胶带能解锁,指纹支付还安全吗?

  一段透明胶带、一支导电笔,就可以秒破手机指纹识别系统,轻松开机,甚至进行支付。

  近日,苏州一家公司的首席技术官李扬渊用视频的方式,展示利用这些简单的工具,成功地将大拇指设置为解锁模式的手机,用另外几个手指轻易打开了,甚至用海绵清洁布也能成功解锁。

  这让国内的中国手机用户倒吸了一口冷气。因为指纹已经在智能手机中历经几代发展,因其具有唯一性和不变性,一直被认为是保密的防线,理所应当地被认为安全无忧。如今能轻易地被解锁,手机用户的隐私和秘密、支付账户中的财产会不会受到威胁呢?

  胶带“偷梁换柱”

  从数字和字母组成的密码,再到自身生物特征成为账户和智能终端安全的“守护者”,我国的密码技术已经有了质的飞跃。比如,指纹、人脸、虹膜、指静脉,甚至步态都成为“解锁”的方式。

  清华大学电子工程系教授苏光大说,指纹识别技术辨别的是指纹纹线的断点、交叉点等特征,如果可以掌握这些特征,就可以解锁。“并且,指纹是终身不变的,除了有些人因为某些工种导致指纹不突出,无法被识别外,95%以上的指纹都可以被识别。”

  目前,智能终端上采用的指纹识别技术多为电容式指纹识别技术,其原理是将压力、电容、热度等感测器整合于一块芯片中,当手指按压芯片表面时,整合的感测器会根据指纹凹凸不平而产生的电荷差或温差,形成指纹影像,再通过与手机内部的指纹库进行匹配,从而完成指纹识别。

  演示实验的李扬渊在媒体上也表示,手机的指纹识别,并不是100%比对一致才会验证通过解锁。可能只要20%左右就可以了。而这样做的目的,主要考虑使用者便捷度的因素。毕竟识别率高,用户使用起来也更方便。

  那么,模糊识别的程度是否是胶带偷梁换柱的原因?中国科学院自动化所研究员、中国人工智能学会模式识别专业委员会秘书长孙哲南认为,智能终端上指纹锁被破解与其识别算法的精度无关,因为其本身的身份验证机制就存在缺陷。“如果身份识别的依据仅是指纹的‘形’而不是活体生物特征的‘神’,那么形似而神不似的假冒手段就容易得逞。”孙哲南举例说,通过各种假体材料都很容易构建凹凸不平的纹路模式来模拟被假冒者的指纹形态,从而顺利通过指纹锁识别算法对“形似”指纹的模式匹配进行解锁。

  不必过度恐慌

  去年4月,美国纽约大学和密歇根州立大学研究人员就通过计算机模拟试验发现,利用人类指纹某些共同点制作的虚假指纹可以很容易地骗过智能手机的指纹传感器。研究人员设计了一系列人造的“主指纹”,与指纹传感器中的真实指纹匹配率高达65%。

  尽管研究人员并未在真实手机中测试这种攻击方式,但仍给智能手机指纹识别的可靠性提出了疑问。

  记得当年银行卡密码被人破解时,人们也同样陷入是否继续使用银行卡进行购物的纠结中。现在看来,密码盗取并没有阻止银行卡购物发展趋势,相反,更多人因为方便,选择用卡而非现金。如今,面对指纹识别技术爆出的漏洞,苏光大认为,不必太惊慌,更不必因噎废食,因为这只是一种加密技术发展过程中的必经的过程。

  指纹识别技术经历了光学式识别和电容式识别等技术发展,现在又出现了超声波指纹识别技术。它不像电容式识别那样通过凹凸纹路产生的电流差别识别,而是利用超声波可轻易穿透多种材质的能力,随着材料不同产生大小不同的回波,从而利用指纹的凹凸甚至汗毛孔对超声波的不同反馈对指纹进行识别。也就是说,它记录的是指纹的3D纹理,而不是电容式指纹传感器的2D纹理,所以在精度上要更优秀,甚至可以渗透到皮肤表面下识别出指纹的3D细节与特征。

  而且,超声波采集系统不再需要在智能终端上单独辟出指纹识别的区域,所以在外观上会更美观;又因为超声波扫描的是3D纹理,所以对手指表面的清洁程度要求不高。“超声波指纹识别技术在一定程度上提高了身份认证的便捷性、精确性和安全性。”孙哲南表示。

  除了超声波指纹辨别技术,更高级的指纹辨别技术中还加入了对体温、心率、皮下纹理等活体生物特征的信息获取过程,达到了“形神兼备”的身份验证方法。

  “融合多维生物特征信息的指纹识别技术,更不容易被仿冒。即便有人拿到了指纹,也只能做到形似,但难以模仿心率、体温、导电特性、皮下纹理等活体生物特征信息。”孙哲南说。不过,这样的技术需要增加制造成本,如何将安全与价格兼容也是需要考虑的事。

  可设立多重保障

  指纹识别技术的发展虽然可以弥补指纹被仿冒的“硬伤”,但苏光大同时建议,建立多重保障也可以保证智能终端的安全性,“任何独立的密码应用都容易出现漏洞。”

  如果将人脸识别与指纹识别等多重生物特征融合,被伪造的情况则更难出现。孙哲南也表示:“多模态生物特征有利于安全。”这些特征包括人脸、虹膜,甚至包括眼球中眼白血管纹路的眼纹特征,“这些特征的综合运用,让照片或面具、指膜等伪造手段无法通过认证”。

  现在的生物识别,除了人们熟知的部位,还有一些令人意想不到的部位也参与进来。比如,在2016年,德国的一个研究团队就开发出了一套依靠头骨进行生物识别的技术。它利用一个类似头盔的设备,通过骨传导扬声器将超声波信号发射到佩戴者的头骨周围。佩戴设备会记录下佩戴者头骨对于超声波的震动反馈,凭借这一数据来验证身份。

  日本一家公司则让耳朵成为“密码”。他们研究出了一种通过匹配声音在耳道中的共振频谱来进行生物识别的技术。因为每个人的耳道形状都不同,所以这种技术通过向佩戴者的耳道发出声波,再在接收端接受反射回来的声波进行身份验证。该公司同时表示,这项技术识别时间仅需1秒,准确率高达到99%。

  虽然新的生物识别特征更安全,但相对于指纹和面部识别系统更复杂,或许暂时无法在智能终端中进行推广。未来随着材料学等技术学科的进步,这些设备逐渐缩小,就会成为便携式智能终端辨别“主人”的一部分。袁一雪