹识别技术比较成熟，只要不泄漏，一般也不会出问题，设备做得好安全性还更高一些；出问题也仅在门禁这个环节，即使没有指纹认证，也有别的方法开门，复制门禁卡或者钥匙可能更方便；对于更重要的保护对象，应该还有更安全的保护措施。
在门禁中使用指纹一般是先注册，将用户和指纹进行绑定，提取出的指纹特征数据就保存在本地，具体注册过程如下图所示：

文章插图

当用户需要开门时，在指纹机上刷指纹，指纹机会提取当前指纹的特征值，然后和本地存储的指纹数据进行一一比对，如果匹配度达到一定的阈值，则指纹识别成功，向门禁下达开门指令，具体认证过程如下图所示：

文章插图

APP中的指纹认证这里说的APP指的是移动设备系统中的第三方应用，移动设备系统特指当前比较流行的Android和IOS等手机操作系统。
APP中的指纹认证目前常见于登录或者支付功能，因为涉及到APP自身的用户和业务数据操作，必然需要和APP后端服务进行交互，基于安全考虑，客户端和服务端之间也需要进行身份认证，所以APP中的指纹认证被分成了两部分：手机本地认证和远程认证。
本机认证手机系统本身的指纹认证和门禁系统中的指纹认证并无本质区别：用户首先录入指纹，基于安全考虑，指纹的特征数据也是保存在手机本地；使用指纹进入系统时也是先提取当前的特征值，然后和本地的指纹库进行比对，匹配上了就能进手机入系统。