根据CiscoTalos的最新研究,指纹身份验证通常只对普通用户有效,但对拥有更重要身份或包含敏感数据的设备的用户没有用处。在4月8日发表的博客文章《指纹克隆:神话还是现实?》中,CiscoTalos研究员PaulRascagneres和技术总监兼安全研究员VitorVentura总结说“3D打印技术可以骗过手机和电脑指纹扫描仪”。他们收集了真实人物的真实指纹——包括臭名昭著的黑帮AlCapone——然后他们使用3D打印机制作了指纹模具。根据这项研究,Rascagneres和Ventura在使用假指纹的过程中平均成功率约为80%。在视网膜扫描和面部识别技术出现之前,指纹扫描是更常见的生物特征识别形式。“我们想看看指纹认证是否安全,”Ventura说。通过利用Rascagneres作为3D艺术家的专业知识,两位研究人员测试了不同的品牌和设备模型,并开发了一个与现实相匹配的威胁模型。“随着最近生物特征信息的泄露和3D打印技术的进步,以及指纹认证使用的增加,我们想知道制造假指纹的难度有多大,”Rascagneres说。“我们有两个主要目标:尽可能接近真实世界。”体验,并与世界分享我们的过程,并说明以低预算做到这一点是多么困难。”研究人员在一篇博客文章中写道,他们以“预算限制为前提,看看这是否可以在低预算下完成。”它需要由国家资助的演员来完成。”Rascagneres说:“在我们的预算范围内,这很耗时。每次尝试都需要数小时。资金充足的攻击者可以变得更好。更昂贵的印刷设备,例如医疗设备。随着预算的增加,我们认为这个过程会得到改进并且更准确。”在进行研究时,他们发现他们的3D打印方法无法破解WindowsHello生物识别身份验证。“我们认为微软的算法更严格,”Rascagneres说“指纹认证需要控制指纹上的多个点,我们认为微软Windows需要比其他设备更多的点来验证。”该博客还提到了苹果,并指出“除了苹果之外,大多数传感器都是由第三方开发的”,这是一个优势。“从实施的角度来看,成为整个协议栈的所有者更容易,”Rascagneres说。这不是研究人员第一次质疑生物特征认证的有效性。例如,2018年,纽约大学丹顿分校和密歇根州立大学的研究人员开发了DeepMasterPrints,这是一种人工智能生成的假指纹图像,可以欺骗生物识别传感器。两年后,Rascagneres和Ventura发现指纹识别技术仍然不够先进,无法应对所有提出的威胁模型。现在,攻击者可以从DeepMasterPrints等高级机器学习生成的攻击转移到低级、廉价的打印攻击。Rascagneres和Ventura在博客中写道:“3D打印技术允许任何人制作假指纹。不仅如此,只要有合适的资源,就可以大规模地进行伪造。
