生物识别安全系统真的安全吗?
由于人为设置的安全密码表现不佳,人们引入了一系列基于生物特征识别技术的新设备来解决安全问题,包括指纹、语音和面部识别技术。指纹识别系统是一种被广泛认同和采用的生物认证形式,目前全球有数十亿智能手机和其他设备都安装了该系统。然而,纽约大学(NYU)研究团队的一项新研究揭示了这些系统存在的安全隐患,让人怀疑生物识别安全系统是否可以保护人们最敏感的数据。
纽约大学坦顿计算机科学与工程学院的副教授Julian Togelius和博士生Philip Bontrager领导了这个研究团队,他们指出,问题在于指纹传感器的工作方式,大部分指纹传感器依靠部分而非完整的指纹来确认用户身份,允许用户提交多个指纹验证,通过对比已经保存的部分指纹来识别用户身份,NYU坦顿的Nasir Memon和MSU的Arun Ross在此前的另一项研究中使用“MasterPrint”一词来描述这种方式。此外,大多数生物识别安全系统不会验证指纹或其他生物信息是来自于本人的还是复制品,因此,从理论上讲一个主密钥可以利用AI来匹配存储在指纹数据库中的大量打印件进而解锁大量的设备。
NYU的研究人员利用这些发现进一步发展了MasterPrint的概念——创建一种新的机器学习算法来生成合成指纹。他们构建了这些合成指纹的完整图像,这一过程具有双重意义。首先,这能评估MasterPrint对真实设备的可行性(研究人员尚未对其进行测试);其次,这些图像被复制和存储在可访问的指纹数据库中,其图像的安全缓存可被利用来发起暴力攻击,即用穷举法测试直至系统开锁相关设备。
这个研究团队表示,这些实验证明了对多因素身份验证的需求,为生物识别安全系统的设备制造商敲响了关于人工指纹攻击可能性的警钟。除了安全领域外,这种生成指纹的潜在演变方法也可用于其他行业的设计制作,尤其是游戏开发,此项技术已经被用于开发流行视频游戏的新等级。