每個(gè)人的指紋都是獨(dú)一無(wú)二的，但紐約大學(xué)及密歇根州立大學(xué)的研究人員發(fā)現(xiàn)，兩枚指紋之間的局部特征普遍存在相似性，因此手機(jī)或其它設(shè)備上的那些基于指紋的安全系統(tǒng)，要比想象中的脆弱的多。

系統(tǒng)的漏洞在于，用于身份驗(yàn)證功能的指紋傳感器并不會(huì)捕捉用戶指紋的完整圖形，相反，它掃描儲(chǔ)存的只有指紋的部分區(qū)域，而且許多手機(jī)還允許用戶在系統(tǒng)里錄入多個(gè)手指的指紋。只要用戶的指紋與系統(tǒng)里保存的區(qū)域指紋相匹配，手機(jī)就會(huì)解鎖。據(jù)研究人員推測(cè)，不同人的指紋區(qū)域之間可能存在足夠的相似性，足以用來(lái)制造出虛假的“超級(jí)指紋”，從而騙過手機(jī)的指紋傳感器。

該研究的合著者，密歇根州立大學(xué)計(jì)算機(jī)科學(xué)與工程系教授ArunRoss表示，許多電子設(shè)備比如智能手機(jī)均開始將指紋傳感器用于用戶身份驗(yàn)證，但手機(jī)上的指紋傳感器尺寸很小，掃描錄入的只有一部分指紋。為了彌補(bǔ)這個(gè)不足，電子設(shè)備通常會(huì)在注冊(cè)過程中，要求用戶錄入單個(gè)手指指紋的不同區(qū)域點(diǎn)，以確保其中至少有一個(gè)會(huì)在身份的識(shí)別過程中與獲取到的指紋圖像成功匹配。而正是這一點(diǎn)使得情況不妙。

“由于指紋傳感器的尺寸變小，提高傳感器的分辨率就顯得十分必要，這樣才能捕捉到額外的特征點(diǎn)，”ArunRoss說(shuō)道，“如果不提高分辨率，那么將不可避免地?fù)p害到用戶指紋的獨(dú)特性。研究過程中的實(shí)證分析也證實(shí)了這一點(diǎn)?！?/p>

Ross表示，研究團(tuán)隊(duì)目前正致力于如何解決這個(gè)突出的漏洞。其中包括需要開發(fā)出有效的反電子欺騙技術(shù)；在用戶注冊(cè)時(shí)謹(jǐn)慎挑選指紋的數(shù)量和類型；提高小型傳感器的分辨率以便于提取更多特征點(diǎn)；提高利用了節(jié)點(diǎn)與紋理的識(shí)別技術(shù)；以及設(shè)計(jì)更有效的綜合方案，從而將用戶的多個(gè)指紋區(qū)域結(jié)合起來(lái)。

紐約大學(xué)計(jì)算機(jī)科學(xué)和工程研究組組長(zhǎng)NasirMemon稱，“超級(jí)指紋”有點(diǎn)類似于一個(gè)黑客，試圖用1234這種通用密碼來(lái)破解PIN碼（手機(jī)SIM卡的個(gè)人識(shí)別碼）。

Memon表示：“1234這個(gè)密碼大約有40%的幾率是正確的，據(jù)我們估計(jì)，這個(gè)正確率有點(diǎn)高?！?/p>

國(guó)家科學(xué)基金會(huì)資助研究人員對(duì)8200枚指紋進(jìn)行分析試驗(yàn)。通過商業(yè)指紋驗(yàn)證軟件，研究人員每批次抽取800枚指紋，結(jié)果顯示平均有92枚具備成為“超級(jí)指紋”的潛在可能性。（他們將“超級(jí)指紋”設(shè)計(jì)為在隨機(jī)抽取的每個(gè)批次中，至少能夠匹配于其中4%的虛假指紋。）

相反地，在800份完整的試驗(yàn)樣本中，研究人員只發(fā)現(xiàn)了一枚完整的可用作“超級(jí)指紋”的人造指紋。Memon表示，“這并不奇怪，匹配部分指紋的成功率要比匹配一整枚指紋的高得多，然而大部分設(shè)備用來(lái)匹配的都是部分指紋。

研究人員對(duì)取自真實(shí)指紋圖像的“超級(jí)指紋”的特征進(jìn)行分析，建立了一個(gè)算法用于創(chuàng)建合成“超級(jí)指紋”。實(shí)驗(yàn)表明，人造的合成指紋匹配的可能性更高，與某些真實(shí)的指紋相比反而更能騙過安全識(shí)別系統(tǒng)。而由真實(shí)指紋結(jié)合制成的“超級(jí)指紋”成功匹配了系統(tǒng)中26%-65%的用戶指紋，其成功率取決于用戶儲(chǔ)存了多少指紋圖像，并設(shè)定了每次最多嘗試匹配5次的限制。

用戶在手機(jī)里錄入的指紋越多，安全系統(tǒng)就越脆弱。

研究人員強(qiáng)調(diào)他們的工作是在模擬環(huán)境下完成的，但需要注意的是，人造指紋技術(shù)的發(fā)展以及將電子指紋轉(zhuǎn)移到實(shí)體的技術(shù)，可能導(dǎo)致攻擊生物識(shí)別設(shè)備的可能性提高，這是一個(gè)很嚴(yán)重的問題。由于“超級(jí)指紋”的高匹配度，設(shè)計(jì)值得信賴的基于指紋識(shí)別的身份認(rèn)證系統(tǒng)正面臨挑戰(zhàn)，亟需加強(qiáng)方案的設(shè)計(jì)，從而利用多種因素進(jìn)行身份驗(yàn)證，以提高系統(tǒng)的安全性。研究人員認(rèn)為，這項(xiàng)研究將會(huì)影響未來(lái)安全系統(tǒng)設(shè)計(jì)的方向。同時(shí)，Memon表示，目前使用密碼解鎖手機(jī)仍是安全的。

相關(guān)論文已發(fā)表在《IEEE信息鑒定和安全》期刊上。