根據(jù)思科Talos的最新研究，指紋認(rèn)證通常僅對(duì)普通用戶有效，但對(duì)于身份更為重要的用戶或包含敏感數(shù)據(jù)的設(shè)備而言，指紋認(rèn)證并沒(méi)有用。

[[321887]]

在4月8日發(fā)布的博客文章《指紋克?。荷裨掃€是現(xiàn)實(shí)?》中，思科Talos研究員Paul Rascagneres以及技術(shù)主管兼安全研究員Vitor Ventura得出結(jié)論，“3D打印技術(shù)可以欺騙電話和計(jì)算機(jī)指紋掃描儀。”他們收集了真實(shí)人物的真實(shí)指紋-包括臭名昭著的黑幫成員Al Capone，然后用3D打印機(jī)創(chuàng)建了指紋模具。

根據(jù)這項(xiàng)研究現(xiàn)實(shí)，在使用假指紋的過(guò)程中，Rascagneres和Ventura的平均成功率約為80%。在視網(wǎng)膜掃描和面部識(shí)別技術(shù)之前，指紋掃描是比較常見(jiàn)的生物識(shí)別方式。

Ventura說(shuō)：“我們想看看指紋認(rèn)證是否安全。”

通過(guò)利用Rascagneres作為3D藝術(shù)家的特長(zhǎng)，這兩位研究人員測(cè)試了不同品牌和設(shè)備模型，并開(kāi)發(fā)了與實(shí)際情況相匹配的威脅模型。

Rascagneres說(shuō)：“隨著最近生物特征信息的泄漏以及3D打印技術(shù)的進(jìn)步，以及指紋認(rèn)證的大量使用，我們想知道創(chuàng)建偽造指紋的難度有多大。我們有兩個(gè)主要目標(biāo)：盡可能接近現(xiàn)實(shí)世界的體驗(yàn)，并與世界分享我們的過(guò)程，并說(shuō)明在低預(yù)算的情況下完成這項(xiàng)工作的難度。”

研究人員在博客中寫(xiě)道，他們以“預(yù)算限制為前提，看看這是否可以在低預(yù)算情況下完成，還是需要由國(guó)家資助的參與者完成。”

Rascagneres說(shuō)：“在我們的預(yù)算情況下，這很耗時(shí)。每次嘗試都需要花費(fèi)數(shù)小時(shí)。而資金雄厚的攻擊者可以獲得更好更昂貴的打印設(shè)備，例如醫(yī)療設(shè)備。通過(guò)更大的預(yù)算，我們認(rèn)為這個(gè)過(guò)程將得到改善和更加準(zhǔn)確。”

在進(jìn)行研究時(shí)，他們發(fā)現(xiàn)他們的3D打印方法無(wú)法攻破Windows Hello生物特征認(rèn)證。

Rascagneres說(shuō)：“我們認(rèn)為微軟算法更嚴(yán)格。指紋認(rèn)證需要控制指紋上的多個(gè)點(diǎn)，我們認(rèn)為Microsoft Windows比其他設(shè)備需要驗(yàn)證更多的點(diǎn)。”

該博客還提到了蘋(píng)果公司，并指出“除了蘋(píng)果以外，大多數(shù)傳感器都是由第三方開(kāi)發(fā)的”，這是一個(gè)優(yōu)勢(shì)。

Rascagneres說(shuō)：“從實(shí)現(xiàn)的角度來(lái)看，更容易成為整個(gè)協(xié)議棧的所有者。”

這并不是研究人員第一次質(zhì)疑生物識(shí)別認(rèn)證的有效性。例如，2018年，紐約大學(xué)丹頓分校和密歇根州立大學(xué)的研究人員開(kāi)發(fā)了DeepMasterPrints，這是AI生成的偽造指紋圖像，可能蒙騙生物識(shí)別傳感器。

而在兩年后， Rascagneres和Ventura發(fā)現(xiàn)，指紋技術(shù)仍未發(fā)展到足以應(yīng)對(duì)所有提議的威脅模型。

現(xiàn)在，攻擊者可以從由機(jī)器學(xué)習(xí)生成的高級(jí)攻擊(例如DeepMasterPrints)轉(zhuǎn)移到低級(jí)的廉價(jià)的打印攻擊。

Rascagneres和Ventura在博客中寫(xiě)道：“3-D打印技術(shù)使任何人都可以創(chuàng)建偽造的指紋。不僅如此，還可以利用適當(dāng)?shù)馁Y源大規(guī)模地進(jìn)行偽造。