转载自PassXYZ微信公众号，PassXYZ是一款可以运行在安卓和苹果手机以及Windows10上的KeePass兼容应用。可以通过苹果应用商店，微软应用商店，Google Play和华为应用商店搜索关键字PassXYZ来下载该应用。

随着生物识别手段如指纹识别、人脸识别或虹膜识别的广泛应用，人们越来越依赖于这些方便快捷的认证方式，逐渐形成一种观念，即，生物识别是可以代替传统的密码认证方式的。但是您也许有些困惑，基于密码的认证方式为什么并没有消失？比如，即使在手机上设置了指纹识别，但每次重新启动，系统还是会先用密码认证才可以用指纹识别；在手机上，如果想开启指纹识别，也必须先设置屏幕保护密码后才能开启。这都是为什么呢？在这里首先要告诉大家的是，生物识别是无法代替密码的。原因何在？

我们先来看看生物识别的工作方式和特点。

生物识别的信息是随身携带的不变的数据

因为这个特点，生物识别具有的最大优势就是方便。可这些优点在某些情况下也会变成缺点。例如，一旦指纹信息被复制，复制者就能享有同样的便利，而且不用担心会被修改。所以说指纹并不比密码更安全。生物识别与传统的密码相比各有优缺点。

识别不够稳定

大多数生物识别都跟很多因素有关。比如指纹识别，跟手指的湿度有关。我常听朋友说，一到秋冬天，指纹识别就经常出问题。那是因为空气干燥，手指上水分不足的原因。而如果刚洗完手，手指上的水分还没干透，这时指纹识别也会有困难。人脸识别则跟光线好坏有非常大的关系，虹膜识别也一样。这就是生物识别无法完全单独使用的重要原因。

比较方式不够精确

大家很容易理解生物识别与密码比对方式的不同。密码的比对是精确的比对，结果是非常清楚的两种：成功或失败。生物识别类似于图像识别，它是基于一定范围的识别，其结果不是直接的成功或失败，而是由相似度是否足够来判断。这也是生物识别失败率和误判率较高的原因。

设备相关性高，数据结构复杂

生物识别的另一个特点是数据结构相对密码来说要复杂得多。目前业界也并没有统一生物识别的相关标准，所以每个厂商提供的生物识别方案和所对应的数据结构都是不同的。这也就是说，生物识别数据是无法直接用作认证使用的。比如苹果手机产生的指纹数据和安卓手机产生的指纹数据是无法通用的。那么手机应用是如何使用指纹数据来进行认证的呢？这个认证过程是这样的。拿手机银行来说，开启指纹必须先用传统的用户名加密码的方式登录银行系统，然后才能开启指纹识别。开启的过程中，银行应用会把认证信息（比如用户名和密码）存储到系统支持的安全存储区。这个安全存储区是手机系统所特有的，并且各个应用之间的数据是相互隔离的，所以您可以认为手机的安全存储区是绝对安全的。如果是苹果系统，这个存储区通常是Keychain，若是Android系统，则是Keystore。下次使用指纹登录银行应用时，用户通过指纹解锁应用所对应的安全存储区，取出认证信息来跟银行后台进行认证。这个与设备无关的认证信息，可能就是用户名和密码。从这个角度来说，指纹认证是离不开密码的，只不过指纹提供了更便捷的密码使用方式罢了。

认证信息不仅限于用户名和密码

随着网络的普及，越来越多的服务是通过网络提供的。当使用网络服务时，相关的认证信息不仅限于用户名和密码。可以说任何关于使用者的资料都可能被用作认证信息。比如，当挂失信用卡时，需要的信息可能是姓名、卡号和出生日。当要恢复一个支付宝账号时，需要的可能是用户名、身份证号和目前账户中的余额。

随着科技的发展，我们可能需要面对越来越多的智能设备和应用。现在很多银行都在将传统的柜台变成智能柜台。当面对像智能柜台这样的新型服务设施，您有足够的信心去从容应对吗？我们只有把相关的个人信息整理得足够清楚、有条理，才能让自己从容面对这些新生事物。