假设他们无法访问您的指纹

我相信这个假设是错误的。指纹可以从您触摸的许多事物中提取， 甚至可以从照片中提取。

但是让我们假设“他们”不能这样做：

密码是数字的。这是准确的。如果您的密码是“IiL1l”，检查它是否不是“1iLlI”很简单。指纹不是数字的。每台验证您的指纹的设备只能将您进行的扫描与您的指纹外观进行比较。

这听起来没什么大不了的，但这会产生巨大的后果。为了加密事物，密码被转换为密钥（使用称为密钥派生函数的东西）。如果您只更改密码的一个字母，则会派生一个完全不同的密钥。密钥永远不会存储在设备上。每次您解密某些内容时，密钥都会再次从您的密码中派生出来。密钥不存储在任何地方。因为您的密码始终完全相同并且密钥派生是确定性的，所以密钥始终相同并且解密有效。

对于指纹，这是行不通的。指纹传感器的工作方式不同，但最终你总是会得到类似于黑白/灰度图像的东西。尝试一个更简单的实验：在你的桌子上放一张纸。拿个相机。拍两张完全相同的照片。你将无法做到这一点，而且对于指纹来说，这要困难得多！

因此，不可能从您的指纹中派生密钥。您的指纹和密钥存储在设备上。设备会检查您的指纹是否与存储的指纹相似，然后释放已存储在设备上的密钥。

因此，指纹总是不如强密码安全。

让我们先来看看生物识别的有效性

生物识别技术根据三个基本标准进行评估：

误报率

Percentage of authorized users who are denied access;

错误接受率

Percentage of unauthorized users who are granted access;

交叉错误率

The level at which the number of false rejections equals the false acceptance.

在所有可能的生物特征中，通常只有三个人类特征被认为是真正独特的：

Fingerprints, retina of the eye, iris of the eye

交叉错误率是错误拒绝率和错误接受率相交的点，它可能是生物识别系统最常见和最重要的整体准确性衡量标准。调整到一个极端会创建一个系统，该系统需要完美匹配并导致错误拒绝率很高，但错误接受率过高。诀窍是在两者之间找到一个很好的平衡点（在两个错误率相等的点附近）。

大多数扫描人体特征的技术会将这些图像转换为某种形式的细节信息每次后续访问尝试都会产生一个测量值，该测量值与一个编码值进行比较，以验证用户的身份。这种方法的一个问题是，人体会因疾病、受伤等而发生变化。

指纹不会改变，但如果一个人的手指磨损很大，则可能难以阅读。

指纹：

大学：中等，独特性：高，持久性：高，收藏性： 中等，性能：高，可接受性：中等，规避：高

问题：

是否存在任何已知或潜在的安全问题？

是的。使用生物识别作为安全解决方案的系统需要有一个良好的 TCB（可信计算库）来执行安全策略。这是指系统的配置规则。TCB 由为特定信息系统提供安全性而实施的硬件和软件组成。（操作系统内核和指定的一组安全实用程序，例如用户登录子系统。）弱硬件和软件 == 可以绕过的弱登录系统。

手机壳上的指纹容易找回吗？

不容易，但可能

可以完全访问您手机的普通黑客可以尝试猜测代表您的指纹的“密码”吗？

取决于 TCB（硬件和软件）。在弱软件中，肯定有可能。

与密码相比，指纹的独特性和复杂性如何？

指纹被认为是真正独一无二的。

资料来源：Micheal E. Whitman（博士，CISM，CISSP），信息安全原则，2015

受指纹保护的手机的问题在于，手机玻璃上很可能有你的指纹，除非你总是戴着手套。因此，如果攻击者可以从手机中分离出一个指纹，他就可以构建它的图像并将其传递给扫描仪。它确实需要特定的技术（想想电视专家......），但恕我直言，它比猜测正确的密码要简单得多。我承认，为了窃取我个人手机上的内容，收益/成本比仍远低于 1，攻击者可能甚至不会尝试。但如果我的手机要包含真正敏感的数据，我不会只依赖指纹。

如果有人控制指纹确实是您自己手指的指纹，指纹才是正确的身份验证系统。