一分钱破解“活体指纹识别”
本篇文章2536字,读完约6分钟
雷锋。(公开号码:雷锋。com)出版社:李阳源,本文作者,迈瑞微电子创始人。
指纹识别安全吗?最近,一些媒体披露了在国际领先的触摸和指纹识别技术和中国领先的计算机技术之间的一个撕裂事件。
在台北电脑展上,甲公司展示了“我们可以在5分钟内伪造你的指纹并解锁你的手机”,怀疑这把剑指向了乙公司的指纹识别芯片。乙公司的工作人员指控甲公司因竞争失利而进行技术展示,并故意黑了乙公司..B公司工作人员还强调,A公司破解了B公司的前代产品,更安全的“活体指纹检测技术”很难破解。
两位老板之间多年的恩怨应该先放在一边。如果只评估态度,恐怕乙公司员工的声明会被视为受挫。a公司的技术展示本来是符合科技展的定位的,但是B公司指责“故意黑”,因为其竞争对手的技术展示怀疑剑是指向自己的产品,这太小题大做了。至于用来拦截抢劫的“活体指纹检测技术”,淘宝上的假指纹片卖家早就破解了。
早在今年3月,一些网民就上传了一段破解“活体”指纹识别的视频。
录像中,魅族pro6携带的B公司“活体指纹”被“隐形指纹膜破解”:
饼干签了隔壁的老王
并为自己的假指纹生意做了广告,带有强烈的“民间高手”意识。
事实上,技术原理的所谓“破解”并不神秘,而是基于技术本身的漏洞。让我们先来看看B公司声称的“活体指纹检测技术”的原理:
B公司在2016年mwc上展示的“活体指纹识别”原理图指出,led发光进入手指,在手指内部扩散,从指纹中出来,由pd检测,结合电容式指纹图像采集。这只是一个简单的多传感器组合。巧合的是,电容指纹传感器行业的领导者authentec在2012年获得了“活体指纹识别”技术的专利授权,专利号为us8180120b2。
自从authentec被苹果收购后,authentec的专利技术也归苹果所有,但苹果从未使用过这种“活体识别”。为什么?
首先,假指纹是多种多样的。让我们来看看微软20年前发布的假指纹资料目录:
乙公司有多少种“活体指纹检测技术”可以预防?不幸的是,只有一样东西不属于假指纹目录:
上图左侧显示的是B公司使用的黑色假指纹,右侧显示的是真实的假指纹胶片。B公司的“活体指纹检测技术”只能检测其“原始”的假指纹吗?
我们不妨制作一个假指纹,并演示和测试B公司的“活体指纹检测技术”。首先,准备一瓶最普通的材料,液体胶水。
液体胶水由胶体、水和电解质组成。水提供流动性,所以胶水可以填充表面缝隙;胶体提供了固体支持;电解质促进水和胶体的相互分散。当使用假指纹时,水使胶水容易反转,胶体提供透明的固体支持,电解质提供导电性。液体胶水制成的指纹膜可以反映不同含水量的皮肤从湿到干的过渡。它已用于电容式指纹传感器行业,以制作模拟指纹,并测试传感器对湿指纹和干指纹的适应性。
制造过程的第一步:首先熔化蜡,用手指把模具压回去;
第二步,将胶水倒入蜡模中,待半固化后取下;
任何了解B公司“活体指纹检测技术”原理的人都可以期待:第一,电容对导电膜成像,图像质量比真实指纹更清晰;第二,红外光可以通过指纹膜到达真实指纹,真实指纹发出的光也可以通过指纹膜到达检测器。也就是说,B公司的“活体指纹检测技术”完全可以被办公液体胶水破解。果不其然,“有效的办公液体胶水也能破解活体指纹”。这只是20年前广为人知的假指纹之一。
那么,这是否意味着指纹识别不可靠?事实上,在某些应用场景中确实如此。比如,上海芝罘通曾经推出了手机号码和指纹支付模式,支付宝也推出了离线指纹支付项目,这些都消失得无影无踪。在这种使用第三方指纹采集器的离线模式下,第三方可以使用伪造的指纹通过在数千英里之外窃取身份来窃取金钱,这是一种基本的预防措施。然而,在手机的应用中,值得关注的是指纹识别能否提高手机的整体信息安全性,而不是指纹识别本身的绝对能力有多强。苹果公司说得好,“比6位密码好。”毕竟,在这个应用场景中,单个盗窃指纹和单个盗窃手机不能进入手机系统,避免了进一步的损失,已经实现了手机的安全增值。在手机上进行活体指纹检测纯粹是一种虚假的需求,真正的从业者根本不会浪费时间做无用的工作,因为廉价的“活体指纹检测”方案的破解成本一般远低于该方案,只有成本较高的技术组合才有机会实现较高的破解成本。破解的成本是衡量安全技术安全程度的唯一标准。
看看破解乙公司所谓“活体指纹检测技术”的成本:
模具蜡,零售价在1元人民币;;
一瓶德利液体胶水,零售价为人民币;0.8元;
破解B公司的“活体指纹检测技术”,可以制作200张假指纹胶片,平均每张0.009元。
伪造5分钟,花1美分,破解一辈子,是B公司“活体指纹检测技术”的真实效果。
正是因为在智能手机领域,它既虚假需求又无用,甚至没有炒作价值。B公司在手机市场遭遇挫折,浪费了大量的宣传费用。然而,据一位知情人士透露,B公司已经将触角伸向了涉及公共安全的门锁行业,必须在全球范围内“推出”活体指纹检测技术和“活体指纹智能门锁”。
手机行业对指纹识别技术并不熟悉,但它已经在安防行业使用了很长时间,而“活体”在安防行业并不是一个新概念。在市场语言中,生命体就是电容器,电容器就是生命体。活体的名字意味着它总是比光学指纹传感器好一点,光学指纹传感器可以通过打印指纹来作弊,它并不强调它可以识别各种各样的假指纹。b公司包装了“活体指纹检测技术”,以安防产品中“活体指纹检测技术”的“第一次推出”为噱头,进行包装炒作以赢得关注,真正赢得了(三)、(新)、(冰)、(光)。在当前资本浮华的社会环境下,该公司的产品如何在不关注R&D、精心构思和专注于包装炒作的情况下确保用户的安全?在知道它被一便士破解的情况下,这就等于知道(沙)假(仁)卖(方)假(火)。不幸的是,安全行业对“活体”这个词并不陌生。毕竟,指纹识别是安全领域的核心技术,而这项技术是由安全市场孕育出来并延伸到手机市场的。
指纹是重要的私人信息,用户不能因为相信这种荒谬的“假技术”而放松防止指纹信息泄露的意识,否则会有无穷的麻烦。
感兴趣的读者可以查看我以前的文章
警惕“黑技术”——谈手机“指纹识别”宣传中的陷阱
指纹识别中的“假技术”很难防范和揭露
雷锋的特别贡献。严禁擅自转载。详情请参考转载说明。
标题:一分钱破解“活体指纹识别”
地址:http://www.6st8.com/zbxw/3661.html
免责声明:联合早报中文网从世界各个维度报道世界经济新闻,时政新闻,突发新闻等,本篇的部分内容来自于网络,不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2018@163.com,联合早报中文网的小编将予以删除。