科技日报记者 崔爽
指纹解锁,方便快捷,智能手机离不开。科技改变生活啊!人人感叹。
但最近的一项研究给大家浇了盆冷水,指纹解锁似乎不像我们想的那样安全。
来自美国纽约大学和密歇根州立大学的研究人员早些时候成功做出了新的“万能指纹”,他们叫它“DeepMasterPrints”。
看名字就不一般。相关报道称,这种指纹可以解锁三分之一的手机,在某些情况下(比如手机安全性不高或者单纯出于偶然),解锁成功率超过70%。它是通过大量机器学习得到的“主密钥”,算是一把解锁手机的“万能钥匙”。
看到这里,是不是不禁握紧了抓手机的手?感觉照片微信支付宝啊,通通危险了起来……
是耸人听闻吗?毕竟标题党太多了,这个听起来也是“震惊了!你的手机指纹被偷了”的翻版。
还真不是,科技日报急您之所急,请教了相关专家,得出这个令人遗憾的结论:指纹解锁手机确实没那么安全。现有条件限制下,它先天不足。
中科视拓(北京)科技有限公司CEO刘昕从专业角度出发,解释了DeepMasterPrints是怎么来的。
简单地说,团队的技术方案是用一个神经网络去生成指纹图像,这些指纹图像能够和现有的人类指纹最大程度上地匹配。
“万能指纹”其实不新鲜,DeepMasterPrints之所以这么秀,是因为团队通过一个神经网络和进化优化技术,找到了这样的万能指纹片段。
可是人的指纹不是千差万别的吗?
没错,但由于目前应用的指纹提取器的分辨率不够,手机在指纹解锁时其实并不看整枚指纹,而是采集和识别指纹的局部(如下图所示,矩形框表示的是采样的指纹片段)。
这就给了万能指纹“可乘之机”。
通过学习大量指纹,DeepMasterPrints成功找到一些万能的片段,和尽量多人的指纹相像。当然万能只是相对的,攻击不是100%成功。
“可以这样理解,世界上没有两张一样的脸,但是可以有相似的鼻子、相似的嘴唇,因此总可以找到一些带有普遍性的模式。”刘昕说。
研究人员发表的论文中也提到,对抗这类攻击的办法就是提高指纹图像的分辨率,如果可以采集全尺寸的指纹图像,万能指纹就不好下手了。
是不是坐不住了?想立刻删除指纹解锁,回去输密码?
不必恐慌,专家表示,这个技术需要在FMR(错误匹配率)比较高的时候,才能有比较高的攻击成功概率。
FMR是用来评估指纹识别算法性能的最重要参数。可以理解成“把不该匹配的指纹当成匹配的指纹的概率”。
指纹识别算法如果想要考虑便利性,就得放一些长得差不多的指纹过去,比如指纹只有八成相像,手机也会放行,这样万能指纹就很容易攻击成功。但是如果太强调安全性,用户使用起来就不便利,可能本人也解锁不了。等于说“你好开的锁小偷也好开”。
这也解释了为什么DeepMasterPrints在不同设定中的成功率相差很大,这和FMR高低直接相关。
报告显示,Single DeepMasterPrints在0.01%FMR时,攻击成功率只有1.11%,1%FMR时,攻击成功率能到77%。
相反,在极高的安全级别下,在某些指纹数据库上,攻击成功率是0。
这说明,一定程度上,万能指纹能否得手是随机的。除了手机的FMR,我们也并不知道攻击者用来学习万能指纹的人类指纹库的水平,如果规模很小,那实际采样不完全,如果规模非常大,那危险性大大提高。
再说如果谁的指纹天生很像万能指纹,中奖率高高的……
所以,专家表示,论文结果很随机,大家无需恐慌,但这项研究的确揭示了现有的指纹识别机制存在安全风险。
怎么办?指纹识别还能用吗?
答案是肯定的。
安全行业专家、北京志翔科技股份有限公司联合创始人、产品副总裁伍海桑博士介绍了学术界的看法:由于生物信息本身的独特性,是很可靠的用于身份识别的来源。但是识别过程的复杂度和识别仪器的能力,决定了识别的安全性。发达国家,以及我国的军事机构和边境保护,都引入指纹、虹膜等识别,这足够证明。但人家精度强度够高、不计成本。
手机不一样,它应用的指纹识别设备比较弱,本身能力的局限(体积要小,功耗不能大,成本不能高)给了万能指纹可能性。
并且普通用户确实没什么办法。还得要靠硬件迭代、算法迭代,提高精确度和分辨率,提升指纹识别的安全性。
输入“万能指纹”,“如何破解老公/老婆的指纹密码”立刻跳出来,这说明人民群众确实有这个需求……希望技术人员不断努力,保卫大家的手机(和婚姻)。
开玩笑的,但在人人离不开手机的今天,我们的吃住行游购娱确实和手机深度绑定,财务和隐私也都上交给它。手机的硬件安全无论怎样强调都不过分。
总结来看,目前这种万能指纹还不需要担忧,但它确实提醒我们指纹识别存在的安全隐患,也敦促硬件厂商研发分辨率更高的指纹识别和存储机制,或者过渡到区别度更高、更安全的生物识别方式,让手机更安全。
图片由本文作者提供