胶带“偷梁换柱”:指纹支付还安全吗?
一条透明胶带和一支导电笔可以在几秒钟内破解手机的指纹识别系统,轻松启动手机,甚至进行支付。
最近,苏州一家公司的首席技术官李阳远通过视频展示了这款手机,它通过使用这些简单的工具成功地将拇指设定为解锁模式。它很容易被其他几个手指打开,甚至用海绵清洁布。
这让中国国内的手机用户喘不过气来。因为指纹在智能手机中经历了几代人的发展,并且因为它们的独特性和不变性,它们一直被视为安全防线,并且被正确地认为是安全的。既然可以轻松解锁,手机用户的隐私和秘密以及支付账户中的财产会受到威胁吗?
胶带“偷梁换柱”
从数字和字母组成的密码到自身的生物特征成为账户和智能终端安全的“守护者”,中国的密码技术取得了质的飞跃。例如,指纹、脸、虹膜、手指静脉甚至步态都是“解锁”的方式。
清华大学电子工程系的苏光达教授在接受《中国科学日报》采访时表示,指纹识别技术能够识别指纹纹线的断点和交叉点等特征。如果你能掌握这些功能,你就能解锁它们。“此外,指纹终生不变。除了有些人的指纹不明显,并且由于某些工作类型而无法识别,95%以上的指纹都可以识别。”
目前,智能终端上使用的指纹识别技术大多是电容式指纹识别技术。其原理是将压力、电容和热量等传感器集成到一个芯片中。当手指按压芯片表面时,集成的传感器会根据指纹不均匀造成的电荷差或温度差形成指纹图像,然后与手机内部的指纹数据库进行匹配,完成指纹识别。
演示该实验的李阳源也在媒体上表示,手机的指纹识别只有在100%匹配后才能验证解锁。也许只有20%就够了。这样做的目的主要是考虑用户的便利性。毕竟,识别率高,用户使用更方便。
那么,模糊识别的程度是胶带偷梁换柱的原因吗?中国科学院自动化研究所研究员、中国人工智能学会模式识别委员会秘书长孙振安认为,智能终端上的指纹锁与其识别算法的准确性无关,因为其自身的认证机制存在缺陷。“如果身份识别的基础只是指纹的‘形状’而不是生物特征的‘上帝’,那么形状相似但不像上帝的假手段就很容易成功。”例如,孙振安告诉《中国科学报》的记者,通过各种假体材料很容易构建出不均匀的图案来模拟假货的指纹形态,从而通过指纹锁识别算法成功解锁“相似”指纹的模式匹配。
不要太惊慌。
去年4月,纽约大学和密歇根州立大学的研究人员通过计算机模拟实验发现,利用人类指纹的一些共同点制作的假指纹很容易欺骗智能手机的指纹传感器。研究人员设计了一系列人工“主指纹”,与指纹传感器中的真实指纹匹配率为65%。
尽管研究人员还没有在真正的手机上测试这种攻击方法,但他们仍然质疑智能手机指纹识别的可靠性。
我记得当银行卡密码被破解时,人们还纠结于是否继续使用银行卡购物。现在看来,密码盗窃并没有阻止银行卡购物的发展趋势。相反,由于方便,更多的人选择使用信用卡而不是现金。目前,面对指纹识别技术的泄露,苏光达认为没有必要恐慌太多,更不用说停止进食了,因为这只是加密技术发展的一个必要过程。
指纹识别技术经历了光学识别、电容识别等技术发展,现在超声波指纹识别技术已经出现。与电容识别不同,它不识别凹凸线产生的电流差,而是利用超声波容易穿透各种材料的能力,根据不同的材料产生不同大小的回波,从而利用超声波从指纹的凹凸甚至汗孔的不同反馈来识别指纹。也就是说,它记录的是指纹的3D纹理,而不是电容式指纹传感器的2D纹理,因此它的准确性更高,甚至可以穿透皮肤表面来识别指纹的3D细节和特征。
另外,超声波采集系统不需要在智能终端上分离指纹识别区域,外观会更加美观。此外,由于超声波扫描是三维纹理,手指表面的清洁度不高。"超声波指纹识别技术在一定程度上提高了身份认证的便捷性、准确性和安全性."孙振安说道。
除了超声波指纹识别技术,更先进的指纹识别技术还包括体温、心率、皮下纹理等活体生物特征的信息采集过程,从而实现了“形神结合”的身份认证方法。
“指纹识别技术结合了多维生物特征信息,不太可能被伪造。即使有人得到了指纹,他们也只能有相似的形状,但很难模仿活体的生物特征,如心率、体温、电导率、皮下组织等。”孙振安说道。然而,这些技术需要增加制造成本,并且如何使安全性与价格兼容也需要考虑。
可以建立多重担保
虽然指纹识别技术的发展可以弥补指纹被伪造的“硬伤”,但苏光达也建议建立多重保障也可以保证智能终端的安全,“任何独立的密码应用都容易出现漏洞”。
然而,如果融合多个生物特征,如人脸识别和指纹识别,伪造就更难发生。孙振安还说:“多模态生物特征有利于安全。”这些特征包括面部特征、虹膜,甚至眼球中含有白色血管纹的眼线。“这些特征的综合使用使得鉴定照片或面具、指膜和其他伪造方法变得不可能。”
除了众所周知的部分,还有一些意想不到的部分涉及到生物鉴定。例如,2016年,一个德国研究团队开发了一套依靠头骨进行生物识别的技术。它使用一个类似头盔的装置,通过骨传导扬声器在佩戴者的头骨周围传输超声波信号。佩戴装置将记录佩戴者头骨对超声波的振动反馈,并使用该数据来验证身份。
一家日本公司把耳朵作为“代码”。他们开发了一种生物识别技术,通过匹配耳道内声音的共振频谱来进行识别。由于每个人耳道的形状不同,这种技术向佩戴者的耳道发出声波,然后在接收端接收反射的声波进行识别。同时,该公司表示,该技术只需一秒钟即可识别,准确率高达99%。
虽然新的生物特征更安全,但它们比指纹和人脸识别系统更复杂,暂时还不能在智能终端中普及。未来,随着材料科学和其他技术学科的进步,这些设备将逐渐缩小,成为便携式智能终端识别“主人”的一部分。