尽管咱们都以为两个人不或许会有完全相同的指纹,但纽约大学坦登工程学院(New York University Tandon School of Engineering;NYU Tandon)与密歇根大学(Michigan State University)的研讨人员现,只需有一部份的指纹相似性,关于智能手机与其他电子产品所运用的安全辨识体系来说就足以开机解锁了;这种以指纹为根底的体系安全性比幻想中更软弱。
这种安全缝隙在于以指纹为根底的认证体系调配了无法撷取运用者完好指纹的小型传感器。取而代之的是,他们能扫描并贮存部份指纹,并且许多智能手机还让运用者可在其认证体系中注册多个不同的手指指纹。
当运用者的指纹契合所贮存的任一部份指纹时,即可承认身份。研讨人员假定,不同人的部份指纹之间或许存在某种相似性,足以发明出所谓的“全能指纹”(MasterPrint)。
纽约大学Tandon核算机科学与工程系教授Nasir Memon解说,关于企图以常用暗码(如1234)破解PIN暗码的黑客而言,MasterPrint的概念存在着若干的相似性。“暗码1234大约有4%的机会是正确的,假如你仅仅随猜想的话,这样的机率已经是适当高了。”
研讨团队着手查询是否能找到足以显现相似缝隙的MasterPrint。实际上,他们发现人类指纹图画的某些特点足以引起安全性问题。
纽约大学坦登工程学院博士后研讨员AdiTI Roy与密执安州立大学核算机科学与工程系教授Arun Ross,运用了8,200个部份指纹进行剖析。研讨人员运用商业指纹验证软件后发现,在每一组随机抽取的800个部份指纹中,就有92个或许的MasterPrints。(研讨人员对MasterPrints的界说是在每一组随机样本中至少有4%的指纹配对成功)
但是,他们发现,在800个完好指纹中随机抽样,只需一个完好的MasterPrints指纹。Memon说:“这一点也家常便饭,仅运用部份指纹比完好指纹更或许配对过错,但大多数的设备却仅依托部份指纹进行辨识。”
研讨团队剖析了从实在指纹印象中除掉的MasterPrint特点,然后打造出一种可发明组成部份MasterPrints的算法。依据试验显现,组成部份指纹具有更广泛配对的潜力,使其更或许“骗过”生物辨识安全体系。
研讨人员使用其数字仿真的MasterPrints,成功地配对26%至65%的用户,详细取决于每个用户贮存的部份指纹数以及假定每次身份验证每次最多五次的指纹数。智能手机为每个用户贮存的部份指纹越多,体系就越软弱。
Roy着重,这项研讨是在模仿的环境中完结的。她着重,研讨人员改进了发明组成的指纹与技能,以便将数字MasterPrints移植到实体目标,骗过形成重十安全隐忧的设备。
MasterPrint的配对才干高,关于规划可信赖的指纹认证体系带来了应战,一起也增强了多种证机制的需求。她说,这项研讨结果可为未来的规划供给参阅。
Ross指出:“跟着指纹传感器的尺度越来越小,传感器的分辨率率有必要大幅进步,才干撷取到更多的指纹特征。假如无法进步分辨率,运用者的指纹独特性将不可避免地会大打折扣。咱们的研讨人员在这项研讨中进行的实证剖析明显证明了这一点。”
Memon指出,研讨团队的研讨结果是依据指纹特征点(minuTIae)的配对,任何供货商或许挑选选用或不选用。但是,只需有部份指纹用于解锁手机或其他设备,以及贮存每个指纹的多个部份特征,那么找到MasterPrints的机率也将明显增加。
美国国家科学基金会(NSF)运算与通讯基全会方案主任Nina Amla说:“NSF在网络安全研讨方面的出资,建构了维护咱们于网络空间中所需求的根底知识。就像NSF赞助的其他研讨方案相同,这项研讨有助于咱们在日常日子的技能中找到怎么辨识安全缝隙的办法,而研讨指纹认证体系的缺点,将有助于推进在安全方面的继续发展,为运用者保证更安全牢靠的维护。”
核算和通讯基金会方案主任Nina Amla表明:“NSF对网络安全研讨的出资构建了维护咱们网络空间所需的根底知识库。 像其他NSF赞助的研讨相同,协助辨认日常技能(例如轿车或医疗设备)的缝隙,查询根据指纹的认证体系的缝隙可以使安全性不断提高,保证愈加牢靠的维护用户。”
