手機的指紋解鎖真的安全嗎？

每個人的指紋都是獨一無二的，但紐約大學及密歇根州立大學的研究人員發現，兩枚指紋之間的局部特征普遍存在相似性，因此手機或其它設備上的那些基于指紋的安全系統，要比想象中的脆弱的多。

系統的漏洞在于，用于身份驗證功能的指紋傳感器并不會捕捉用戶指紋的完整圖形，相反，它掃描儲存的只有指紋的部分區域，而且許多手機還允許用戶在系統里錄入多個手指的指紋。只要用戶的指紋與系統里保存的區域指紋相匹配，手機就會解鎖。據研究人員推測，不同人的指紋區域之間可能存在足夠的相似性，足以用來制造出虛假的“超級指紋”，從而騙過手機的指紋傳感器。

該研究的合著者，密歇根州立大學計算機科學與工程系教授ArunRoss表示，許多電子設備比如智能手機均開始將指紋傳感器用于用戶身份驗證，但手機上的指紋傳感器尺寸很小，掃描錄入的只有一部分指紋。為了彌補這個不足，電子設備通常會在注冊過程中，要求用戶錄入單個手指指紋的不同區域點，以確保其中至少有一個會在身份的識別過程中與獲取到的指紋圖像成功匹配。而正是這一點使得情況不妙。

“由于指紋傳感器的尺寸變小，提高傳感器的分辨率就顯得十分必要，這樣才能捕捉到額外的特征點，”ArunRoss說道，“如果不提高分辨率，那么將不可避免地損害到用戶指紋的獨特性。研究過程中的實證分析也證實了這一點。”

Ross表示，研究團隊目前正致力于如何解決這個突出的漏洞。其中包括需要開發出有效的反電子欺騙技術；在用戶注冊時謹慎挑選指紋的數量和類型；提高小型傳感器的分辨率以便于提取更多特征點；提高利用了節點與紋理的識別技術；以及設計更有效的綜合方案，從而將用戶的多個指紋區域結合起來。

紐約大學計算機科學和工程研究組組長NasirMemon稱，“超級指紋”有點類似于一個黑客，試圖用1234這種通用密碼來破解PIN碼（手機SIM卡的個人識別碼）。

Memon表示：“1234這個密碼大約有40%的幾率是正確的，據我們估計，這個正確率有點高。”

國家科學基金會資助研究人員對8200枚指紋進行分析試驗。通過商業指紋驗證軟件，研究人員每批次抽取800枚指紋，結果顯示平均有92枚具備成為“超級指紋”的潛在可能性。（他們將“超級指紋”設計為在隨機抽取的每個批次中，至少能夠匹配于其中4%的虛假指紋。）

相反地，在800份完整的試驗樣本中，研究人員只發現了一枚完整的可用作“超級指紋”的人造指紋。Memon表示，“這并不奇怪，匹配部分指紋的成功率要比匹配一整枚指紋的高得多，然而大部分設備用來匹配的都是部分指紋。

研究人員對取自真實指紋圖像的“超級指紋”的特征進行分析，建立了一個算法用于創建合成“超級指紋”。實驗表明，人造的合成指紋匹配的可能性更高，與某些真實的指紋相比反而更能騙過安全識別系統。而由真實指紋結合制成的“超級指紋”成功匹配了系統中26%-65%的用戶指紋，其成功率取決于用戶儲存了多少指紋圖像，并設定了每次最多嘗試匹配5次的限制。

用戶在手機里錄入的指紋越多，安全系統就越脆弱。

研究人員強調他們的工作是在模擬環境下完成的，但需要注意的是，人造指紋技術的發展以及將電子指紋轉移到實體的技術，可能導致攻擊生物識別設備的可能性提高，這是一個很嚴重的問題。由于“超級指紋”的高匹配度，設計值得信賴的基于指紋識別的身份認證系統正面臨挑戰，亟需加強方案的設計，從而利用多種因素進行身份驗證，以提高系統的安全性。研究人員認為，這項研究將會影響未來安全系統設計的方向。同時，Memon表示，目前使用密碼解鎖手機仍是安全的。

相關論文已發表在《IEEE信息鑒定和安全》期刊上。