您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技數(shù)碼
分享

生物認(rèn)證的方式已經(jīng)成為移動(dòng)設(shè)備上越來越流行的配置,自蘋果iPhone 5s推出指紋識別功能之后,指紋識別逐漸先后在手機(jī)、平板等移動(dòng)設(shè)備上風(fēng)靡起來,隨著生物認(rèn)證的方式多樣化和發(fā)展,近年來的眼紋識別、虹膜識別、聲紋識別等陸續(xù)出現(xiàn)。這種便捷安全的方式已經(jīng)逐漸取代密碼和PIN碼,我們當(dāng)初都認(rèn)為指紋是獨(dú)一無二的,而且認(rèn)為它比密碼要更安全,從這一個(gè)角度來看確實(shí)是這樣。

盡管各類生物認(rèn)證方式有著較高的安全等級,可是我們現(xiàn)實(shí)中確實(shí)出現(xiàn)了破解和偽造指紋的事情。當(dāng)我們還想著各種辦法以防自己的指紋被暴露的時(shí)候,殊不知我們的指紋信息或許已經(jīng)偷偷從我們的PC上流出了。

傳統(tǒng)密碼和生物認(rèn)證的博弈

很多人認(rèn)為傳統(tǒng)的密碼要比指紋識別的安全級別低,實(shí)際這并完全準(zhǔn)確。根據(jù)一項(xiàng)調(diào)查顯示,世界上最常用的10組密碼里面,"123456"和"1234567890"是排在前兩位,前者有17%的用戶都采用。顯然這是應(yīng)對不易記憶和不方便而采取的方式,很多人很難記得復(fù)雜繁瑣的密碼,設(shè)置簡單的密碼也大大降低傳統(tǒng)密碼的安全性。

用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>生物認(rèn)證方式要比傳統(tǒng)密碼在便捷性要更強(qiáng),同時(shí)通過其他技術(shù)優(yōu)勢增強(qiáng)移動(dòng)設(shè)備的安全性,可是其依然能夠被破解。比如照片可以破解面部識別;錄音可以破解語音識別;甚至是手指都能被偽造。實(shí)際傳統(tǒng)密碼在安全性上并不差,只是需要你設(shè)置密碼的時(shí)候用足夠長的位數(shù),還需要字母數(shù)字大小寫混用,當(dāng)然這是十分不方便的,因此指紋識別等生物認(rèn)證方式逐漸取代他們成為主流。</p><p><strong>指紋識別的防守戰(zhàn)</strong></p><p>我們以指紋識別為例,相信能屢屢能聽到或了解到一些指紋識別的破解案例。同時(shí)隨著3D打印機(jī)的普及,偽造指紋變得更為簡單快捷。因此各家手機(jī)終端廠家都在指紋識別模塊中做功夫,如通過開啟指紋信息本地存儲、添加獨(dú)立的指紋信息安全區(qū)域、活體指紋識別技術(shù)等等。</p><p>要想令指紋識別方便之余還能夠保證安全,那就要從指紋信息泄露、盜取、偽造這三個(gè)方面防護(hù)。而今天的主題主要說的是指紋信息源的泄露盜取這一方面。</p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>這里說的指紋信息泄露盜取并不是如我們電影電視劇那般,例如你接觸物體的物理指紋等,要想完整套取這些指紋信息所花費(fèi)的成本和時(shí)間是巨大的,一般情況下這些均是針對犯罪等重大的事件。此外帶有指向性的指紋獲取不常見的,例如有陌生人讓你在一些指紋模塊上留下指紋,通過我們自我判斷一般是很難通過這些方法盜取我們的指紋信息。</p><p>那還有什么途徑呢?有人說從用戶的手機(jī)上通過黑客軟件應(yīng)用獲取,可是現(xiàn)在人們都是手機(jī)不離身,基本沒可能讓我們手機(jī)長時(shí)間離開我們,因此這種方式的難度也很大。除了手機(jī),我們還忽略了我們自身最重要的個(gè)人設(shè)備,那就是PC電腦。</p><p><strong>PC設(shè)備指紋安全堪憂?</strong></p><p>可能很多人都忽略PC的指紋信息保護(hù),實(shí)際上現(xiàn)在筆記本廠商所選擇的的指紋傳感器會讓你的指紋信息很容易被暴露。目前筆記本PC市場上有主要有兩種指紋識別傳感器,一種是有加密的功能,另一種是沒有通過加密。如果是采用沒有加密的指紋傳感器,你的指紋信息和指紋圖像就非常容易被盜取。</p><p>為什么筆記本廠商選擇沒有加密的傳感器?一方面是由于成本問題,雖然現(xiàn)在有加密功能和沒有加密的指紋傳感器在成本上只差3-5美金左右,但是對于出貨量比較多的PC筆記本設(shè)備來說,這一筆成本還是挺巨大的。另一方面很多PC筆記本廠商會直接采用手機(jī)的指紋識別傳感器,因?yàn)槭謾C(jī)擁有一些獨(dú)特的構(gòu)造,如防水防塵,不易被拆解,而PC沒有,所以手機(jī)廠商優(yōu)先考慮的也是成本問題。</p><p><strong>與電腦不同,手機(jī)幾乎在任何時(shí)候都是不離身的。手機(jī)可以依靠物理上的安全來確保傳感器的安全。但筆記本電腦卻不同,它通常都會被放在家里的桌子上、汽車?yán)?、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內(nèi)就輕松訪問電腦內(nèi)的文件。正由于安全和使用模式的不同,手機(jī)的指紋識別傳感器組件是并不適合應(yīng)用在PC上的。</strong></p><p>當(dāng)然手機(jī)指紋破解的情況依然很多,可是綜合來說破解PC要比破解手機(jī)容易更多。如果PC采用沒有加密、部分加密或者采用亂序的指紋傳感器,那就很容易被從系統(tǒng)中盜取相關(guān)指紋信息。</p><p><strong>10分鐘盜取偽造指紋解鎖手機(jī)</strong></p><p>在臺北電腦展期間,Synaptics演示相關(guān)的PC安全隱患,并用于偽造指紋信息輕松解鎖手機(jī)。在開始這個(gè)演示之前,筆者在他們提供的筆記本的指紋識別模塊上錄入指紋信息,隨后在進(jìn)行PPT講解原理的幾分鐘內(nèi),他成功通過獲取的指紋信息打印了筆者的指紋信息,并且通過打印的指紋信息能夠非常容易解鎖筆者的iPhone和另一部安卓手機(jī)。這一個(gè)過程前后還不超過10分鐘,筆者也深深倒吸一口氣。</p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>據(jù)Synaptics的技術(shù)人員講解,筆者剛才輸入指紋信息的筆記本上指紋傳感器是沒有經(jīng)過加密,通過內(nèi)置的黑客軟件應(yīng)用,黑客電腦能通過無線輕松從被盜電腦上獲取未加密的指紋信息,然后黑客電腦就擁有那位用戶的指紋信息,其可以是指紋識別特征或者指紋圖像。</p><p>黑客擁有這些指紋信息之后,他可以執(zhí)行兩種操作。第一種便是通過一個(gè)叫Replay Attack的東西,把指紋數(shù)據(jù)信息重新傳送到被盜的電腦,遠(yuǎn)程操作解鎖電腦,隨時(shí)黑進(jìn)你的電腦。<strong>這是一個(gè)很可怕的事情,黑客擁有被盜電腦的管理員權(quán)限,除了可以盜取被盜電腦的各種機(jī)密資料之外,還能夠通過網(wǎng)線等方式解鎖電腦,獲得企業(yè)網(wǎng)絡(luò)服務(wù)的訪問權(quán)限,甚至還可以發(fā)出網(wǎng)絡(luò)攻擊,控制電源電路,令其盜竊痕跡隱藏起來。</strong></p><p>第二種操作便是偽造假的指紋,這也是最常見的做法。有了假指紋,不僅能解鎖你的手機(jī),還能解鎖的PC筆記本,所有個(gè)人資料無所遁形。對于個(gè)人用戶來說,假指紋對移動(dòng)支付危害甚大,而對于企業(yè)用戶來說,公司的機(jī)密資料和信息都容易被泄露。</p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>有趣的是,雖然Synaptics從公司帶來了打印機(jī),可是遭遇了一些意外損壞了,他們就在當(dāng)?shù)氐碾娔X市場購買了一部大約150美元的打印機(jī),同時(shí)在當(dāng)?shù)氐暮牟氖袌鲑徺I了導(dǎo)電墨水,依舊能把指紋順利打印制作出來,這向我們說明了,只要擁有指紋信息,制作假指紋現(xiàn)在會顯得很簡單和方便。</p><p><strong>端到端的指紋加密操作</strong></p><p>面對這個(gè)薄弱的環(huán)節(jié),這就要求我們的筆記本廠商使用有加密的指紋傳感器。在這一領(lǐng)域,Synaptics是指紋解決方案的提供商,PC上的指紋識別模塊份額更是達(dá)到70%以上。2017年年初的時(shí)候,Synaptics開始在集成的PC解決方案中,將端到端安全(SecureLink和PurePrint)部署為默認(rèn)配置,簡單來說便是默認(rèn)為筆記本廠商客戶提供具有加密功能的指紋識別技術(shù)方案。</p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>實(shí)際Synaptics多年前已經(jīng)開始出貨加密功能的傳感器,而且推出了一整套名為SentryPoint的安全套件,能夠?yàn)橹讣y識別傳感器提供安全保護(hù)。這套安全方案能在指紋傳感器和電腦之間的傳輸線路進(jìn)行加密,確保不被竊取。</p><p>可是還有一種情況是比較尷尬的,雖然PC筆記本使用了未被加密手機(jī)指紋傳感器,可是這套指紋方案最初設(shè)計(jì)是用于手機(jī)上,把它移植到PC筆記本后,因?yàn)獒樐_不兼容等問題,所以需要通過一個(gè)名為MCU的微控制器進(jìn)行連接。這<strong>種情況下,即使從微控制器到主機(jī)的鏈路是加密的,也不安全,因?yàn)榧用艿陌踩詫⑷Q于鏈路最薄弱的環(huán)節(jié)。傳感器到MCU這一鏈路進(jìn)行加密了,可是MCU到電腦主機(jī)這一鏈路卻并未加密。</strong></p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>從傳感器到主機(jī)的加密是需要全方位的,不能出現(xiàn)一絲漏洞,而Synaptics的指紋技術(shù)方案已經(jīng)能做到。</p><p><strong>全方位的加密方案</strong></p><p>Synaptics的這套端到端的SentryPoint安全套件,基礎(chǔ)是SecureLink,它是通過強(qiáng)大的TLS 1.2加密和AES-256位高級加密提供聰傳感器到電腦主機(jī)的加密保護(hù)。這兩個(gè)加密的算法是目前最高階的,據(jù)Synaptics的人員介紹,要想解開TLS 1.2和AES-256加密數(shù)據(jù),一般的家用電腦基本做不到(時(shí)間很長很長很長),而采用國家級的超級電腦(如天河之類的超級計(jì)算機(jī))也要花費(fèi)較長的時(shí)間,后者對于一般用戶來說基本是不可觸及。因此其加密堅(jiān)固的程度是足夠的。</p><p>此外這套方案里面還包含了PurePrint,可以區(qū)分識別真假手指,也就是識別假的指紋。這一個(gè)模塊是在軟件架構(gòu)里面,可以通過OTA不斷升級更新,應(yīng)對新的威脅,有一點(diǎn)像我們使用的殺毒軟件更新特征庫。</p><p style=用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>當(dāng)然如果這些都不能滿足安全要求,Synaptics還有終極大招,那便是Match-in-Sensor傳感器匹配方案。這個(gè)方案里面,指紋模板只在傳感器內(nèi)進(jìn)行匹配,并不會把相關(guān)的判斷數(shù)據(jù)與主機(jī)進(jìn)行通信,所有信息加上匹配判斷都在指紋傳感器內(nèi)部完成,它只會把判斷的結(jié)果傳送至主機(jī),可以是

利用這一架構(gòu),操作系統(tǒng)將不會再成為被攻擊的途徑,因?yàn)檫@里面已經(jīng)切斷了多個(gè)鏈路數(shù)據(jù)傳輸。通過Match-in-Sensor方案,所有的生物識別操作在指紋傳感器上操作,敏感的數(shù)據(jù)不會離開芯片,同時(shí)只會把簡單的判斷數(shù)據(jù)通過SecureLink與主機(jī)相連。

指紋信息泄露源頭遏制

在出現(xiàn)最多的破解指紋識別的案例中,基本都是采用物理破解制作假手指的方式。不過這種物理破解基本只限定于一個(gè)目標(biāo)用戶或設(shè)備,對于黑客來說吸引比較小,因?yàn)槠浠ㄙM(fèi)大的成本不能獲得對等的利益。黑客往往瞄準(zhǔn)的是具有聯(lián)網(wǎng)功能的企業(yè)用戶機(jī)密信息,而這部分的安全往往是由未加密的指紋識別信息所保護(hù),因此這十分需要引起我們的關(guān)注。

用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p>現(xiàn)在的指紋放偽造技術(shù)基本把重點(diǎn)放在判斷那一步,如加入各種防范欺騙技術(shù)。Synaptics人機(jī)界面系統(tǒng)部門產(chǎn)品營銷副總裁的市場總監(jiān)Godfrey Cheng指出,

"產(chǎn)品設(shè)計(jì)初期,指紋設(shè)計(jì)不但能獲得安全的保障,還需要兼顧良好的用戶體驗(yàn),誰也不想用指紋識別的時(shí)候,出現(xiàn)按了幾次都不能解鎖的窘?jīng)r。"防欺騙技術(shù)是可以達(dá)到100%有效性的。無論假的指紋質(zhì)量有多高,都不能通過識別。但這對于移動(dòng)設(shè)備來說,成本會非常昂貴,而且會帶來很高的功耗",一般的產(chǎn)品并不會采用這種方案。

現(xiàn)在我們手機(jī)有很多防偽造的技術(shù),活體指紋檢測就是最近熱門的。意外的是,在Synaptics的現(xiàn)場演示中,筆者利用打印的導(dǎo)電指紋信息紙片可以輕松解鎖iPhone,可是對于手上的一部安卓手機(jī)不可行,查看后才知道這部安卓手機(jī)應(yīng)用了活體指紋檢測技術(shù),這個(gè)指紋傳感器能夠檢測更多的信息,如脈搏、溫度和電容。不過隨后Synaptics的人員拿出了另外一種特殊的物質(zhì),把我們的指紋印上后便可以順利解鎖。

用10分鐘偽造指紋解鎖手機(jī):PC竟是罪魁禍?zhǔn)? /></p><p><strong>安全的權(quán)重應(yīng)該要高于方便</strong></p><p>安全這東西平日大家都不怎么關(guān)注,只有當(dāng)真是發(fā)生了一些事故才會引起大家的重視。生物認(rèn)證方式給我們提供了更加便捷方便的體驗(yàn),雖然各類指紋被破解的新聞是屢屢出現(xiàn),但是我們已經(jīng)越來越依賴指紋等各類識別登錄賬戶和移動(dòng)支付等,倒退回去使用傳統(tǒng)的密碼是不可能了。</p><p>生物認(rèn)證技術(shù)發(fā)展的同時(shí),用以破解移動(dòng)設(shè)備傳感器的偽造生物特征圖像的能力也變得更強(qiáng)了。為了減少安全風(fēng)險(xiǎn),現(xiàn)在越來越多的廠商都開始采用加密的指紋識別傳感器,同時(shí)把防假指紋的技術(shù)融入到設(shè)備當(dāng)中,而Synaptics的SecntryPoint方案獲得不少的應(yīng)用。</p><p>對于用戶來說,同樣也需要對自己日常使用指紋等各類生物識別的習(xí)慣進(jìn)行修正,例如針對不同賬戶或者不一樣的用途(移動(dòng)支付、登錄賬戶)采用不同指紋信息,盡量把危險(xiǎn)降低。</p>            </div>
			<!--/正文內(nèi)容--><!--/正文內(nèi)容-->
                        <div style=

責(zé)任編輯:海凡

最新科技數(shù)碼 頻道推薦
進(jìn)入新聞?lì)l道新聞推薦
iQOO 13銷量創(chuàng)下新紀(jì)錄 上市首日超越所
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095414 舉報(bào)郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請聯(lián)系我們,本站將在3個(gè)工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時(shí)間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日報(bào)主管主辦) 版權(quán)所有 閩ICP備15008128號-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號:20070802號

福建日報(bào)報(bào)業(yè)集團(tuán)擁有海峽都市報(bào)(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價(jià)| 聯(lián)系我們| 法律顧問| 舉報(bào)投訴| 海峽網(wǎng)跟帖評論自律管理承諾書

友情鏈接:新聞?lì)l道?| 福建頻道?| 新聞聚合