指紋相似性可能“欺騙”手機生物識別

　　沒(méi)有兩個(gè)人被認為具有相同的指紋，但是美國紐約大學(xué)坦登工程學(xué)院和密歇根州立大學(xué)工程學(xué)院的研究人員發(fā)現，指印之間的部分相似性是如此普遍，以至于手機或其他電子設備中使用的基于指紋的安全系統可能比人們之前想象得更加脆弱。

　　該種脆弱性基于這樣的事實(shí)：指紋的認證系統含有小型傳感器，這些傳感器不捕獲用戶(hù)的完整指紋，相反，它們掃描和存儲部分指紋。許多手機允許用戶(hù)在他們的身份驗證系統中注冊幾個(gè)不同的手指，當用戶(hù)的指紋與任何一個(gè)已保存的部分指紋匹配時(shí)，身份即被確認。研究人員假設，不同人的部分指印之間可能存在著(zhù)足夠多的相似之處，可以創(chuàng )造出“超級指紋”。

　　紐約大學(xué)坦登計算機科學(xué)與工程教授納西爾·麥蒙以及他的研究小組組長(cháng)解釋說(shuō)，“超級指紋”概念類(lèi)似于一個(gè)試圖使用常用密碼(例如1234)來(lái)破解基于PIN系統的黑客。麥蒙說(shuō)，密碼1234有4%的破解概率，當你只是猜測時(shí)，這是一個(gè)相對較高的概率。研究小組尋找可以揭示類(lèi)似脆弱性的“超級指紋”。實(shí)際上，他們發(fā)現，人類(lèi)指紋圖譜中的某些屬性足以引起安全性問(wèn)題。

　　麥蒙及其同事羅伊使用8200份部分指紋進(jìn)行了分析。使用商業(yè)指紋驗證軟件，他們發(fā)現，平均每隨機抽取800個(gè)部分指印就可以發(fā)現潛在的92個(gè)“超級指紋”。然而，在800份全指紋的樣本中，他們只發(fā)現了一個(gè)全指紋“超級指紋”。

　　該團隊分析了從真實(shí)指紋圖像中剔除的“超級指紋”的屬性，然后構建了一種創(chuàng )建合成部分“超級指紋”的算法。實(shí)驗表明，合成的部分指印具有更廣泛的匹配潛力，使得它們比實(shí)際部分指紋更可能愚弄生物識別安全系統。憑借其數字模擬的“超級指紋”，該團隊報告已經(jīng)成功匹配26%至65%的用戶(hù)。智能手機為每個(gè)用戶(hù)存儲的部分指紋越多，其脆弱程度越高。

　　羅伊強調，他們的工作是在一個(gè)模擬的環(huán)境中完成的。“超級指紋”的高匹配能力顯示了基于指紋的認證系統所面臨的挑戰。她指出：“隨著(zhù)指紋傳感器的尺寸越來(lái)越小，傳感器的分辨率必須大幅提高才能捕獲額外的指紋特征。”

　　麥蒙指出，團隊研究的結果是基于細節匹配。只要部分指紋用于解鎖設備，并且存儲每個(gè)手指的多個(gè)部分指印，則查找“超級指紋”的可能性顯著(zhù)增加。