没有两个人被认为具有相同指纹,但是纽约大学Tandon工程学院和密歇根州立大学工程学院的研究人员发现,指纹之间的部分相似性是足够普遍的,因此用于手机和其它电子设备的基于指纹的安全系统可能比以前想象的更容易受到攻击。

该漏洞在于:基于指纹的认证系统以不捕获用户完整指纹的小型传感器为特征。实际情况是,它们扫描和存储部分指纹,许多手机允许用户在他们的身份验证系统中注册几个不同手指的部分指纹。

当用户的指纹与任何一个已保存的部分指纹匹配时,身份就被确认。研究人员假设,不同人的部分指纹之间可能存在足够的相似之处,可以创造出“MasterPrint(通配指纹)”。

纽约大学Tandon计算机科学与工程教授兼该研究小组组长Nasir Memon解释说,MasterPrint概念与一个黑客试图使用一个常用密码(例如1234)来破解基于PIN的系统部分相似。“有4%的机会,密码1234能蒙对——就只是猜测来说,这是个相对高的概率。”

研究小组着手验证是否可以找到能揭示类似漏洞的MasterPrint。实际上,他们发现人类指纹图谱中的某些属性足够普遍足以引起安全性问题。

Memon及其同事、纽约大学Tandon学院的博士后研究人员Aditi Roy和密歇根州立大学计算机科学与工程教授Arun Ross,使用8,200份部分指纹进行了分析。使用商业指纹验证软件,他们发现平均每随机抽取的800个部分指纹内就有92个可能的MasterPrint(他们将MasterPrint定义为:随机抽样批次中至少匹配该批次4%指纹的一种指纹。)

然而,他们发现,在800个完整的指纹中,只有一个全指纹MasterPrint。Memon说:“毫不奇怪,虚假匹配部分指纹的几率要远大于全指纹,大多数设备仅依靠部分指纹进行识别。”

该团队分析了采集自真实指纹图像中的MasterPrint的属性,然后构建了一种创建合成部分MasterPrint的算法。实验表明,合成部分指纹具有更广泛的匹配潜力,使得它们比实际部分指纹更可能愚弄生物识别安全系统。

凭借其数字模拟的MasterPrint,该团队报告成功匹配了26%至65%的用户,具体数值取决于每个用户存储的部分指纹数,并假定每次身份验证最多试五回。给定智能手机为每个用户存储的部分指纹越多,其基于指纹的身份认证系统就越脆弱。

Roy强调,他们的工作是在一个模拟的环境中完成。然而,她指出,创建合成指纹及将数字MasterPrint转印到物理构件(artifact)以欺骗设备的技术的改进,将引发严重的安全关切。

MasterPrint的高匹配能力对设计可信赖的基于指纹的认证系统提出了挑战,并强化了对多因素认证方案的需求。她说这项工作可能会为未来的设计提供思路。

“随着指纹传感器的尺寸越来越小,传感器的分辨率必须大大提高,才能捕获额外的指纹特征。”Ross指出,“如果分辨率没有提升,用户指纹的独特性将不可避免地被打折,本研究中进行的实证分析显然坐实了这一点。”

Memon指出,团队研究的结果是基于特征点(minutiae-based)匹配,任何特定供应商可能使用也可能不使用该算法。然而,只要解锁设备基于部分指纹,并且存储每个手指的多个部分指纹,则找到MasterPrint的可能性就显著增加,他说。

国家科学基金会(NSF)计算和通信基金会项目主管Nina Amla表示:“NSF对网络安全研究的投资构建了保护我们网络空间所需的基础知识库。像NSF资助的其它帮助识别日常技术(例如汽车或医疗设备)的漏洞的研究一样,探究基于指纹的认证系统的漏洞昭示着其安全性将不断提升,确保为用户提供更加可靠的保护。”