指紋相似性可能“欺騙”手機(jī)生物識(shí)別

　　沒有兩個(gè)人被認(rèn)為具有相同的指紋，但是美國(guó)紐約大學(xué)坦登工程學(xué)院和密歇根州立大學(xué)工程學(xué)院的研究人員發(fā)現(xiàn)，指印之間的部分相似性是如此普遍，以至于手機(jī)或其他電子設(shè)備中使用的基于指紋的安全系統(tǒng)可能比人們之前想象得更加脆弱。

　　該種脆弱性基于這樣的事實(shí)：指紋的認(rèn)證系統(tǒng)含有小型傳感器，這些傳感器不捕獲用戶的完整指紋，相反，它們掃描和存儲(chǔ)部分指紋。許多手機(jī)允許用戶在他們的身份驗(yàn)證系統(tǒng)中注冊(cè)幾個(gè)不同的手指，當(dāng)用戶的指紋與任何一個(gè)已保存的部分指紋匹配時(shí)，身份即被確認(rèn)。研究人員假設(shè)，不同人的部分指印之間可能存在著足夠多的相似之處，可以創(chuàng)造出“超級(jí)指紋”。

　　紐約大學(xué)坦登計(jì)算機(jī)科學(xué)與工程教授納西爾·麥蒙以及他的研究小組組長(zhǎng)解釋說，“超級(jí)指紋”概念類似于一個(gè)試圖使用常用密碼(例如1234)來破解基于PIN系統(tǒng)的黑客。麥蒙說，密碼1234有4%的破解概率，當(dāng)你只是猜測(cè)時(shí)，這是一個(gè)相對(duì)較高的概率。研究小組尋找可以揭示類似脆弱性的“超級(jí)指紋”。實(shí)際上，他們發(fā)現(xiàn)，人類指紋圖譜中的某些屬性足以引起安全性問題。

　　麥蒙及其同事羅伊使用8200份部分指紋進(jìn)行了分析。使用商業(yè)指紋驗(yàn)證軟件，他們發(fā)現(xiàn)，平均每隨機(jī)抽取800個(gè)部分指印就可以發(fā)現(xiàn)潛在的92個(gè)“超級(jí)指紋”。然而，在800份全指紋的樣本中，他們只發(fā)現(xiàn)了一個(gè)全指紋“超級(jí)指紋”。

　　該團(tuán)隊(duì)分析了從真實(shí)指紋圖像中剔除的“超級(jí)指紋”的屬性，然后構(gòu)建了一種創(chuàng)建合成部分“超級(jí)指紋”的算法。實(shí)驗(yàn)表明，合成的部分指印具有更廣泛的匹配潛力，使得它們比實(shí)際部分指紋更可能愚弄生物識(shí)別安全系統(tǒng)。憑借其數(shù)字模擬的“超級(jí)指紋”，該團(tuán)隊(duì)報(bào)告已經(jīng)成功匹配26%至65%的用戶。智能手機(jī)為每個(gè)用戶存儲(chǔ)的部分指紋越多，其脆弱程度越高。

　　羅伊強(qiáng)調(diào)，他們的工作是在一個(gè)模擬的環(huán)境中完成的。“超級(jí)指紋”的高匹配能力顯示了基于指紋的認(rèn)證系統(tǒng)所面臨的挑戰(zhàn)。她指出：“隨著指紋傳感器的尺寸越來越小，傳感器的分辨率必須大幅提高才能捕獲額外的指紋特征。”

　　麥蒙指出，團(tuán)隊(duì)研究的結(jié)果是基于細(xì)節(jié)匹配。只要部分指紋用于解鎖設(shè)備，并且存儲(chǔ)每個(gè)手指的多個(gè)部分指印，則查找“超級(jí)指紋”的可能性顯著增加。