對鏡頭比「YA」可能被竊取指紋!3大神話破解 指紋辨識沒想像中安全
▲研究指出,被攝者的手指只要距離相機1.5公尺內,就能100%被還原出指紋。(圖/取自免費圖庫Pixabay)
在網路上發佈比「YA」或擊掌的照片,可能會讓有心人士有機可趁竊取你的指紋。
這個其實是一項已普遍爲人所知的訊息,早在2014年歐洲最大的駭客組織Chaos電腦俱樂部就曾公開一種盜取指紋的方式,只要透過相機拍攝手指圖片,即可複製用戶的指紋資訊。駭客克里斯勒(Jan Krissler)就成功利用德國政府新聞辦公室公開提供的高解析度照片,以VeriFinger軟體合成出德國前國防部長馮德萊恩(Ursula von der Leyen)的實體指紋。
日本國立情報學研究所教授越前功(Isao Echizen)也在2017年發表的論文中提到,若指尖在距離數位相機3公尺內拍照,指紋便有可能遭有心人竊取並複製。而去年上海資訊安全行業協會副主任張威也在大陸國家網路安全宣傳週上表示,被攝者的手指只要距離相機1.5公尺內,就能100%被還原出指紋。
對此,網絡安全專家斯坦伯格(Joseph Steinberg)指出,「指紋」不是驗證人員身分的適當方法,並建議人們應避免使用指紋認證。「想像一下,你每天會將指紋留在成千上萬個可公開造訪的地方,包括有心人士在內的任何人都可輕鬆地取獲,這就好像你將自己的密碼寫在上千萬張便利貼並貼在各處一樣。」
斯坦伯格指出,在某些情況下,指紋的防護力甚至比弱密碼更糟,「你的密碼被盜後你還能重設密碼,但你的指紋資訊被盜你能重設指紋嗎?」NuData Security業務開發副總裁卡普斯(Robert Capps)也說:「一旦生物特徵資料被盜並在暗網(Dark Web)上轉售,被盜者將永遠在帳戶和身份遭不當存取風險下生活。」
指紋過去曾被視爲最終極的標誌,只有本人能通過識別且他人無法竊取,但如今這種神話已然破滅,以下是WeLiveSecurity部落格盤點的3大民衆對指紋辨識可能存在的誤解:
誤解1: 指紋的安全性比密碼還高
與許多人的假設相反,生物辨識讀取設備並非萬無一失,它可能被利用也可能被竊取。舉例來說,美國國土安全政策要求14歲至79歲的非美國公民入境美國時須收集指紋,而聯邦調查局也保存了估計有1億筆指紋資料,其中有超過3000萬筆爲一般民衆,即與犯罪活動無關。
這些資料庫將會吸引無數網路犯罪分子,如果遭駭,就像信用卡及個人密碼一樣,完全有可能被盜用或惡意使用。
誤解2: 指紋無法被複制
蘋果於2013年在iPhone 5S中加入了指紋辨識功能,從而開啓了生物辨識技術的時代。它能用於解鎖手機,也能用於確認用戶在iTunes及App Store上的購買。
不過我們從上述的例子中就可以知道,指紋辨識並不全然安全,物識別技術公司Vkansee於2016年證實「技術可以被欺騙」,有心人士甚至僅需要一些黏土即可獲取足夠的指紋資訊並騙過感測器。雖然該公司也強調,此技術相當複雜,但也證實了指紋確實可以被複制。
誤解3: 指紋將在未來取代密碼
鑑於指紋資訊可被竊取一事,要使密碼過時,我們還有很長的路要走。
目前有許多專家建議採用多重要素驗證,也就是混合使用指紋、密碼及雙重身分驗證的方式來增加安全性,特別是在該資訊或訊息具有特別敏感性質的情況下。