指纹解锁安全吗?警惕指纹复制
- 12 月 29 日
- 爱活网
- 9146
苹果iPhone5s的Touch ID让指纹识别成为一股旋风,横扫了整个手机市场,时至今日,主流产品几乎都配备了指纹识别功能,通过自己指纹解锁手机、加密资料甚至是支付费用已经成为常态。可能正是因为指纹的独一无二,在大多人的概念里,指纹加密要比密码更为安全,但事实真是如此嘛?如果你转变一下思路或许就会发现,指纹识别可能一点都不安全。
就像世界上不存在完全相同的两片树叶那样,指纹的确具备独一性,因为每个人手指上特殊的中断、分叉或转折而形成的特征点各不相同,以这些独一无二的特征点所制成的指纹锁就代表了你自己。而装备在手机中的每一个指纹模组就是要将你的指纹信息加以记录、识别以及储存。
不可否认,为了维护指纹识别的安全,智能手机厂商几乎已经挖空心思,当前每一部装配有指纹识别的手机都采用了SoC硬件级加密,其中的传输协议甚至都是专有,并且验证步骤也只在本地进行,多重验证机制确保了黑客们无法从芯片中盗取指纹信息。换言之,如果把指纹与手机的关系比喻为普通门锁,现如今手机厂商已经将锁芯打造成了铜墙铁壁。
但若是“钥匙”被复制了呢?
相信不少读者都在近期看到了这样一条新闻:一个名叫Ashlynd Howell的六岁小朋友趁着妈妈打盹的间隙,用妈妈的拇指解锁iPhone,偷偷打开亚马逊(同样通过了指纹验证)大肆消费了250美元。而这就是指纹的不安全所在。
虽然指纹具备唯一性,与特定用户的身份一一对应,通过指纹信息手机可以验证解锁的是否就是特定用户,但在我们的工作生活中,留下指纹比喝下一口水更容易,只要与物品相接处,皮肤分泌的油脂就会在环境中留下指纹。这意味别有居心的人能够轻松窃取你的指纹,并伪造出那把打开手机的“钥匙”。
可别以为伪造指纹是什么技术活,实际上要伪造一份指纹的成本并不太高,一瓶氰基丙烯酸盐粘合剂,碳粉、胶带、明胶/硅胶,不到10块钱就能快速模拟出一层足够骗过大部分指纹识别器的指纹膜,而早在2013年的Syscan,黑客Marc Rogers就曾经用这样的方法成功攻破了iPhone 5s,一年后又同样对待了iPhone6。
为此,2016下半年开始,不少手机厂商都开始表明自己的指纹识别带有“活体检测”功能,声称可以以此杜绝假指纹,但这也并非绝对可靠。这是当前智能手机所采用的电容式指纹传感器的原理所决定的:“当用户将手指放在正面时,皮肤就组成了电容阵列的一个极板,电容阵列的背面是绝缘极板。由于不同区域指纹的脊和谷之间的距离也不相等,使每个单元的电容量随之而变,由此可获得指纹图像。”这意味着活体监测的体征仍旧是电信号,只不过杜绝了此前硅胶类材料,但在市面上仍旧存有可以充当“极板”的材料,它们依旧可以轻松骗过传感器。
事实上指纹信息的泄露以及丢失远比想象的要严重,在1892年高尔顿建立《指纹学》时就已经确立指纹终生不变、可识别以及可分类三大特征,这意味着指纹不像密码那样,在泄漏后可以通过直接更换来补救,一旦指纹信息泄露就意味着与这根手指有关的所有加密信息全都处于不安全状态,其安全性将终生不可恢复。
世界上本不存有绝对的安全,所谓的安全只是将可能面临风险的概率降低至可接受的范围,因此相比传统密码加密,我认为指纹验证的优势并不在于“安全”,它更突出的特点无疑是“便捷”,对于普通用户而言,指纹的加入降低了用户守护安全的使用成本,它所带来的安全感,也已经处于“可接受范围”。
但在安全感之外,我们仍旧需清楚,指纹识别的确“不安全”,当它成为解开财富的密钥时,会引来贪婪的野兽。