生物特征信息认证有几大可能影响安全的因素。

一是生物特征信息是易于伪造的，比如指纹认证，一段透明胶带，甚至一块橘子皮，就可能被识别为有效指纹，进而通过认证。这个原因主要是，生物特征信息识别，主要是特征点、特征量的采集和识别，不识别其它特征，甚至不识别是否真的是指纹。这个问题，只有靠改进信息采集、识别模型来解决。

二是远程信息传递的不安全。目前远程认证过程是不建议用生物识别的，因为远程传递的生物特征信息很容易被截获，那么你的生物特征信息就泄漏了。最要命的是，生物特征信息是终身伴随你的，不像登陆口令一样可以随意更换，一旦生物特征信息泄露，麻烦可就大了。有人说那我加密呀，把生物识别信息加密再传输不就好了吗？但是如果每次密文都是一样的，把生物特征信息的密文截获了，同样可以伪造假的认证报文，服务端仍然没有办法识别。除非在每次加密时用不同的密钥，或者加盐，再或者用椭圆曲线非对称密码体制，但总体来说麻烦，身份认证还没解决呢，直接就来密钥分发/密钥协商和加解密了，那还不如直接用传统密码体制解决身份认证呢。所以，目前最好解决方案是，不要用远程生物识别！注意，说的是远程，不要用远程生物识别。第三，认证安全讲究多因子认证，通常是三种认证因素中选两种。这三种认证因素分别是：“你是谁”（生物特征信息）、“你有什么”（IC卡，key等）以及“你知道什么”（登陆口令等）三种因素中的两种。光用一种生物特征信息是不满足安全框架要求的，应该再多加一种认证方式，比如增加口令验证什么的。第四，是要注意生物特征信息的安全存储和安全计算。生物特征信息要以密文形式存储在专用可控的安全存储空间，限制访问权限，同时要妥善安全保管加密用的密钥。另外生物特征信息的相关计算在在专用可控的存储区域内完成，计算过程中应禁止访问，防止泄漏中间值。