「靜脈驗證」較指紋安全?研究員以蠟製假手破解

「靜脈驗證」較指紋安全?研究員以蠟製假手破解
Photo Credit: Yuriko Nakao / REUTERS / 達志影像

我們想讓你知道的是

以手掌靜脈作為身份驗證的技術,本來因為血管難以被外界拍攝而被視作較安全,然而有研究員發現了破解方法。

近年不少安全系統及裝置(包括手機)都開始採用生物辨識技術來驗證身份,比起有機會外洩、記錯的密碼,以身體特徵如指紋、虹膜、臉部來解鎖,似乎比較方便和安全。

雖說黑客在正常情況下不能取得你的身體部位來入侵系統,可是系統安全不僅要成功辨認出正確的特徵,更重要的是懂得排除錯誤的嘗試。一般來說,這些認證系統應該頗為有效,不會誤認其他人的指紋、虹膜或臉部(孿生兄弟姊妹、小孩等例外),但如果黑客複製了當事人的身體特徵,系統就未必懂得區分了。

2014年底的時候,德國安全研究員基利士拿(Jan Krissler)在黑客組織「混沌電腦俱樂部」(Chaos Computer Club, CCC)的大會上,介紹他如何只用德國國防部長范德賴恩(Ursula von der Leyen)的照片,在未有親身接觸對方的情況下成功取得其指紋。

vlcsnap-2018-12-28-18h09m57s754
DW影片截圖

當時安全專家胡特華德(Alan Woodward)提到,使用臉部或指紋等「靜態」的生物特徵有其限制,而且可以偽冒。他又指人們開始尋找「動態」的生物特徵,例如以手指靜脈驗證身份,因為當事人必須親身展示驗證。

靜脈驗證系統會掃描用戶手掌靜脈的形狀、大小及位置來確認身份,而且血管在皮膚下,不像指紋、虹膜和臉孔等外在特徵,無法使用相機記錄資訊。據報道,德國的聯邦情報局(BND)在柏林新落實的總部,也是使用靜脈驗證技術。

不過基利士拿在今年的CCC大會上,描述了如何破解靜脈驗證的方法。他跟阿布雷特(Julian Albrecht)用一個簡單方法來拍攝靜脈︰兩人移除了相機的紅外線濾鏡,使相機感光元件能接收紅外線,這就使他們能看到皮膚下的靜脈位置及形狀。基利士拿指在五米外拍攝的相片已經足夠,而這可能在記者會上做到。

他們拍下超過2500張手部照片,以改善整個過程及找出能用的相片,然後再用這個圖像製作兩人手部的蠟模型,包含了他們靜脈的細節。基利士拿說︰「當我們首次欺騙到系統時,我對於如此簡單感到有點驚訝。」

image-1374255-860_galleryfree-qxhg-13742
Photo Credit: Jan Krissler

兩人向生產靜脈驗證系統的富士通(Fujitsu)及日立(Hitachi)披露研究細節,但基利士拿表示他們有向日立員工報告研究,但富士通未有詳細回覆他們。

基利士拿及阿布雷特只用了大約一個月來破解靜脈驗證,擁有更多資金、人手的機構,應能夠更有效及大規模複製其破解方法。基利士拿說︰「當一個被稱為高度安全的驗證方式,能夠透過改裝相機、以廉價物料破解,這令人感到不安。」他又指生物辨識技術是軍備競賽,製造商不斷改良其系統,黑客則努力破解。

相關文章︰

資料來源︰


猜你喜歡


新創盛會線上回歸,技術、經驗、創投全都包!7月15日AWS Startup Day現正報名中

新創盛會線上回歸,技術、經驗、創投全都包!7月15日AWS Startup Day現正報名中
Photo Credit:AWS

我們想讓你知道的是

AWS Startup Day 即將於 7 月 15 日重磅回歸,此次不只聚焦新創趨勢與數位應用,更聯合 AWS 創投新創媒合會,提供參與者豐富的資源,所有與新創生態系相關的夥伴都不容錯過。

隨著Web3.0去中心化的趨勢開展與現在進行式的產業數位轉型浪潮,雲端技術早已成為許多早期新創發展產品或服務的關鍵金鑰,甚至為其奠定高速發展的穩健根基。而台灣雲端服務供應龍頭 AWS(亞馬遜網路服務公司)更自Web2.0時代開始就從未缺席,始終在技術新知、應用實務等方方面面致力支持新創,其中最具代表性的免費論壇活動──AWS Startup Day也將於今年7月15日重磅回歸,在線上和參與者相會!

今年度AWS Startup Day持續聚焦新創趨勢與數位應用,精心規劃八場新創專題演說,非常適合長期關注新創生態系統的相關人士,或是正要起步、成長的新創夥伴報名參加。

立即報名2022 AWS Startup Day!

五大特色議程安排,給你滿滿新創觀點與技術乾貨

AWS_Startup_Day活動特色02
Photo Credit:AWS

「新創如何運用雲端科技打出一手好牌,投注資源延續未來業務?」這是今年AWS Startup Day欲探討的核心議題之一。為解答雲端科技之於新創企業的珍貴價值,AWS以「國際市場」、「創投趨勢」、「多元創業」、「雲端技術」、「焦點產業」等五大特色精心規劃講座內容,完整收錄新創趨勢脈動、雲端技術實務、佈局策略觀點與創投媒合等新創事業歷程的重要節點。為此,AWS不只力邀Web3.0、電商、串流、B2B解決方案等不同領域的新創合作夥伴,分享選擇AWS開展新創事業的策略考量,更毫不藏私地解析雲端技術如何快速又穩定的開拓事業。

議程02
Photo Credit:AWS

無論新創還是育成,想要洞見機會就不能錯過AWS Startup Day

活動對象
Photo Credit:AWS

任何產業或技術的發展,不單要前人的引領,也需要後繼者無窮盡的創新思維與打破框架的勇氣,缺乏其中一個環節,生態系都無法平衡永續。所以無論是天使創投、孵化器,還是剛起步或處於早期新創的企業,只要你身為新創生態系統中的一份子,渴望尋求創意突破或開展新興業務,AWS Startup Day都是你絕對不能錯過的最佳活動。

填單取得2022 AWS Startup Day 免費入場券!

尋找下一個新創獨角獸──同場加映AWS年度創投新創媒合會

本次AWS Startup Day除新創及創投相關講座外,AWS更直接邀請多家國際及台灣知名創投公司,與AWS Startup Day同場舉辦今年度唯一的線上「新創創投媒合會」,欲透過串聯本地深具潛力的新創與創投,幫助台灣新創企業獲得更豐富的資源,孕育下一個獨角獸。

根據AWS釋出的消息,媒合會將以早期天使輪或Pre-A輪融資為主,重點關注AI/ML工具和平台、智能零售、MarTech、Web3.0、媒體和娛樂等產業,並以快速輪流的形式替新創獲得最大的曝光。

立即報名2022 AWS Startup Day,共構台灣新創生態系統!


猜你喜歡