很多人认为手机和其他电子设备上的指纹锁系统很安全,事实上这种系统可能比人们想象得脆弱得多。

指纹锁授权系统上装有小的传感器,但这些传感器并不会记录用户完整的指纹,而是扫描并存储用户的部分指纹,而且很多手机还允许用户实用多个不同的手指进行授权。当用户指纹与预先存好的部分指纹之一吻合时,身份就确认了。

然而一项新的研究显示,人和人的部分指纹之间的相似点多到足以创造一个“万能指纹”。

纽约大学坦登工程学院计算机科学与工程专业的教授Nasir Memon 认为,“万能指纹”的概念就类似于一名黑客用人们广泛接受的密码,比如1234,来破解以个人标识号(PIN)为基础的系统,“1234这个密码大约有4%的可能是对的,这大概比你猜的概率要高吧”。

所以,研究者就想试试有没有可能存在一个“万能指纹”使得指纹识别系统也变得不堪一击,而他们也确实在人类指纹中找到了一些普遍存在的相似规律,足以成为安全上的隐患。

电气电子工程师协会信息辩论与安全学报刊登了这一研究。研究者以8200个部分指纹为样本,利用商业指纹认证软件,发现每800个随机的部分指纹,就有平均92个可能的“万能指纹”。(他们将“万能指纹”定义为在一批随机抽取的指纹中,存在某一个指纹,至少能与所有指纹中的4%相匹配。)

然而,如果把“部分指纹”改为“全部指纹”,研究者发现800个指纹中就只存在一个“万能指纹”了。“结果并不令我们感到意外,如果用全部指纹替代部分指纹,匹配错误的可能性就会低得多,然而大多数电子设备都用部分指纹来认证”,Memon说。

研究团队分析了从真实指纹图像中采集到的“万能指纹”的特点,然后建立了一个合成部分指纹的“万能指纹”的算法。

实验表明,合成的部分指纹可以匹配的范围甚至更广,这些指纹比真实的部分指纹更有可能骗过生物识别安全系统。研究团队用他们电子合成的“万能指纹”可以成功匹配26%-65%的用户的指纹,每次认证最高能够成功匹配五次,具体取决于用户存储了几个部分指纹。智能手机用户存储的指纹越多就越不安全。

电子模拟环境中的实验基本已经完成,但研究团队成员、共同作者Aditi Roy强调,为骗过电子设备而创造出能将电子“万能指纹”转为实物的合成指纹技术将成为巨大的安全隐患。

“万能指纹”匹配能力很高,因而设计一个信得过的指纹授权系统面临着更多挑战,同时这也再一次证明有必要结合多重授权方式。

密歇根州立大学计算机科学与工程专业的教授、研究共同作者Arun Ross表示:“指纹传感器体积越来越小,因此为了捕捉更多指纹特点,传感器分辨率就必须有大幅提升。”

“分辨率如果没有提升,用户指纹的独特性必然就会打折扣。这方面的实验分析显然也佐证了这一点。”

Memon表示,研究结果的匹配是以细节为基础的,而某一个电子设备的供应商可能使用了这种匹配方式,也可能没有。但无论如何,只要设备用部分指纹解锁,且可以存储多个指纹,“万能指纹”存在的可能性就会大大增加。

作者:

Hallie Kapner,作家、纽约大学坦登工程学院通讯顾问。

以上内容仅代表作者个人观点。

本文由世界经济论坛与Futurity联合发布,转载请注明来源并附上原文链接

翻译:达沃斯博客翻译小组——李雪

责编:刘博睿

世界经济论坛·达沃斯博客是一个独立且中立的平台,旨在集合各方观点讨论全球、区域及行业性重要话题。