物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

指紋識別技術(shù)大破解 過度依賴反將造成安全隱憂

作者:林宗輝
來源:我愛研發(fā)網(wǎng)
日期:2007-08-24 15:11:07
摘要:生物識別技術(shù)由于采用每個(gè)人獨(dú)一無二的身物特征作為樣本,理論上不可能被復(fù)制,應(yīng)用在各種包門禁控制、電腦權(quán)限、交易認(rèn)證等領(lǐng)域,可以獲得比過去單純使用密碼更高的安全性。
關(guān)鍵詞:指紋識別生物識別
    由于資訊安全的逐漸被重視,許多使用生物識別技術(shù)的認(rèn)證技術(shù)也隨之興盛起來,加上美國911事件的推波助瀾,不僅是企業(yè),政府機(jī)關(guān)也逐漸重視起這塊領(lǐng)域。生物辨識技術(shù)由于採用每個(gè)人獨(dú)一無二的身物特徵作為樣本,理論上不可能被復(fù)制,應(yīng)用在各種包門禁控制、電腦權(quán)限、交易認(rèn)證等領(lǐng)域,可以獲得比過去單純使用密碼更高的安全性。 

指紋辨識門禁系統(tǒng)

圖說:指紋辨識門禁系統(tǒng)

    指紋識別是生物識別系統(tǒng)中的顯學(xué)之一,由于技術(shù)門檻較低,目前被普遍應(yīng)用在各種資訊產(chǎn)品中。指紋識別是生物識別(Biometrics)的一環(huán)。生物識別系指針對人類獨(dú)有生理特徵進(jìn)行辨識,確認(rèn)其真實(shí)身份。目前指紋識別技術(shù)是目前應(yīng)用較為廣泛的生物識別技術(shù),識別原理是透過指紋機(jī)採集指紋的影像,然后利用識別軟體抽取、比對指紋的特徵資訊,以確定指紋所有人的身份。其他的生物識別技術(shù)還包括了臉部、虹膜識別、靜脈識別等技術(shù)。 

    指紋識別為了求得最高的識別效率,在演算法方面格外重要。從技術(shù)發(fā)展上來看,人類遠(yuǎn)自17世紀(jì)就了解到每人的指紋幾乎都是獨(dú)一無二的,相似的機(jī)率低于十億分之一。而指紋識別應(yīng)用在犯罪證據(jù)收集上,更是早在19世紀(jì)就被採用了。  

高階的商務(wù)型筆記型電腦通常也會(huì)加入指紋辨識功能

圖說:高階的商務(wù)型筆記型電腦通常也會(huì)加入指紋辨識功能

    指紋識別技術(shù)是將個(gè)人指紋先行採樣,并記錄其中重要的特徵。再利用特徵比對達(dá)到辨識的目的。在採樣的技術(shù)方面主要可分為3種,分別是利用光學(xué)、電容以及超音波等技術(shù)。光學(xué)採樣利用CCD攝取指紋樣本,其品質(zhì)是目前最受肯定的,但是相對卻較昂貴,而且容易受環(huán)境,例如污垢、塵土或油污等影響,而造成取樣誤差大。電容採樣則是利用電容偵測指紋所產(chǎn)生的電磁場而取得指紋樣本,較不易受到污垢等環(huán)境因素影響。利用超音波技術(shù)則能得到非常精確的指紋樣本,但是目前技術(shù)仍未廣泛被使用。 

    指紋特徵辨識的樣本并不是記錄完整的指紋影像,而是僅從中選取重要特徵并記錄,因此每一個(gè)人的指紋樣本檔案將只有250 bytes到1K bytes。而指紋特徵辨識由于獨(dú)一性非常高,因此適用于擁有廣大客戶群的應(yīng)用,例如公司職員、客戶管理等等。 

指紋的取樣方式

圖說:指紋的取樣方式 

    因?yàn)橹讣y辨識僅是在手指頭紋路中取出樣本,并儲存進(jìn)資料庫作為身份識別之用,當(dāng)使用者下次要登入系統(tǒng)或門禁時(shí),藉由手指頭辨識并與已儲存的樣本進(jìn)行,以取得系統(tǒng)權(quán)限或者是得以通過門禁系統(tǒng)。然而此樣本辨識系統(tǒng)一般來說并無法做到太復(fù)雜的偵測動(dòng)作,只要是符合資料庫指紋特徵的物件,即使該特徵的擁有者不一定是本人,理論上都可以暢通無阻的通過指紋辨識系統(tǒng)。 

    為什么指紋辨識如此不安全?這要從其取樣編碼的技術(shù)來看,一般的使用狀況下,掃描器會(huì)將指紋處理成1個(gè)數(shù)位灰階影像。軟體通常會(huì)記錄指紋上10~40個(gè)特徵點(diǎn)進(jìn)行取樣,然后計(jì)算主要特徵點(diǎn)之間的距離和角度,定義出1個(gè)「模板」。再利用演算法將這些幾何關(guān)系轉(zhuǎn)換成1組獨(dú)特的數(shù)字,并以之用來識別指紋,進(jìn)而識別個(gè)人。一旦將模板登錄在記憶體內(nèi),軟體就會(huì)消除實(shí)際的指紋取樣資料,只留下經(jīng)過計(jì)算之后的識別碼,以避免遭人復(fù)制或盜用。日后,這個(gè)人將手指放到掃描器上的時(shí)候,系統(tǒng)只會(huì)再次計(jì)算他的模板,然后與原先儲存的模板進(jìn)行比對,判斷兩者是否符合。  

    但問題來了,由于指紋取樣主要只是在特定紋路部分進(jìn)行抽樣,并佐以演算法,將之轉(zhuǎn)換儲存為特徵碼,換言之,只要能夠取得具有該系統(tǒng)權(quán)限的使用者的指紋,基本上便能夠通行無礙。取得指紋的方式有很多,而我們就從人體常見留下指紋的型態(tài)來看,可以將指紋的印記分為基本的3類:汗?jié)撝讣y、可見指紋和立體指紋。 

    在一般犯罪鑑識方面,最常見的是汗?jié)撝讣y,眼睛一般看不出來。它們是由汗液或油脂形成,或者來自于手指,或者是因?yàn)槭种概c臉部、手指和身體有皮脂腺的地方無意識地接觸而形成。即使將手徹底地清潔,如果不自覺的將手放到臉上或頭髮上,他還是很可能在他所接觸的地方留下汗?jié)撝讣y,特別是容易在玻璃表面或光滑的木頭上留下指紋。  

    擷取汗?jié)撝讣y的方法很多,最普通的方法是用灰粉或黑粉。不過在滲透性的材質(zhì)上所留下的指紋,如紙張、厚硬紙板,較難提取,最好用碘燻法,碘可以和汗液中的油脂反應(yīng),或者也使用本三酮來和汗液中的氨基酸進(jìn)行反應(yīng)。第二種類型的指紋是最易辨認(rèn)的那一種。因?yàn)槭种刚从醒E、墨跡或其他相似方法留下的指紋。第三種指紋是立體指紋,這類型的指紋是在柔軟的表面比如乳酪、肥皂或油灰面形成的指紋,要取得這樣的指紋就稍微復(fù)雜一點(diǎn)。 

    當(dāng)取得指紋的影像之后,為了加強(qiáng)系統(tǒng)的辨識度,我們可以先將之放大,并對模煳的地方進(jìn)行手工描繪補(bǔ)強(qiáng),接著再縮小為正常尺寸。由于指紋辨識僅是針對紋路的分叉與中斷部分進(jìn)行採樣,所以在較死板的指紋辨識系統(tǒng)上,甚至只要將處理過的指紋影印出來,就可以成功騙過辨識系統(tǒng)了。雖然部分較先進(jìn)的指紋辨識系統(tǒng)會(huì)加入生物辨識能力,偵測人體的電流或者是溫度與濕度,然而這些技術(shù)有其侷限性,如果太過敏感,哪天可能天氣稍微干燥點(diǎn),或是感冒,便有可能造成指紋擁有者本人辨識失敗,因而基本上這些機(jī)制都還有些容忍值存在,也因此給了存心不良人士可乘之機(jī)。 

    雖然以方便性而言,指紋辨識算是目前最高,也是最經(jīng)濟(jì)的安全機(jī)制之一,但是僅依靠指紋來作為控管的手段,其實(shí)風(fēng)險(xiǎn)相當(dāng)高,除了要考慮生物辨識本身所具有的不確定性以外(比如說因?yàn)槭軅沟冒ㄖ讣y、視網(wǎng)膜等生物特徵無法被辨識),且指紋樣本相對而言非常容易被取得的狀況之下,過度信賴指紋并不是件好事。補(bǔ)強(qiáng)指紋辨識功能的技術(shù)就目前來說也還不完美,即使能偵測濕度或生物電流,但還是有方法可以加以破解,且過于復(fù)雜的設(shè)計(jì)也會(huì)對相關(guān)設(shè)備的生產(chǎn)與成本造成負(fù)面的影響。 

雖說噱頭大于實(shí)際,就連隨身碟也開始內(nèi)建指紋辨識功能

圖說:雖說噱頭大于實(shí)際,就連隨身碟也開始內(nèi)建指紋辨識功能

    目前指紋辨識技術(shù)正風(fēng)行,越來越多人依賴此技術(shù)作為取代傳統(tǒng)密碼的認(rèn)證形式,但傳統(tǒng)密碼視其密碼復(fù)雜度,可以輕易被破解,也可以堅(jiān)不可破,然而指紋辨識機(jī)制,其破解復(fù)雜度相對固定,只要具備一定的技術(shù)與知識,便有可能突破現(xiàn)有的指紋辨識機(jī)制。除非指紋擁有者可以百分之百確認(rèn)自己的指紋樣本不會(huì)外流,或者并沒有擁有敏感資料或身份,否則還是至少為自己的指紋辨識系統(tǒng)加上1道可靠的密碼認(rèn)證吧!