几年前,MythBusters(美国的科普电视节目)证实指纹识别安全技术其实是有缺点的,很容易被,就在上周的黑帽子会议,DucNguyen–Bkis的研究员,证实很容易就可以用一个低质量的图片就绕过了笔记本电脑上的面部识别技术。
MythBusters愚弄指纹识别器
2006年,MythBusters这个流行的栏目就展示了骗过指纹识别器是多么容易;尽管指纹识别器设想的环境包含了用户刷指纹的时候的手汗,身体的脉搏以及体温。
有三种方法,一个印在凝胶的指纹副本,用一种凝胶材料(模仿人体组织特性的材料,常用作武器测试)制作指纹副本,和一个指纹的影印件,MythBusters成功的了指纹识别系统。如何实现的呢,舔舔模拟有汗液的样子。尽管需要几天准备,但是一旦完成,它就可以在几秒钟内骗过这个系统。如果你漏掉了这期节目,我们会把节目视频链接放在后。
模型可以蒙骗手掌几何识别器
在去年defcon16上,ZacFranken说基于身体检测的访问控制系统很容易被攻破。并演示如何绕过手掌几何识别器–只是用牙科用的藻酸盐材料和硅橡胶(牙科材料,镶牙取模用)制作了他的手的模型。
正如HackaDay指出的那样,这样的解决方案并不能应对现实的攻击,但这并不能一笔抹杀生物测定学的意义;它是建立在每个人都是唯一,特征不可这样一个假定上。
但MythBusters和defcon的例子已明确说明和绕过生物识别技术是可能的,Nguyen下面的示范将更简单。
打印输出骗过面部识别技术
近InternetNews的新闻,尽管测试中的笔记本电脑(联想,华硕,东芝)都具有独特的算法,但是实现合法登录的基本概念都是一样的:用户坐在笔记本前,内置的网络摄像头扫描他们的面部,创建图像用于识别。
如果你认为搞到用户的图片是比较困难的,那就再好好想想。Nguyen指出,用户生成或共享的站点比如Flickr,Facebook,Twitter以及聊天程序(Skype,MSN等)的存在,想找到或者获取用户的快照是毫不费力的事情。
通过Nguyen的示范,他证实用一个黑白照片(图像的质量和大小与真人差别不大)就绕过了联想笔记本的安全系统。在给InternetNews的一封信里,联想发言人指出“他们的技术还他通过观测眼睛的移动以区别是照片还是真人。而Nguyen拿着照片在摄像头前晃一晃就蒙混过关。
安全?还是个秘密
从一个用户的视角来看,好的安全措施还是一个复杂的密码,也是用户唯一知道的方法。公认的是一个密码中使用字母,数字,非字母数字以及低8位被认为是比较安全的。但前提是系统配置是安全的,在输入错误密码一定次数后锁定帐户,而且在以后每次重试失败的等待候时间逐渐延长,以防止暴力解码。
不行的是,据我们所知,还没有这样的设计。生物识别技术能够帮助提高安全性吗,可能吧,但现在肯定还不行。