接下来应该很多软件都会支持指纹来作为密码，以很多人的个性估计会就设一个指纹密码，然后付费什么也都绑定这个，这么说的话其实安全隐患其实还挺多的。 指纹识别不新鲜，10年还是11年前的掌上电脑就已经有这种功能了。 HP5450 2002年的产品哦。 然后IBM的不少笔记本也有这个功能，平时单位里面打卡也有用这个的。 这次iPhone的指纹识别系统到底怎样还不知道，所以咱不能100%把情况说死，但是我想告诉大家一个事实，就是指纹识别系统破解起来太没有难度了！！！太容易破解了！！！ 不管是以前的掌上电脑、IBM的笔记本、还是现在上万块的门禁系统，我都手贱过，去尝试过能不能搞开，结果都是一个数码相机+打印机就能打开。 为啥呢，因为指纹识别系统的软件本身会有一定的容错率，允许细微程度的不一样，否则万一扫描器沾个灰或者你手上破个皮岂不是就完蛋了？ 这种情况下造假就没什么难度了，用带微距的数码相机拍下手指的指纹，拉到Photoshop里面，用描线工具把纹路标黑标粗，弄到这种程度就可以了。 黑白彩色无所谓，估计机器扫进去也是黑白的。然后把这个图片按照手指头差不多大小打印出来，直接拿着这个纸片去糊弄指纹识别仪，反正目前我没遇到过打不开的。。。。

最大的安全隐患是 卖home键小贴纸的商贩们又少了一项收入 少了一项收入就少了一份生活保障 少了一份生活保障就为社会稳定带来了影响 。。。。。。。 此处省略一万字 。。。。。。。 综上所述，这事儿安全隐患相当大！需要重点盯防美帝设计师势力的实时动向！ 这事儿不好说的太细。 请勿转发，谢谢

支付宝最好别用指纹解锁功能

搬砖的屌丝再也没法攒钱买爱疯了……指纹都磨掉了……

现在轮到专业人士给大家来解答 摘自官网：Touch ID 甚至可以读取多个指纹，并且可从 360 度方向读取指纹。随后它会创建指纹的数学表达式并将该指纹与您注册的指纹数据进行比对，以确定匹配并解锁设备。Touch ID 会以递增方式向您注册的指纹数据添加新的指纹部分，以随着时间的推移不断提高匹配准确度。Touch ID 充分利用这些功能来提供准确的匹配和极高级别的安全性。 通俗来讲，其实呢，Touch ID的原理是通过把注册指纹对换成一个方程（我见过，这个数学表达式其实就是方程，256位AES 加密过)之后每次按指纹都将对换一个方程，将对换过的方程与存储在Secure Enclave中的方程进行比对，每个指纹都是唯一的，因此，即使两个单独指纹的一小部分极为相似，也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹，发生这种情况的可能性为五万分之一，并且在解锁时继续不断补足原方程（指纹的磨损），所以说，没有人能够从手机里找出指纹来。Touch ID是相当安全的。

知道这是干嘛的么？切雪茄的。知道它还能干嘛么？呵呵…… 好了，玩笑归玩笑。最大的安全隐患当然是越狱的 iPhone 无法保障系统安全的情况下指纹数据有可能外泄。而指纹的难题在于它不像密码，一旦泄露就无法更改。所以，要么不越狱、要么不用指纹识别。

表示不能理解这题的大部分回答在说什么，点了好多个反对。 第一，设置了指纹解锁之后依然可以使用密码解锁的（可见engadget上手视频）。而且可以设置多个手指的指纹。 所以什么抽血改变了指纹啊什么掉皮手受伤啊搬砖磨掉皮啊之类的都不是事。（话说请问搬什么砖能磨掉指纹…以后罪犯犯案前都去搬一下…） 第二，小偷要偷的是手机，不是你手机里面的数据。 所以什么剁手啊，敲昏你然后解锁啊都是对小偷专业素质的侮辱。 第三，比较值得讨论的是指纹信息与账户信息绑定的话，如果被盗确实可能产生风险。 但是鉴于苹果的意思好像是专门在机内有块地方储存指纹信息，安全级别肯定是非常高的。我个人猜测被盗可能性会很低，甚至越狱了也没办法读取到指纹信息吧。 本来对目前排名第一的@潘劼尧 的答案点了反对的，后来想想他指的「身边的人」不一定是小偷，或许是你老婆，于是还是点个赞同吧。 最后，还是要反对为了吐槽而吐槽的答案。

最主要的是害怕指纹数据被盗，然后被第三方使用。这个可不是密码那样，想改就改，想重置就重置的。

用户睡着甚至昏迷，身边的人轻易就能在他浑然不知的情况下，抬起他的手解锁他的手机----这在密码时代则不会发生。 “快说！密码是什么？” “打死我也不说！！！” “尼克，拿刀来！我相信你的手指会招供的。”

再Update: 大家在讨论指纹信息能否hash，没原始数据怎么对比？当然可以hash，指纹不是位图那样对比，而是傅里叶变换后滤波得到特征数据再对比。 ======================= 又Update: 同样来自autopear大大，他从代码上看苹果采用的方案确实和我下面说的Mapping一样，至少对于第一方软件是这样的。 ======================= Update: 本来以为苹果会在硬件层做更多安全措施，甚至可能让指纹数据完全不出现在软件层。但就在刚刚，以前WEIP技术组的朋友autopear说，已经找到保存指纹数据的位置，可加载为NSData...估计具体格式过一阵搞搞就出来吧，目前估计就是加了salt的hash。 ======================= 最大的安全隐患是每个人只有一套指纹，而且不像密码那样可以随时换。 也就是说，如5S等设备/服务的任何一个指纹数据泄露就等于全盘泄露... 我觉得5S的指纹扫描绝不能让第三方软件获取raw数据，hash都不行，应允许用户保存一套Mapping：如食指指纹对应常用密码A，中指指纹对应网银密码B，第三方只能调用系统密码文本框控件来黑箱获取文本输入，软件代码不用改又安全 。该映射只有iOS知道，不同步或云端保存（感谢棱镜项目，苹果绝对不敢这么干）。 简单来说，就是iOS本身最好能有一个用户自行维护的本地“文本密码”库，而指纹只是这个库的钥匙。用户角度来看，他们会发现，每处密码输入文本框都会提示可以用指纹扫描，但他们不知道其实iOS只是以指纹为令牌获取了文本密码并填进去再确认。 这对开发者来说有三点好：

1. 代码不用改，所有的secured文本框(***代替文本那种...)都自动支持了指纹
2. 撇清责任，从逻辑上杜绝了自己泄露指纹的可能
3. 交互不变，不用给指纹单独设计流程

这么做最多在API层面杜绝了安全隐患，但真正可怕的是越狱... 越狱后这些什么措施都是纸老虎了，像我这样不犀利可能研究下劫持，更犀利的直接驱动层搞起了啊！