雖然大家都認為兩個(gè)人不可能會(huì )有完全相同的指紋,但紐約大學(xué)坦登工程學(xué)院(New York University Tandon School of Engineering;NYU Tandon)與密歇根大學(xué)(Michigan State University)的研究人員現,只要指紋有一部份的相似性,對于智能手機與其他電子產(chǎn)品所使用的安全辨識系統來(lái)說(shuō)就足以開(kāi)機解鎖了;這種以指紋為基礎的系統安全性比想象中更脆弱。

這種安全漏洞在于以指紋為基礎的認證系統搭配了無(wú)法擷取使用者完整指紋的小型傳感器。取而代之的是,他們能掃描并儲存部份指紋,而且許多智能手機還讓使用者可在其認證系統中注冊多個(gè)不同的手指指紋。

當使用者的指紋符合所儲存的任一部份指紋時(shí),即可確認身份。研究人員假設,不同人的部份指紋之間可能存在某種相似性,足以創(chuàng )造出所謂的“萬(wàn)能指紋”(MasterPrint)。20170414-SOR-1紐約大學(xué)Tandon計算機科學(xué)與工程系教授Nasir Memon解釋?zhuān)瑢τ谠噲D以常用密碼(如1234)破解PIN密碼的黑客而言,MasterPrint的概念存在著(zhù)若干的相似性。“密碼1234大約有4%的機會(huì )是正確的,如果你只是隨猜測的話(huà),這樣的機率已經(jīng)是相當高了。”

研究團隊著(zhù)手調查是否能找到足以顯示類(lèi)似漏洞的MasterPrint。實(shí)際上,他們發(fā)現人類(lèi)指紋圖像的某些屬性足以引起安全性問(wèn)題。

紐約大學(xué)坦登工程學(xué)院博士后研究員Aditi Roy與密執安州立大學(xué)計算機科學(xué)與工程系教授A(yíng)run Ross,使用了8200個(gè)部份指紋進(jìn)行分析。研究人員使用商業(yè)指紋驗證

軟件后發(fā)現,在每一組隨機抽取的800個(gè)部份指紋中,就有92個(gè)可能的MasterPrints。(研究人員對MasterPrints的定義是在每一組隨機樣本中至少有4%的指紋配對成功)

然而,他們發(fā)現,在800個(gè)完整指紋中隨機抽樣,只有一個(gè)完整的MasterPrints指紋。Memon說(shuō):“這一點(diǎn)也不足為奇,僅使用部份指紋比完整指紋更可能配對錯誤,但大多數的裝置卻僅依靠部份指紋進(jìn)行辨識。”

研究團隊分析了從真實(shí)指紋影像中剔除的MasterPrint屬性,然后打造出一種可創(chuàng )造合成部份MasterPrints的算法。根據實(shí)驗顯示,合成部份指紋具有更廣泛配對的潛力,使其更可能“騙過(guò)”生物識別安全系統。

研究人員利用其數字仿真的MasterPrints,成功地配對26%至65%的用戶(hù),具體取決于每個(gè)用戶(hù)儲存的部份指紋數以及假定每次身份驗證每次最多五次的指紋數。智能手機為每個(gè)用戶(hù)儲存的部份指紋越多,系統就越脆弱。

Roy強調,這項研究是在模擬的環(huán)境中完成的。她強調,研究人員改善了創(chuàng )造合成的指紋與技術(shù),以便將數字MasterPrints移植到實(shí)體對象,騙過(guò)造成重十安全隱憂(yōu)的裝置。

MasterPrint的配對能力高,對于設計可信賴(lài)的指紋認證系統帶來(lái)了挑戰,同時(shí)也增強了多種證機制的需求。她說(shuō),這項研究結果可為未來(lái)的設計提供參考。

Ross指出:“隨著(zhù)指紋傳感器的尺寸越來(lái)越小,傳感器的分辨率率必須大幅提高,才能擷取到更多的指紋特征。如果無(wú)法提高分辨率,使用者的指紋獨特性將不可避免地會(huì )大打折扣。我們的研究人員在這項研究中進(jìn)行的實(shí)證分析顯然證實(shí)了這一點(diǎn)。”

Memon指出,研究團隊的研究結果是根據指紋特征點(diǎn)(minutiae)的配對,任何供貨商可能選擇采用或不采用。然而,只要有部份指紋用于解鎖手機或其他裝置,以及儲存每個(gè)指紋的多個(gè)部份特征,那么找到MasterPrints的機率也將明顯增加。

美國國家科學(xué)基金會(huì )(NSF)運算與通訊基全會(huì )計劃主任Nina Amla說(shuō):“NSF在網(wǎng)絡(luò )安全研究方面的投資,建構了保護我們于網(wǎng)絡(luò )空間中所需要的基礎知識。就像NSF贊助的其他研究計劃一樣,這項研究有助于我們在日常生活的技術(shù)中找到如何辨識安全漏洞的方法,而研究指紋認證系統的弱點(diǎn),將有助于推動(dòng)在安全方面的持續進(jìn)展,為使用者確保更安全可靠的保護。”

計算和通信基金會(huì )計劃主任Nina Amla表示:“NSF對網(wǎng)絡(luò )安全研究的投資構建了保護我們網(wǎng)絡(luò )空間所需的基礎知識庫。“像其他NSF資助的研究一樣,幫助識別日常技術(shù)(例如汽車(chē)或醫療設備)的漏洞,調查基于指紋的認證系統的漏洞可以使安全性不斷提升,確保更加可靠的保護用戶(hù)。”