你的手機不能用微信指紋？支付寶更安全嗎

現在，指紋識別成為智能手機的標配

從千元機到旗艦機，幾乎都搭載了指紋識別

不過狗叔發現一個很有意思的東西

凡是支持指紋識別的手機，都支持在支付寶中使用指紋支付

然而，部分支持指紋識別的手機在使用微信支付時卻無法使用指紋支付，必須乖乖的輸入6位數密碼

實際上，支付寶和微信在指紋識別上採用不同的工作原理

首先，我們就先來說說支付寶：

當用戶錄入指紋數據時，支付寶會將指紋數據全部加密並儲存在本地設備中的TEE安全區域，不會上傳到伺服器或者雲端

而TEE安全區域是一個與主操作系統并行的隔離環境，簡單的來說就是一個隔絕的「黑盒子」，它有自己的OS操作系統，和安卓系統相互隔離，其中的數據不可能被讀取走。

然而微信採用的工作原理就有些不同

微信的指紋認證方案是基於Android 6.0 介面和Key master，在安全上有很大的保證

在指紋模塊工作時，還採用了SOTER原理，而SOTER的工作原理是使用簽名、驗簽機制，基於RSA-2048非對稱演算法的密鑰鏈簽名、驗簽

實際上就是，支付流程開始時，微信後台會先下發一個隨機串，並由客戶端給到TEE等待用戶指紋授權簽名。用戶使用指紋授權並成功之後，將簽名串導出，發送到微信後台進行驗簽，驗簽通過之後即支付成功。全過程微信完全接觸不到指紋圖案

而不是很多人口中的，使用微信指紋支付，微信後台伺服器會讀取到我們的指紋圖案。真正的圖案還是保存在手機的TEE安全區域，在交易驗證時會形成一個簽名串與微信伺服器進行驗證

如果上面還是不懂的話，狗叔簡單的總結下：

支付寶：採用本地TEE安全區域驗證的方法，不上傳任何指紋圖形信息

、驗簽方法，在支付時形成一個簽名串與伺服器驗證

由於微信的指紋識別驗證過程中涉到簽名串的傳輸， 所以有些手機廠商考慮到用戶的隱私和交易安全，並未接入微信的指紋識別介面，導致部分手機只支持支付寶指紋支付

有人就會問了，支付寶和微信的指紋支付哪個更安全呢？

雖然兩者採用了不同的驗證指紋識別方案，兩種的方案的安全性都很高

支付寶是將指紋存儲在TEE安全區域，由於TEE安全區域有獨立的OS，在加上支付寶的安全校驗服務來監控支付寶的交易安全。如果要破解或者獲取本機的指紋支付，難度相當高。

微信由於微信並沒有安全校驗服務，所以只能通過聯網簽名、驗簽方法，在支付時形成一個簽名串與伺服器驗證。如果伺服器出問題了，簽名串就無法相互匹配，就無法在支付時使用指紋識別。在破解難度上也是相當高。

目前支付寶和微信指紋支付都支持的手機品牌有：小米（部分機型）、vivo、OPPO、一加（一加2不支持）、魅族、ZUK（Z1不支持）、Moto（部分機型）

僅支持支付寶指紋支付的手機品牌有：華為（只有Mate7支持後續發布的新機不支持不知為何）三星、LG、索尼

所以，大家在選購手機時，想要體驗指紋支付帶來的便利最好提前詢問售後。

前段時間，貓妹就問了狗叔一個關於指紋的安全問題：

手機設置了指紋識別，會被輕易破解么？

安卓手機在沒有指紋識別上市時，大量手機只要關機進入REC然後進行雙WP的操作就可以對手機進行重置化

而現在，手機大多數都添加了指紋識別。不少手機廠商在手機中添加安全機制。

如果手機設有指紋，BL沒有解鎖的話，這樣不會給手機帶來太多威脅，不過也不代表絕對的安全。把這種機子送到華強北那個地方，溫柔的破解方法就是用軟體，暴力點的就拆機，更換手機的硬體。

當手機設有指紋，BL解鎖的話，路邊的小黑店說不定都會可以破解。如果你會刷機的話，說不定自己都可以破解。

當然，也有無法解鎖的手機，需要後台鏈接伺服器通過賬號解鎖的。

所以，大家為了手機的安全，大家盡量不要去BL解鎖手機。

狗叔在提醒大家，指紋識別並非絕對的安全，很多手機的指紋識別系統都被黑客攻破。

所以大家如果有重要的文件還有信息最好備份到手機，還是別用手機單儲存介質。

BL：為系統bootloader

如果不破解bootloader，就無法初始化手機硬體，手機也就無法刷機等其他操作

↓點下方「閱讀原文」的人會變美