a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

或致信息泄露 指纹识别再现安全漏洞

众所周知,当今信息化社会,指纹识别已经成为市场最热的一种生物安全技术,该技术已经渗入到生活当中方方面面,例如身份证、手机、上班打卡、银行支付等。美国此次爆发的指纹泄露危机也给信息安全敲响了警钟。
资讯频道文章B

  9月24日,美国政府宣布,黑客窃取了国防部和其他政府部门员工的安检数据,包括大约560万份指纹记录,较最初报告的数量增加450万份。有业内观点认为,美国信息泄露将会导致指纹数据被大规模滥用以谋取利益,美国政府也在随后组建了安全小组专门应对此次出现的指纹信息泄露危机。

  众所周知,当今信息化社会,指纹识别已经成为市场最热的一种生物安全技术,该技术已经渗入到生活当中方方面面,例如身份证、手机、上班打卡、银行支付等。美国此次爆发的指纹泄露危机也给信息安全敲响了警钟。

  美国宣布560万指纹信息泄露

  9月24日上午,美国政府宣布,黑客窃取了国防部和其他政府部门员工的安检数据,包括大约560万份指纹记录,较最初报告的数量增加450万份。美国人事管理办公室(OPM)和美国国防部是在对遭窃数据展开持续分析的过程中,发现新增的被盗指纹记录的。美国政府今年春天发现了此次数据被盗事件,受此影响的安检记录可以追溯到数年之前。

  这一消息的曝光正值中国国家主席习近平访美之际。美国总统奥巴马曾经表示,网络安全问题将成为他周五在白宫会见习近平时的重要议题。美国官员表示,目前没有证据显示被盗数据遭到滥用,但他们担心此事可能产生反间谍问题。白宫发言人约什·厄内斯特(Josh Earnest)周三表示,对数据泄密事件的调查仍在继续,他并没有对幕后主导发表结论。受此影响的美国联邦政府雇员约为2150万人。

  他指出,OPM的这份声明与习近平访美没有关系,而是因为OPM官员会见了国会议员,并向其告知了指纹问题,因此需要公开披露此事。OPM在声明中说,他们一直在分析被窃数据,直到最近才发现有新增的被盗数据。正因如此,目前估算的被窃数据从最初的110万份增加到560万份。OPM表示,受此影响的人员数量仍然为2150万人。但OPM不认为这些被盗的指纹记录可能构成太大威胁,他表示,这些数据目前无法被大规模滥用。但他也承认,随着技术的进步,威胁可能逐步扩大。该机构称:“我们组建了一个跨部门工作小组,聘请这一领域的专家来评估攻击者现在和将来可能采取的滥用方式。”

  该跨部门小组包括美国联邦调查局、国土安全部和五角大楼的工作人员。OPM称:“如果今后开发出滥用指纹数据的新方法,政府将向受此影响的人提供额外信息。”内布拉斯加共和党参议员本·萨斯(Ben Sasse)曾经批评美国政府未能重视网络安全问题,他认为OPM的声明进一步表明,数据被盗事件“是一场公关危机,而非国家安全危机”。受此影响的个人尚未收到通知。OPM在声明中表示,他们正在与美国国防部合作,向这些人发出通知。

  不过与美国相对发达的安全保障来说,我国似乎对于指纹等信息的安全并不看重,而与我们生活息息相关的指纹识别到底安不安全也成为了社会关注和探讨的一个话题。

  在手机领域指纹泄露影响全部信息

  虽然美国的指纹危机并未对我国产生什么影响,但是我们也必须时刻关注指纹安全。最近,在手机领域又开始出现了一个新的卖点,就是指纹加密。比如iPhone系列,华为MATE 7,魅族MX4 PRO等等,无一不是将指纹加密作为卖点。指纹识别功能的战争,已经从“要不要放”升级到了“该放在正面还是反面”了。

  这其中一方面是因为用户不满足于手机已经具备的基本功能,另一方面也因为用户的安全意识增强,手机承载了太多敏感信息,必须有一套足够安全的防护措施。可能因为指纹是每个人独一无二的,因此造成了指纹比密码更安全的感觉。

  早在iPhone 4时代,还没有现在的专门指纹识别系统,而苹果APP Store里就有指纹加密应用。只需要把手指贴在屏幕上,就可以进行加密、解密等操作,看起来像是把触屏变成了指纹传感器

  本质上,手机上使用的这种指纹传感器也是一种电容屏,两者工作原理几乎是相同的,只不过相对于触屏而言,指纹传感器的分辨率高出了几个量级,因此能够识别出指纹特征。不能否认,指纹识别器到手机系统之间的部分,是相当安全的。从硬件到软件,每一家厂商都在这个环节下足了功夫。有专门负责加密的硬件,有专有的传输协议,有防止破解的多重防护,一个强大加密网络把他们紧密联系起来,已经安全到几乎无法破解。如果将指纹系统比作一把锁,这里就相当于锁芯的部分,而且这个锁芯近乎无敌。

  但是,如果你的锁钥匙丢了,被别人捡到,那就等于大门对外敞开了,你手机里的任何信息,包括银行卡,一般手机都会绑定银行卡,身份信息等,问题的关键就在这儿。虽然指纹具有唯一性,但指纹在我们的生活环境中太常见了。不论工作、生活、娱乐,我们在做任何事情的时候都不可能把双手扔在家里或者藏匿起来。手会和各种东西接触,于是手指皮肤分泌出的化学物质,让我们在各种各样的环境中都留下了指纹。

  深圳揣摩科技有限公司国际部张泽伟就表示:“试想一下,如果犯罪分子拿到了你的指纹信息打开了你的手机,然后盗走了你的身份信息、银行卡信息、电话信息等,最后你可能会丢失存款、信用卡等等。这就是为什么现在微信上好多小游戏都是让按手指什么的,最后莫名其妙的通过微信支付转走了大量存款。”

  “碳粉+胶带”不能破解指纹加密

  当然,抛开一些骗取信息的恶意的软件等,也有另一种观点认为只需要一点碳粉外加一段透明胶带,就能轻松地从喝水的杯子上或者任何相对干净的平面上获取一个人的指纹信息。

  法律上来说,用获得的指纹信息再造出来的指纹在学术上被称作“假指纹”,一般可被做成指模,用以骗过各类指纹识别系统。美国泄露的指纹信息完全可能被制作成指模等工具。

  据了解,一般人通过简单的方式是做不出那么好的假指纹的。一些犯罪现场也会残留非常多的指纹,然而即使给刑侦学专家充分的时间在现场采集、采集后再经过精细加工,最终获得的指纹有60%的匹配度就非常不错了。这个数字意味着,通过一般的采集加工手段,从水杯等生活用品上最终获得的假指纹与真实指纹的匹配度顶多只有60%相似。

  自动指纹识别系统中都有一个阈值来区分指纹匹配是否成功。比如,正在验证指纹信息与存储信息比对匹配超过90%就算成功。而法医学上的指纹匹配度阈值更低,低于60%。就算拥有刑侦专家水平,通过日常生活中采集残留指纹制作假指纹也难以攻破指纹安全系统,普通人如此做想要破掉指纹安全系统的难度可想而知了。

  不过并不否认,的确有些黑客通过极端方式可以从人们生活中的残留痕迹提取到相对完整的指纹信息,用以攻击对应的信息安全系统,并可能获得成功。不能说完全没有这方面的威胁,存在非常专业的人员,但这是非常极端的行为,对普通人的威胁约等于零。

  德国吉徕中国代理商御龙国际有限公司销售部孙江波在接受本报采访时表示:“总体来看指纹是安全的。之前我们在我们的指纹门禁系统上做了一个测试,就是用‘碳粉+胶带’获取了指纹,然后试图打开门禁,但是最后都失败了。我不能说指纹绝对的安全,但是一般情况下都是安全的,所以这个完全不必担心。”

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2020 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈