根据思科Talos的最新研究,指纹认证通常仅对普通用户有效,但对于身份更为重要的用户或包含敏感数据的设备而言,指纹认证并没有用。
在4月8日发布的博客文章《指纹克隆:神话还是现实?》中,思科Talos研究员Paul Rascagneres以及技术主管兼安全研究员Vitor Ventura得出结论,“3D打印技术可以欺骗电话和计算机指纹扫描仪。”他们收集了真实人物的真实指纹-包括臭名昭著的黑帮成员Al Capone,然后用3D打印机创建了指纹模具。
根据这项研究现实,在使用假指纹的过程中,Rascagneres和Ventura的平均成功率约为80%。在视网膜扫描和面部识别技术之前,指纹扫描是比较常见的生物识别方式。
Ventura说:“我们想看看指纹认证是否安全。”
通过利用Rascagneres作为3D艺术家的特长,这两位研究人员测试了不同品牌和设备模型,并开发了与实际情况相匹配的威胁模型。
Rascagneres说:“随着最近生物特征信息的泄漏以及3D打印技术的进步,以及指纹认证的大量使用,我们想知道创建伪造指纹的难度有多大。我们有两个主要目标:尽可能接近现实世界的体验,并与世界分享我们的过程,并说明在低预算的情况下完成这项工作的难度。”
研究人员在博客中写道,他们以“预算限制为前提,看看这是否可以在低预算情况下完成,还是需要由国家资助的参与者完成。”
Rascagneres说:“在我们的预算情况下,这很耗时。每次尝试都需要花费数小时。而资金雄厚的攻击者可以获得更好更昂贵的打印设备,例如医疗设备。通过更大的预算,我们认为这个过程将得到改善和更加准确。”
在进行研究时,他们发现他们的3D打印方法无法攻破Windows Hello生物特征认证。
Rascagneres说:“我们认为微软算法更严格。指纹认证需要控制指纹上的多个点,我们认为Microsoft Windows比其他设备需要验证更多的点。”
该博客还提到了苹果公司,并指出“除了苹果以外,大多数传感器都是由第三方开发的”,这是一个优势。
Rascagneres说:“从实现的角度来看,更容易成为整个协议栈的所有者。”
这并不是研究人员第一次质疑生物识别认证的有效性。例如,2018年,纽约大学丹顿分校和密歇根州立大学的研究人员开发了DeepMasterPrints,这是AI生成的伪造指纹图像,可能蒙骗生物识别传感器。
而在两年后, Rascagneres和Ventura发现,指纹技术仍未发展到足以应对所有提议的威胁模型。
现在,攻击者可以从由机器学习生成的高级攻击(例如DeepMasterPrints)转移到低级的廉价的打印攻击。
Rascagneres和Ventura在博客中写道:“3-D打印技术使任何人都可以创建伪造的指纹。不仅如此,还可以利用适当的资源大规模地进行伪造。