想买一个带指纹识别和支付的安卓机，现在纠结了···

是的，没有绝对的安全性。另外钱相关的最好还是保留用密码支付，当然指纹+密码就更安全一些了。

虽然都是用指纹识别，但是可能机制不同吧?银行的指纹要求准确性可能更高，二手机这些可能要求模糊些，就类似一个是高清图，一个是标清图

回答问题之前看了一下谷歌对于指纹这方面的api：FingerprintManager | Android Developers ，个人认为虽然IOS和Android平台的差异但是指纹从录入到验证的大体步骤都是类似的。 首先科普一下指纹识别的原理： [h1]图片匹配算法　　[/h1]目前手机厂商所采用的指纹识别技术有些是基于指纹图片匹配计算得出，并非是真正的生物识别算法技术，而图片匹配软件的相似度带来的隐患就是识别精准度出现偏差，如果未来全面普及生物算法识别的话，那么会具备更高的唯一性。 原理说完了，接下来就要看看各手机厂商对于自己的手机的安全性把控，很多说安卓不安全的顾虑大部分都来源于此。

• 首先说一下iPhone的原理，我个人认为是比较安全的方式： Secure Enclave。该模块系统能够安全地管理并识别用户的指纹，并将用户的指纹信息独立地保存在别的系统中，同时通过加密内存和一个硬件随机数字密码发生器进行管理。每个“Secure Enclave”是单独设置的，不能访问系统其他部分的，拥有自己的独立的UID（唯一的ID），连苹果也不知道这些UID。当设备启动时，Touch ID会临时创建一个秘钥，与“Secure Enclave”的UID配合，对设备的内存空间进行加密。

回过来看安卓，从我们用的最多的支付类app来看，有这样一条规定： 已注册指纹后，所有注册指纹都可用于支付；而在包括三星和华为的旗舰Android手机上认证一枚指纹后，只能用认证指纹进行支付，其余的注册指纹皆不可使用。 这就给人隐隐的传达了一个信息：Android手机录入的指纹，只有通过认证才能进行支付。不知道想说明是Android系统的易用性不好呢？还是安全性不好？ 即便是后者，也解释的很清楚，对于没有用过指纹支付的人来说。我的观点是，iOS系统的手机只有Apple一家，并且闭源，所以在系统软件层面上，指纹从采集，编码，到存储，再到调取和使用，这两条路径上的所有过程都是由闭源AppleiOS系统保障其安全性，接力棒最后一环才到应用软件，比如支付宝、微信等众多使用了TouchID的App。 实际的流程大致为：支付宝向iOS开放出来的指纹验证接口请求指纹验证（至于哪些iOSApp可以发起请求，都是APP事先向Apple正式申请过的，App的请求过程的身份验证也是必须的），iOS验证请求身份后，去收集指纹并对比芯片中预存的指纹来判别，最后把当前指纹的合法性与否告知给App和管理及使用API的 流程不同，软硬件方案也是不同。所以iOS上的验证步骤和Android不尽相同，这才导致上一段我描述的那样，Android的指纹若要支付需要“额外”认证一个步骤。 回过来看安卓，用户其实最最最担心的就是Android的安全问题[h1] Secure Boot Chain [/h1] 这是基于硬件签名校验以确保操作系统和关键软件不被篡改不被回滚的技术。苹果自己开发CPU自己开发OS，软硬搭配除了干活不累，信息安全也是手到擒来。再看Android，除了原生版本由Google发布，客制版本先经AP商定制再由手机厂商修改发布，甚至植入第三方供应商编写的驱动代码。此等情形，莫说Secure Boot，有没有被插入恶意代码都说不清。 因为Android阵营太乱了，大大小小厂商来比拼配置和价格，自然投入到安全这块的精力有限，很多Android用户被恶意链接点中安装了很多来源不明的应用程序，这些恶意程序占比很大.[h1]总结[/h1][list=1]

指纹识别不是全部：指纹仅仅是方便了我们的生活，让我们在解锁手机的时候少滑动几下屏幕，在支付的时候少按六位数，仅此而已，所以我想强调的是手机指纹的出现不是更安全了而是更方便了。

保持良好的使用习惯：如果你使用的是Android设备，请不要随意的修改系统或者ROOT，使用的是ios设备的话请不要越狱，这些都是造成系统安全性崩溃的重点，谨慎使用第三方安全软件（不一定是安全软件，泛指权限多的App）。

如果不嫌麻烦的话，我觉得还是用密码保险一些

对于普通人来说，指纹更侧重的是方便性而非安全性，指纹应用大大的提高了体验，相比于输密码，尤其是在公共场合输只有6位数的密码，我觉得用手一按，更具有私密性，另外，手机指纹模块实际上并不是完整的记录你的指纹，而是随机产生几个相对位置确定的几个点，记录这几个点的指纹信息，即使泄露也只对这个设备有用，换个设备可能记录点就变了。

我Win8的电脑都用指纹作开机密码呢！有啥好担心的。 你要真怕的话，有十个手指呢！十个手指间的每一个指纹都不一样的。 你手机用一个、平板用一个、笔记本用一个、门禁用一个、打卡机用一个、保险柜用一个。都还剩下好几个呢！

不值得

近日，一则关于Android系统智能手机指纹识别功能的巨大漏洞被曝光，再次引发了人们对于移动安全的关注。同时，这一事件是否会对国内的手机用户造成影响，也是舆论争论的焦点。 事件缘起于本周在美国洛杉矶召开的黑帽安全技术大会（BlackHat），两名来自中国的程（Hei）序（Ke）员利用Android系统安全漏洞攻破了其指纹识别功能，并顺利窃取到了用户的指纹信息。现场展示的机型包括三星的GalaxyS5和HTCOneMax。 据上述人士表示，在本次攻击中，漏洞源于Android系统的安全构架问题和原始设备制造商创建的远程支持工具的缺陷。用户的指纹数据会直接落入攻击者的手中，“只要受害者还活着，攻击者就能肆意利用其指纹信息做坏事”——移动支付、设备密码、身份、甚至非法移民和犯罪。同时，该漏洞也会涉及到不少高端笔记本电脑的指纹传感系统。 据悉，由于很多设备制造商并未完全“锁定”其指纹支付系统，因此攻击者可以在神不知鬼不觉的情况下从被感染的设备上偷走指纹信息。 好在对此，谷歌和三星官方已做出回应，并表示将修补这一漏洞： 谷歌：“感谢研究人员提出的问题，这鞭策我们进行改善，这个问题Android手机厂商已经解决并提供更新补丁。希望大家使用可靠的应用程序来源，比如说GooglePlay。” 三星：“感谢用户的信任，并使用我们的产品和服务。我们意识并了解到问题，并已经提供了解决方案，希望大家不要安装不可信的应用程序。” 在国内，目前已有多家手机厂商在自家的产品上添加了指纹识别功能，已经发布的包括华为Mate7及荣耀7、中兴AXON天机等。那么，他们是否也会在此次事件中躺枪呢？ 中兴技术人士向智东西（公众号：zhidxcom）表示，AXON天机的指纹数据是存储在其内核芯片的TrustZone区域的，这个区域与Android系统及其他硬件环境“完全隔离”。所以，黑客即便攻破Android系统也是无法进入TrustZone获取用户的指纹图像。 而在此前，华为也对其指纹识别功能做出了公开说明并称其是一套基于芯片硬件的安全解决方案：指纹加密、存储、校验的程序是运行在海思芯片里物理隔离的安全OS中，安卓环境下的程序无法直接访问，即使手机被root后，这部分仍然不能被访问和篡改。同时，手机并不会保存指纹图像，只保存经过提取后的模板信息，通过指纹模板并不能还原出指纹图像。 需要指出的是，谷歌在AndroidM系统中才加入了原生的指纹识别功能，当前各大手机厂商所搭载的上述功能多为自行研发或使用第三方技术。而国内目前的指纹识别功能基本来自通用的解决方案，即基于ARM芯片上面的TrustZone区域，控制指纹区域的系统与Android系统相互独立，并只为Android程序提供指纹正确或错误的信息。 目前从官方口径上看，此次漏洞对国内的设备貌似没有太大影响。 当然，各位也不必太过紧张。一方面，这一漏洞的曝光来自黑客大会的演示，谷歌一般会很快修复这类漏洞。而另一方面，目前市面上支持指纹识别功能的Android智能手机还并不多，故其造成的影响也许还不会太大。 但是，已有预测报告指出，到2019年，全球将有一半的智能手机装载指纹传感装置，届时来自个人信息安全方面的威胁将大大增加——相比于传统密码，指纹识别虽然在理论上更安全，但一旦失窃所造成的影响可能更严重。对于前者，你可以通过更换新的更复杂的字母数字组合提高安全性；而对于后者，你总不能为手指去做个整形手术以录入新的指纹吧？ 至于怎么预防，则还是老生常谈：去靠谱的渠道下载APP，没事儿别ROOT。 说了半天，一直都在说Android设备，苹果的呢？好消息是，对于iPhone和iPad用户，截止目前，黑客们还未攻破iOS系统的TouchID。

AndroidM之前的安卓并没原生支持指纹识别，国内厂家的技术呵呵 说就天下无敌，你敢你就去试咯

https://github.com/retme7/mate7_TZ_exploit http://m.bobao.360.cn/news/appdetail/1890.html https://www.blackhat.com/us-15/briefings.html#attacking-your-trusted-core-exploiting-trustzone-on-android https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3051 没有绝对的安全，钱相关的宁愿麻烦点也不要用指纹支付。 手机解锁什么的，可以接受（反正就是一部手机的价格，当然密码得赶紧改，手机号也赶紧挂失）