对镜头比「YA」可能被窃取指纹!3大神话破解 指纹辨识没想像中安全
▲研究指出,被摄者的手指只要距离相机1.5公尺内,就能100%被还原出指纹。(图/取自免费图库Pixabay)
在网路上发布比「YA」或击掌的照片,可能会让有心人士有机可趁窃取你的指纹。
这个其实是一项已普遍为人所知的讯息,早在2014年欧洲最大的骇客组织Chaos电脑俱乐部就曾公开一种盗取指纹的方式,只要透过相机拍摄手指图片,即可复制用户的指纹资讯。骇客克里斯勒(Jan Krissler)就成功利用德国政府新闻办公室公开提供的高解析度照片,以VeriFinger软体合成出德国前国防部长冯德莱恩(Ursula von der Leyen)的实体指纹。
日本国立情报学研究所教授越前功(Isao Echizen)也在2017年发表的论文中提到,若指尖在距离数位相机3公尺内拍照,指纹便有可能遭有心人窃取并复制。而去年上海资讯安全行业协会副主任张威也在大陆国家网路安全宣传周上表示,被摄者的手指只要距离相机1.5公尺内,就能100%被还原出指纹。
对此,网络安全专家斯坦伯格(Joseph Steinberg)指出,「指纹」不是验证人员身分的适当方法,并建议人们应避免使用指纹认证。「想像一下,你每天会将指纹留在成千上万个可公开造访的地方,包括有心人士在内的任何人都可轻松地取获,这就好像你将自己的密码写在上千万张便利贴并贴在各处一样。」
斯坦伯格指出,在某些情况下,指纹的防护力甚至比弱密码更糟,「你的密码被盗后你还能重设密码,但你的指纹资讯被盗你能重设指纹吗?」NuData Security业务开发副总裁卡普斯(Robert Capps)也说:「一旦生物特征资料被盗并在暗网(Dark Web)上转售,被盗者将永远在帐户和身份遭不当存取风险下生活。」
指纹过去曾被视为最终极的标志,只有本人能通过识别且他人无法窃取,但如今这种神话已然破灭,以下是WeLiveSecurity部落格盘点的3大民众对指纹辨识可能存在的误解:
误解1: 指纹的安全性比密码还高
与许多人的假设相反,生物辨识读取设备并非万无一失,它可能被利用也可能被窃取。举例来说,美国国土安全政策要求14岁至79岁的非美国公民入境美国时须收集指纹,而联邦调查局也保存了估计有1亿笔指纹资料,其中有超过3000万笔为一般民众,即与犯罪活动无关。
这些资料库将会吸引无数网路犯罪分子,如果遭骇,就像信用卡及个人密码一样,完全有可能被盗用或恶意使用。
误解2: 指纹无法被复制
苹果于2013年在iPhone 5S中加入了指纹辨识功能,从而开启了生物辨识技术的时代。它能用于解锁手机,也能用于确认用户在iTunes及App Store上的购买。
不过我们从上述的例子中就可以知道,指纹辨识并不全然安全,物识别技术公司Vkansee于2016年证实「技术可以被欺骗」,有心人士甚至仅需要一些黏土即可获取足够的指纹资讯并骗过感测器。虽然该公司也强调,此技术相当复杂,但也证实了指纹确实可以被复制。
误解3: 指纹将在未来取代密码
鉴于指纹资讯可被窃取一事,要使密码过时,我们还有很长的路要走。
目前有许多专家建议采用多重要素验证,也就是混合使用指纹、密码及双重身分验证的方式来增加安全性,特别是在该资讯或讯息具有特别敏感性质的情况下。