手机指纹锁真的有你认为的那么安全可靠吗？

很多人认为手机和其他电子设备上的指纹锁系统很安全，事实上这种系统可能比人们想象得脆弱得多。

指纹锁授权系统上装有小的传感器，但这些传感器并不会记录用户完整的指纹，而是扫描并存储用户的部分指纹，而且很多手机还允许用户实用多个不同的手指进行授权。当用户指纹与预先存好的部分指纹之一吻合时，身份就确认了。

然而一项新的研究显示，人和人的部分指纹之间的相似点多到足以创造一个“万能指纹”。

纽约大学坦登工程学院计算机科学与工程专业的教授Nasir Memon 认为，“万能指纹”的概念就类似于一名黑客用人们广泛接受的密码，比如1234，来破解以个人标识号（PIN）为基础的系统，“1234这个密码大约有4%的可能是对的，这大概比你猜的概率要高吧”。

所以，研究者就想试试有没有可能存在一个“万能指纹”使得指纹识别系统也变得不堪一击，而他们也确实在人类指纹中找到了一些普遍存在的相似规律，足以成为安全上的隐患。

电气电子工程师协会信息辩论与安全学报刊登了这一研究。研究者以8200个部分指纹为样本，利用商业指纹认证软件，发现每800个随机的部分指纹，就有平均92个可能的“万能指纹”。（他们将“万能指纹”定义为在一批随机抽取的指纹中，存在某一个指纹，至少能与所有指纹中的4%相匹配。）

然而，如果把“部分指纹”改为“全部指纹”，研究者发现800个指纹中就只存在一个“万能指纹”了。“结果并不令我们感到意外，如果用全部指纹替代部分指纹，匹配错误的可能性就会低得多，然而大多数电子设备都用部分指纹来认证”，Memon说。

研究团队分析了从真实指纹图像中采集到的“万能指纹”的特点，然后建立了一个合成部分指纹的“万能指纹”的算法。

实验表明，合成的部分指纹可以匹配的范围甚至更广，这些指纹比真实的部分指纹更有可能骗过生物识别安全系统。研究团队用他们电子合成的“万能指纹”可以成功匹配26%-65%的用户的指纹，每次认证最高能够成功匹配五次，具体取决于用户存储了几个部分指纹。智能手机用户存储的指纹越多就越不安全。

电子模拟环境中的实验基本已经完成，但研究团队成员、共同作者Aditi Roy强调，为骗过电子设备而创造出能将电子“万能指纹”转为实物的合成指纹技术将成为巨大的安全隐患。

“万能指纹”匹配能力很高，因而设计一个信得过的指纹授权系统面临着更多挑战，同时这也再一次证明有必要结合多重授权方式。

密歇根州立大学计算机科学与工程专业的教授、研究共同作者Arun Ross表示：“指纹传感器体积越来越小，因此为了捕捉更多指纹特点，传感器分辨率就必须有大幅提升。”

“分辨率如果没有提升，用户指纹的独特性必然就会打折扣。这方面的实验分析显然也佐证了这一点。”

Memon表示，研究结果的匹配是以细节为基础的，而某一个电子设备的供应商可能使用了这种匹配方式，也可能没有。但无论如何，只要设备用部分指纹解锁，且可以存储多个指纹，“万能指纹”存在的可能性就会大大增加。

作者：

Hallie Kapner，作家、纽约大学坦登工程学院通讯顾问。

以上内容仅代表作者个人观点。

本文由世界经济论坛与Futurity联合发布，转载请注明来源并附上原文链接。

翻译：达沃斯博客翻译小组——李雪

责编：刘博睿

世界经济论坛·达沃斯博客是一个独立且中立的平台，旨在集合各方观点讨论全球、区域及行业性重要话题。