从完全指纹提取的部分指纹 图片来源:美国《科学日报》
没有两个人被认为具有相同的指纹,但是美国纽约大学坦登工程学院和密歇根州立大学工程学院的研究人员发现,指印之间的部分相似性是如此普遍,以至于手机或其他电子设备中使用的基于指纹的安全系统可能比人们之前想象得更加脆弱。
该种脆弱性基于这样的事实:指纹的认证系统含有小型传感器,这些传感器不捕获用户的完整指纹,相反,它们扫描和存储部分指纹。许多手机允许用户在他们的身份验证系统中注册几个不同的手指,当用户的指纹与任何一个已保存的部分指纹匹配时,身份即被确认。研究人员假设,不同人的部分指印之间可能存在着足够多的相似之处,可以创造出“超级指纹”。
纽约大学坦登计算机科学与工程教授纳西尔·麦蒙以及他的研究小组组长解释说,“超级指纹”概念类似于一个试图使用常用密码(例如1234)来破解基于PIN系统的黑客。麦蒙说,密码1234有4%的破解概率,当你只是猜测时,这是一个相对较高的概率。研究小组寻找可以揭示类似脆弱性的“超级指纹”。实际上,他们发现,人类指纹图谱中的某些属性足以引起安全性问题。
麦蒙及其同事罗伊使用8200份部分指纹进行了分析。使用商业指纹验证软件,他们发现,平均每随机抽取800个部分指印就可以发现潜在的92个“超级指纹”。然而,在800份全指纹的样本中,他们只发现了一个全指纹“超级指纹”。
该团队分析了从真实指纹图像中剔除的“超级指纹”的属性,然后构建了一种创建合成部分“超级指纹”的算法。实验表明,合成的部分指印具有更广泛的匹配潜力,使得它们比实际部分指纹更可能愚弄生物识别安全系统。凭借其数字模拟的“超级指纹”,该团队报告已经成功匹配26%至65%的用户。智能手机为每个用户存储的部分指纹越多,其脆弱程度越高。
罗伊强调,他们的工作是在一个模拟的环境中完成的。“超级指纹”的高匹配能力显示了基于指纹的认证系统所面临的挑战。她指出:“随着指纹传感器的尺寸越来越小,传感器的分辨率必须大幅提高才能捕获额外的指纹特征。”
麦蒙指出,团队研究的结果是基于细节匹配。只要部分指纹用于解锁设备,并且存储每个手指的多个部分指印,则查找“超级指纹”的可能性显著增加。(赵利利编译)
《中国科学报》 (2017-04-20 第6版 前沿)