指纹很容易被窃取,用它当密码合适吗?

《大西洋月刊》近日发表文章,称指纹识别、面部识别等身份验证方式仍然容易被黑客攻破。如果黑客学会了如何模仿人类身体的独特特征,科学家可能就会改用脑电波和基因组的方式来验证用户身份了。以下为原文内容:

如何向一台计算机证明你的身份?

你可以使用密码,这是你和计算机之间共享的秘密。但密码容易成为网络钓鱼、黑客入侵等不法行为的猎物,有人要冒充你似乎并不太困难。

如今,你常常需要使用比密码更难以模仿的东西来验证身份——例如用指纹登录智能手机、笔记本电脑和银行帐户。像其他生物特征数据一样,你的指纹是独一无二的,所以当你的拇指按上识别模块时,计算机就会知道你是谁。

你的拇指不太可能像密码那样“泄露”,但这并不意味着用它来验证身份就可以高枕无忧。 2014年,一些黑客入侵了美国政府部门的计算机系统,获取了2200万美国人的敏感个人资料,其中包括560万人的指纹。

这些数据似乎并没有出现在黑市上,但是如果它被卖掉或泄漏出去,黑客要用它来对付受害者也会很容易。去年,密歇根州立大学的一些研究人员使用喷墨打印机和特殊纸张,将高质量的指纹扫描图片制作成了3D指纹,足以骗过智能手机的指纹读取器——而他们使用的设备价格还不到500美元。

根本问题:无法重置

另外一些网络攻击者则使用了其他方式来收集人们的指纹。如果你在拍摄照片的时候比划某些手势,然后在社交媒体上分享这些照片,就可能会面临风险——东京国立信息学研究所的研究人员可以从九英尺外拍摄的手势照片中重建用户的指纹。

面部数据也容易受到黑客的攻击。乔治城大学的一项研究发现,警方的面部识别数据库涵盖了全美国至少有50%的人,有些是驾驶执照,有些是登记照。但黑客并不一定需要入侵某个数据库来收集脸部照片——照片可以从Facebook或Google Images上获取,甚至可以直接在街上拍摄。

而且黑客利用这些数据也不困难:去年,北卡罗来纳大学的研究人员使用一个Facebook用户在该平台上发布的照片构建了一个头像3D模型,创造出一个栩栩如生的动画。在他们测试的五个面部识别工具中,有四个都被这个动画骗过。

生物识别的根本问题在于它们不能重置。如果你的一个指纹被泄露了,那你还有另外几个手指的指纹当备份。但如果十个指纹全部被泄露了(一些执法数据库就包含了所有十个手指的图像),你是没有办法重置它的。视网膜扫描识别以及脸部识别也是这样。密码泄露了还可以修改,但这些东西是无法改变的,唯一的办法可能就是割伤手指,或者去做整容手术。

“如果边境巡逻队、你的银行和你的手机都在收集你的指纹数据,然后有一个黑客知道怎么利用这些信息,你基本上就无法再用指纹来验证身份了,”加州大学伯克利分校长期网络安全中心的总监库伯(Betsy Cooper)说。

此外,指纹和脸型作为生物特征识别最广泛使用的两种形式,随着时间的推移,它们都保持着相当稳定的特性。密歇根州生物识别研究小组开展了一项自动面部识别系统研究,调查了1.8万名罪犯的近15万张大头照,第一张照片和最后一张照片之间相隔至少5年。研究人员发现,当把罪犯的照片与10年前拍摄的照片相匹配时,现成的软件包仍可达到98%的准确率。甚至有一个研究领域,是在研究面部软件如何在整形手术前后识别出同一张脸来。

密歇根州州立实验室也发现,随着时间的推移,指纹图谱也会保持很高的稳定性。这项研究检查了五年时间中密歇根州警察局逮捕的1.5万人的指纹数据库。结果表明,对于12年前留下的指纹,匹配起来精度也接近100%。在另一项实验中,该团队发现,儿童的指纹大约在1岁的时候就开始变得稳定,至少在一年后仍然可以识别出来。(并非所有生物特征都会保持不变:怀孕可以改变女性视网膜的血管形态,让视网膜扫描仪无法识别。)

可变的生物识别技术

显然,指纹、虹膜和脸部形状识别都存在着安全隐患,为了解决这个问题,一些人开始研究可变的生物识别技术。

2013年,伯克利分校的研究人员提出了一个名为“passthoughts”(通关想法)的系统。这项技术把三个因素结合了起来:你知道的东西(一个想法)、你是谁(你的大脑模式)和你拥有的东西(用于测量脑电波的EEG传感器)。要用它来验证身份,你需要在佩戴感应器的时候想你的密钥。密钥可以是一首歌、一个短语,或者一个心理形象。想法本身是不会被传输的——传输的只是你的大脑在想它的时候所产生的电信号的数学表示。

就算别人知道你想的是什么,他们也不能模仿你的“passthoughts”,因为每个人对同一个东西的想法是不同的。黑客可能会通过使用网络钓鱼方案来攻击这种系统:欺骗你进行思考来获取你的脑波输出,然后重播它来进行身份验证。但你可以改变“passthoughts”,对它进行重置。

有了利用脑电波或遗传学的可变生物识别技术,即使在你的指纹已经完全泄露,你也有办法来证明自己的身份。

本文转自d1net(转载)

时间: 2024-12-21 02:54:05

指纹很容易被窃取,用它当密码合适吗?的相关文章

指纹很安全?发个红包就把你打回原形

永恒之蓝勒索病毒之后,手机的安全问题也值得我们再次重视一下了. 永恒之蓝勒索病毒在本周的肆虐,让PC的安全问题再次被我们重视起来,同时也让不少老网虫,再次重温了曾经被CIH.冲击波.震荡波.熊猫烧香所支配的恐惧. 勒索病毒不单单对于个人用户,甚至众多公共部门也中招了,不少部门由于病毒肆虐,不得不大门紧闭停止一切业务专心杀毒. 甚至连中石油也中招了,加油自助服务终端上看到如此画面的话,这油也别加了,老老实实掏现金吧. 当然很多地方的结账也出了问题,便捷的手机支付没法用,刷卡也不行,最终还是要回归到

趋势科技杀毒软件被曝严重漏洞,黑客能够窃取你的所有密码

如果你电脑上安装了趋势科技(Trend Micro)的杀毒软件,那么此时你需要当心啦.因为你的电脑可能会被远程劫持,甚至通过一个网站就能感染任何恶意软件,这都是因为存在于趋势科技安全软件中的一个严重漏洞. 趋势科技杀软曝严重漏洞 著名杀毒软件制造商兼安全公司趋势科技发布了一个紧急补丁,以此来修复其杀毒软件产品中存在的几个严重漏洞,这些漏洞允许黑客远程执行任意命令,并可以窃取用户使用其杀毒软件中内置的密码管理器所保存的密码. 这个密码管理工具是与其主要的杀毒软件绑定在一起的,用于存储用户密码,工作

用asp来做免费邮箱的访问。其实道理很简单,就是把用户名、密码传到免费邮件服务器上

您在访问网站时是否会在有些页面上见到这种功能---您在可以访问此网站的同时,还可以查看您免费邮箱中是否有新邮件.这个功能是不是让您觉得很心动.很神秘呢?下面,我就用ASP来举个例子让您知道是如何实现这一功能的. 首先你可以去一些提供免费邮件服务的站点,申请一个账号然后登录.在打开邮箱时,请您注意地址栏中的内容.现在以371为例,你会发现其内容通常是: http://www.371.net/prog/login?user=fighter&pass=mypassword.其中"fighter

网上卖车很简单酷车网帮您找到合适的买家

春节刚刚结束,二手车经销商又在为新一年的业绩马不停蹄地做准备.可是,眼下二手车生意是愈来愈难做,尤其高档二手车价格高,配件贵,加上高档车多半给人"油老虎"的印象,促使高档二手车面临着高不成低不就的尴尬处境.如果经销商没有在适当的时机找到适当的出手渠道,很可能一款车会囤上好几个月还没出手.为了帮助经销商快速卖车,酷车网(http://www.kuche.com/)车商易为广大经销商提供一个免费.贴心的卖车平台.在这里经销商可以不费吹灰之力便可以轻松找到合适的买家.据悉,不少生活信息网站及

大侠们很急!C#如何实现记住密码和自动登录

问题描述 我在做一个登录界面不是ASP.NET网站是C#我的思路还是清楚的是用数据库来实现用户名和密码的存储.可是具体如何实现记住密码和自动登录就不懂了,最好有个例子能够让我看下,本人刚学C#不久还算菜鸟请大侠们指教.因为本人学的不多不想用放入INI文件或者XML文件里来实现就想在数据库里实现记住密码和自动登录摆脱各位了 解决方案 解决方案二:用cookie啊..记录登录状态和失效时间.解决方案三:如果选择了记住密码..写入一个cookies到本地....比如名为:XXX存入用户名,密码...进

可穿戴设备上的运动数据可被用来窃取PIN码和密码

据外媒报道,近日美国宾汉姆顿大学及斯蒂文斯理工学院的研究人员在一篇称为<Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN>的论文中指出,他们开发出的一种算法能够通过智能手表或健身追踪器等可穿戴设备收集的运动数据准确地猜测出PIN码和密码. 宾汉姆顿大学托马斯·沃森工程与应用科学学院的助理教授兼这项研究的共同作者Yan Wang表示:"攻击者能够通过'再现'可穿戴设备穿戴者手部运动轨迹,来恢复其在ATM取款机.

超越指纹识别:击掌解锁

尽管手势识别解锁方法已由谷歌安卓系统沿用多年,但是研究室最近研发出更加复杂的版本.纳赛尔·门莫,是一位来自位于布鲁克林的纽约大学理工学院的计算机科学家.他正开发应用于触摸屏幕的程序,这些程序不仅能识别不相关联的手势,如5个手指同时按压屏幕,或者类似于开组合锁的动作,而且还有操作这些手势的人."因为每个人的掌形都不一样,系统捕捉的触摸痕迹也因人而异."门莫说道:"一部分原因是缘于人们固有的特征,另外就是这个秘密是你自己设置的--就像密码一样.但是即使有人知道你的解锁手势,解起锁

细思极恐!带指纹解锁的手机更安全吗?

    FBI 终于破解了犯罪分子的手机. 其实在这件事情中,有一个非常关键的因素.那就是,犯罪分子使用的手机是 iPhone 5c,并不配备指纹解锁功能. 在枪击案中,犯罪分子被当场击毙.所以他的手机密码就只能通过昂贵的方式来破解.很多人唏嘘,只要犯罪分子再买高级一点的手机,例如 iPhone 5s(冷知识:犯罪分子这部手机是其工作单位配发的),那么事情就会简单得多.因为虽然犯罪分子被击毙,但是可以通过很多方法提取到他的指纹,从而用指纹解锁这部 iPhone. 至于解锁的方法, 雷锋网曾经报道

跨浏览器指纹追踪技术:毫无障碍的查看你的浏览记录

本文讲的是跨浏览器指纹追踪技术:毫无障碍的查看你的浏览记录, 跨浏览器指纹追踪系统框架图 使用浏览器上网,已经成为现代人生活中不可或缺的一部分.而浏览器中的插件,字体,UA头文件,位置设置,时区设置,防追踪选项是否打开,是否开启了广告拦截等可以标识用户的信息,我们称之为浏览器指纹.电子前沿基金会(EFF)的Panopticlick工具可以查看浏览器的指纹,在一项调查中发现在77691个浏览器中才会有与调查中使用的浏览器相同的指纹. 指纹追踪技术并不总是为广告商提供了投放定制广告的机会,有时也会给