雖然大家都認(rèn)為兩個人不可能會有完全相同的指紋，但紐約大學(xué)坦登工程學(xué)院(New York University Tandon School of Engineering；NYU Tandon)與密歇根大學(xué)(Michigan State University)的研究人員現(xiàn)，只要指紋有一部份的相似性，對于智能手機與其他電子產(chǎn)品所使用的安全辨識系統(tǒng)來說就足以開機解鎖了；這種以指紋為基礎(chǔ)的系統(tǒng)安全性比想象中更脆弱。pCcesmc

這種安全漏洞在于以指紋為基礎(chǔ)的認(rèn)證系統(tǒng)搭配了無法擷取使用者完整指紋的小型傳感器。取而代之的是，他們能掃描并儲存部份指紋，而且許多智能手機還讓使用者可在其認(rèn)證系統(tǒng)中注冊多個不同的手指指紋。pCcesmc

當(dāng)使用者的指紋符合所儲存的任一部份指紋時，即可確認(rèn)身份。研究人員假設(shè)，不同人的部份指紋之間可能存在某種相似性，足以創(chuàng)造出所謂的“萬能指紋”(MasterPrint)。

紐約大學(xué)Tandon計算機科學(xué)與工程系教授Nasir Memon解釋，對于試圖以常用密碼(如1234)破解PIN密碼的黑客而言，MasterPrint的概念存在著若干的相似性?！懊艽a1234大約有4%的機會是正確的，如果你只是隨猜測的話，這樣的機率已經(jīng)是相當(dāng)高了?！?span style="display:none">pCcesmc

研究團隊著手調(diào)查是否能找到足以顯示類似漏洞的MasterPrint。實際上，他們發(fā)現(xiàn)人類指紋圖像的某些屬性足以引起安全性問題。pCcesmc

紐約大學(xué)坦登工程學(xué)院博士后研究員Aditi Roy與密執(zhí)安州立大學(xué)計算機科學(xué)與工程系教授Arun Ross，使用了8200個部份指紋進行分析。研究人員使用商業(yè)指紋驗證pCcesmc

軟件后發(fā)現(xiàn)，在每一組隨機抽取的800個部份指紋中，就有92個可能的MasterPrints。(研究人員對MasterPrints的定義是在每一組隨機樣本中至少有4%的指紋配對成功)pCcesmc

然而，他們發(fā)現(xiàn)，在800個完整指紋中隨機抽樣，只有一個完整的MasterPrints指紋。Memon說：“這一點也不足為奇，僅使用部份指紋比完整指紋更可能配對錯誤，但大多數(shù)的裝置卻僅依靠部份指紋進行辨識。”pCcesmc

研究團隊分析了從真實指紋影像中剔除的MasterPrint屬性，然后打造出一種可創(chuàng)造合成部份MasterPrints的算法。根據(jù)實驗顯示，合成部份指紋具有更廣泛配對的潛力，使其更可能“騙過”生物識別安全系統(tǒng)。pCcesmc

研究人員利用其數(shù)字仿真的MasterPrints，成功地配對26%至65%的用戶，具體取決于每個用戶儲存的部份指紋數(shù)以及假定每次身份驗證每次最多五次的指紋數(shù)。智能手機為每個用戶儲存的部份指紋越多，系統(tǒng)就越脆弱。pCcesmc

Roy強調(diào)，這項研究是在模擬的環(huán)境中完成的。她強調(diào)，研究人員改善了創(chuàng)造合成的指紋與技術(shù)，以便將數(shù)字MasterPrints移植到實體對象，騙過造成重十安全隱憂的裝置。pCcesmc

MasterPrint的配對能力高，對于設(shè)計可信賴的指紋認(rèn)證系統(tǒng)帶來了挑戰(zhàn)，同時也增強了多種證機制的需求。她說，這項研究結(jié)果可為未來的設(shè)計提供參考。pCcesmc

Ross指出：“隨著指紋傳感器的尺寸越來越小，傳感器的分辨率率必須大幅提高，才能擷取到更多的指紋特征。如果無法提高分辨率，使用者的指紋獨特性將不可避免地會大打折扣。我們的研究人員在這項研究中進行的實證分析顯然證實了這一點?！?span style="display:none">pCcesmc

Memon指出，研究團隊的研究結(jié)果是根據(jù)指紋特征點(minutiae)的配對，任何供貨商可能選擇采用或不采用。然而，只要有部份指紋用于解鎖手機或其他裝置，以及儲存每個指紋的多個部份特征，那么找到MasterPrints的機率也將明顯增加。pCcesmc

美國國家科學(xué)基金會(NSF)運算與通訊基全會計劃主任Nina Amla說：“NSF在網(wǎng)絡(luò)安全研究方面的投資，建構(gòu)了保護我們于網(wǎng)絡(luò)空間中所需要的基礎(chǔ)知識。就像NSF贊助的其他研究計劃一樣，這項研究有助于我們在日常生活的技術(shù)中找到如何辨識安全漏洞的方法，而研究指紋認(rèn)證系統(tǒng)的弱點，將有助于推動在安全方面的持續(xù)進展，為使用者確保更安全可靠的保護?！?span style="display:none">pCcesmc

計算和通信基金會計劃主任Nina Amla表示：“NSF對網(wǎng)絡(luò)安全研究的投資構(gòu)建了保護我們網(wǎng)絡(luò)空間所需的基礎(chǔ)知識庫?！跋衿渌鸑SF資助的研究一樣，幫助識別日常技術(shù)（例如汽車或醫(yī)療設(shè)備）的漏洞，調(diào)查基于指紋的認(rèn)證系統(tǒng)的漏洞可以使安全性不斷提升，確保更加可靠的保護用戶?！?span style="display:none">pCcesmc

pCcesmc