指紋解鎖有風(fēng)險？科學(xué)家繪制出“萬能指紋” 匹配度是普通指紋30倍

就像任何鎖都可以被撬開一樣，任何生物識別掃描儀都可以被愚弄。

多年來，研究人員已經(jīng)證明，用于保護智能手機的常用指紋傳感器有時會被蒙騙，而欺騙者使用的是打印出來的指紋或個人的數(shù)字化指紋數(shù)據(jù)。

但紐約大學(xué)坦頓工程學(xué)院的計算機科學(xué)家們的新發(fā)現(xiàn)可能會大大增加這一可能性。

該組織已經(jīng)開發(fā)出了一種機器學(xué)習(xí)方法，可以生成偽造的指紋，即所謂的“DeepMasterPrints”，這種方法不僅可以欺騙智能手機傳感器，還可以成功地偽裝成來自許多不同人的指紋。

可以把它看作指紋保護設(shè)備的“萬能鑰匙”。

這項工作建立在結(jié)合了共同指紋特征的“主指紋”概念的研究之上。

在去年的最初測試中，紐約大學(xué)的研究人員通過手工識別各種特征和特質(zhì)，來探索主指紋，這些特征和特質(zhì)可以結(jié)合起來，形成一個可以識別多個人的指紋。

不過，這項新工作通過開發(fā)機器學(xué)習(xí)模型，可以大量制造出主指紋，極大地擴展了這種可能性。

“即使生物識別系統(tǒng)對真實指紋的錯誤錄取率非常低，它們現(xiàn)在也必須進行微調(diào)，以考慮到人工指紋，”參與這項研究的紐約大學(xué)(NYU)博士生菲利普•邦特拉格(Philip Bontrager)說。

“大多數(shù)系統(tǒng)都沒有經(jīng)受住人工指紋攻擊的考驗，因此這是設(shè)計傳感器的人們現(xiàn)在必須要注意的算法方面的問題。”

這項研究利用了移動設(shè)備掃描用戶指紋時的快捷方式。

這些傳感器足夠小，在任何時候都只能“看到”你手指的一部分。

因此，他們基于一個片段做出一些假設(shè)，這也意味著假指紋可能只需滿足更少的變量來欺騙他們。

研究人員在真實指紋圖像上訓(xùn)練神經(jīng)網(wǎng)絡(luò)，這樣系統(tǒng)就可以開始輸出各種真實的片段。

然后，他們使用一種被稱為“進化優(yōu)化”的技術(shù)來評估怎樣的指紋才能成為一種成功的主指紋——每一種特征都盡可能熟悉和具有可信度——并引導(dǎo)神經(jīng)網(wǎng)絡(luò)的輸出。

然后，研究人員將他們的合成指紋與流行的VeriFinger match.com(世界上許多消費者和政府指紋認(rèn)證方案都采用了這種方法)和另外兩個商業(yè)配對平臺進行測試，看看他們的合成指紋與多少身份匹配。

指紋比對器可以設(shè)定不同的安全級別。

一個高度機密的武器設(shè)施希望被欺騙的可能性最小。

一款普通的消費類智能手機應(yīng)該避免明顯的欺詐行為，但不要過于敏感以至于經(jīng)常拒絕實際用戶。

在適度嚴(yán)格的設(shè)置下，研究小組的主指紋與不同商業(yè)平臺上的2% - 3%的記錄匹配到20%，這取決于他們測試的是哪種指紋。

總體而言，主指紋的匹配度是普通指紋的30倍——即使在最高安全設(shè)置下，主指紋的表現(xiàn)也不是特別好。

想想主指紋攻擊，就像密碼詞典攻擊一樣，黑客不需要一次就把它搞定，而是系統(tǒng)地嘗試常見的組合方式來入侵一個賬戶。

研究人員提到，他們并沒有對自己的機器學(xué)習(xí)生成的主指紋進行電容打印或其他復(fù)制，這意味著他們并沒有試圖解鎖真正的智能手機。

密歇根州立大學(xué)(Michigan State University)的生物識別研究員安尼爾•杰恩(Anil Jain)沒有參與這項研究，他認(rèn)為這是一個真正的缺點：很難將研究推斷為實際的用例。

但他表示，這項工作的優(yōu)勢在于它所開發(fā)的機器學(xué)習(xí)技術(shù)。

Jain說:“這種方法比以前的方法有效得多。”

紐約大學(xué)的研究人員計劃繼續(xù)改進他們的方法。他們希望提高生物識別技術(shù)行業(yè)對防范合成指紋的重要性的認(rèn)識。

他們建議開發(fā)人員應(yīng)該開始測試他們的設(shè)備，以確保專有系統(tǒng)能夠識別假冒偽劣產(chǎn)品。

該組織還指出，他們才剛剛開始初步了解主指紋如何成功地騙過掃描儀。有可能，傳感器可以提高它們的保真度或分析深度，以辨別主指紋。

Bontrager說:“即使這些合成對策越來越好，如果你注意它，你應(yīng)該能夠設(shè)計出分辨率越來越高、不易被攻擊的系統(tǒng)。”

“但這將影響成本和設(shè)計。”

本文來源前瞻網(wǎng)，轉(zhuǎn)載請注明來源?。▓D片來源互聯(lián)網(wǎng)，版權(quán)歸原作者所有）