移動端正在成為最熱門的黑客攻擊路徑，新冠疫情后BYOD大行其道，個人用戶的安全意識滯后，讓移動端的安全問題更加嚴峻。根據皮尤研究中心（Pew Research Center）的報告，幾乎三分之一的美國人不使用任何鎖屏技術。

事實上，手機鎖屏是防止未授權訪問，保護個人移動設備隱私和數據的最重要的環節之一，而手機廠商和主流移動操作系統，尤其是Android陣營，也紛紛推出各種鎖屏技術，最常見的有圖案解鎖、PIN碼、人臉識別和指紋識別四大類（編者按：本文暫不討論未獲廣泛支持的軟硬件密鑰方案）。但是，很少有用戶真正了解和比較這四種Android鎖屏技術的安全性，甚至存在很多認知誤區，例如過于信任人臉識別和指紋識別，輕視PIN碼。

以下，我們帶你深入了解安卓手機鎖屏/身份驗證方法的安全性和優劣：

顧名思義，圖案解鎖需要用戶在屏幕上滑動出預先設定的線條圖案來解鎖手機，其強度取決于圖案的復雜程度。與其他屏幕解鎖技術相比較，圖案解鎖的安全強度最多可被視為中等級別（很詫異吧，并不是最差的）。與弱口令的問題類似，圖案模式越簡單，越容易被他人偷窺或“暴力破解”。

實際上，研究發現，偷窺者偷看一次解鎖圖案后成功復制的幾率高達64.2%。如果經過多次觀察，這種風險會進一步增加。您可以通過關閉滑動線路顯示或選擇更復雜的圖案模式來提高圖案安全性（但也同時會增加記憶難度）。考慮所有因素后，PIN碼/密碼通常是更安全的選擇。

下面是一個看似簡單但很難破解的圖案解鎖（4-2-3-1-7）：

而這個圖案解鎖的破解難度堪稱地獄級（2-7-5-3-8-1-4-6-9）：

需要強調的是，這里說的不僅僅是手機屏幕解鎖密碼，還包括SIM卡PIN碼，利用SIM交換攻擊突破常見的雙因素認證近年來異常猖獗且難以防范，一個最簡單有效的解決辦法就是在開機密碼之外設置SIM卡PIN碼，最大限度防止SIM卡被未授權使用或者復制（安卓和蘋果用戶都推薦啟用）。安卓手機用戶只需在“設置-安全-設置SIM卡鎖定”路徑中激活SIM卡鎖定功能，并修改為自定義密碼即可完成SIM卡PIN碼設置。

設置SIM卡PIN碼后，每次重啟手機后，除了屏幕解鎖密碼，還需要輸入SIM卡PIN碼才能接入移動蜂窩網絡服務。

許多Android版本都允許您設置聊勝于無的四位數屏幕解鎖密碼，如果你真的關心安全性問題，應當選擇6-8位屏幕解鎖密碼。

對于屏幕解鎖密碼，我們建議最少設置8位，但是需要注意的是，很多用戶會因為8位密碼過長而使用弱密碼，導致很多8位密碼的安全性還不如6位。所以，屏幕解鎖密碼需要保持一定的強度，這雖然會增加記憶和輸入難度，但是從長遠來看，對自己狠一點才是王道。

雖然廠家的指紋識別技術宣傳賣點五花八門（有的集成在屏幕下方，有的集成在按鈕上），但總體上屬于同一種生物識別技術。總體來說，指紋識別解鎖依然是目前公認的最快捷最安全的方式之一（尤其是全民戴口罩的時期）。

但需要指出的是，指紋識別并非萬無一失。攻擊者可以從照片和其他來源竊取指紋（自拍或合影掌心朝外“比V”或“比心”是嚴重缺乏安全意識的表現），最簡單的攻擊方式只需要使用2D打印就可重新創建指紋，用于繞過生物特征識別鎖。2017年，一名安全研究人員從高分辨率照片中重建了德國國防部長的指紋（值得慶幸的是德國沒有核武器）。

值得注意的是，由于新冠疫情變成持久戰，非接觸式指紋識別技術未來有望得到推廣。金雅拓（Gemalto）和IDEMIA等公司已經對其解決方案進行了調整，以提供非接觸式指紋感應技術。

人臉識別/面部識別可能是最不安全的技術之一，2019 年人臉識別技術相關的安全和隱私問題已經多次曝光。盡管您可能認為人臉識別過程相當復雜并且需要大量技術奇跡，但事實是它基本上取決于前置攝像頭和某些軟件。相機會掃描您的臉部圖像，然后依靠面部識別算法來驗證您的臉部。解鎖速度還取決于您的手機及其前置攝像頭的質量。

雖然很多知名金融app和主流電商平臺軟件經常催促甚至誘導您使用面部識別技術，但作為安全領域人士，我們都知道這幾乎是最不安全的認證技術之一。

安全牛之前的頭條報道“打人不打臉：人臉識別濫用的十大應對方案”，對此有較為相信的闡述。總之，壞人可能會用您在社交媒體上唾手可得的臉部照片來欺騙該技術。實際上，研究人員在110種不同的智能手機上進行了測試，人臉識別的安全性表現相當糟糕。通常，建議將指紋生物識別鎖與密碼結合使用才是更安全的方法。

不同品牌的智能手機還通過添加特殊功能來增強其設備的安全性，采取生物識別安全措施——從各種級別的面部掃描到虹膜掃描。例如，三星擁有自己的虹膜掃描技術，其設置非常簡單。甚至戴眼鏡的用戶也能使用。該技術使用紅外LED照亮您的眼睛，通過窄焦點相機捕獲虹膜圖案，然后用智能手機處理該信息。聽起來非常高科技，但是安全嗎？嗯，一個黑客團隊使用具有紅外功能的攝像頭輕松了欺騙三星首款提供該功能的手機。

值得注意的是，虹膜識別已成為疫情期間最受關注的關鍵生物識別技術之一，可為戴著防護帽、口罩或部分遮蓋面部的用戶和市民進行身份驗證、識別和監視操作。

安卓手機目前有很多屏幕解鎖技術可選，最安全的做法是選擇兩種或者多種安全技術組合。就本文著重討論的四大解鎖技術來說，最安全的選擇是足夠長且復雜的PIN或密碼，其次是指紋掃描，人臉識別是最不安全的選擇。