指紋相似性可能“欺騙”手機生物識別

　　沒有兩個人被認為具有相同的指紋，但是美國紐約大學(xué)坦登工程學(xué)院和密歇根州立大學(xué)工程學(xué)院的研究人員發(fā)現(xiàn)，指印之間的部分相似性是如此普遍，以至于手機或其他電子設(shè)備中使用的基于指紋的安全系統(tǒng)可能比人們之前想象得更加脆弱。

　　該種脆弱性基于這樣的事實：指紋的認證系統(tǒng)含有小型傳感器，這些傳感器不捕獲用戶的完整指紋，相反，它們掃描和存儲部分指紋。許多手機允許用戶在他們的身份驗證系統(tǒng)中注冊幾個不同的手指，當(dāng)用戶的指紋與任何一個已保存的部分指紋匹配時，身份即被確認。研究人員假設(shè)，不同人的部分指印之間可能存在著足夠多的相似之處，可以創(chuàng)造出“超級指紋”。

　　紐約大學(xué)坦登計算機科學(xué)與工程教授納西爾·麥蒙以及他的研究小組組長解釋說，“超級指紋”概念類似于一個試圖使用常用密碼(例如1234)來破解基于PIN系統(tǒng)的黑客。麥蒙說，密碼1234有4%的破解概率，當(dāng)你只是猜測時，這是一個相對較高的概率。研究小組尋找可以揭示類似脆弱性的“超級指紋”。實際上，他們發(fā)現(xiàn)，人類指紋圖譜中的某些屬性足以引起安全性問題。

　　麥蒙及其同事羅伊使用8200份部分指紋進行了分析。使用商業(yè)指紋驗證軟件，他們發(fā)現(xiàn)，平均每隨機抽取800個部分指印就可以發(fā)現(xiàn)潛在的92個“超級指紋”。然而，在800份全指紋的樣本中，他們只發(fā)現(xiàn)了一個全指紋“超級指紋”。

　　該團隊分析了從真實指紋圖像中剔除的“超級指紋”的屬性，然后構(gòu)建了一種創(chuàng)建合成部分“超級指紋”的算法。實驗表明，合成的部分指印具有更廣泛的匹配潛力，使得它們比實際部分指紋更可能愚弄生物識別安全系統(tǒng)。憑借其數(shù)字模擬的“超級指紋”，該團隊報告已經(jīng)成功匹配26%至65%的用戶。智能手機為每個用戶存儲的部分指紋越多，其脆弱程度越高。

　　羅伊強調(diào)，他們的工作是在一個模擬的環(huán)境中完成的。“超級指紋”的高匹配能力顯示了基于指紋的認證系統(tǒng)所面臨的挑戰(zhàn)。她指出：“隨著指紋傳感器的尺寸越來越小，傳感器的分辨率必須大幅提高才能捕獲額外的指紋特征。”

　　麥蒙指出，團隊研究的結(jié)果是基于細節(jié)匹配。只要部分指紋用于解鎖設(shè)備，并且存儲每個手指的多個部分指印，則查找“超級指紋”的可能性顯著增加。