「靜脈驗證」較指紋安全?研究員以蠟製假手破解

「靜脈驗證」較指紋安全?研究員以蠟製假手破解
Photo Credit: Yuriko Nakao / REUTERS / 達志影像
我們想讓你知道的是

以手掌靜脈作為身份驗證的技術,本來因為血管難以被外界拍攝而被視作較安全,然而有研究員發現了破解方法。

唸給你聽
powered by Cyberon

近年不少安全系統及裝置(包括手機)都開始採用生物辨識技術來驗證身份,比起有機會外洩、記錯的密碼,以身體特徵如指紋、虹膜、臉部來解鎖,似乎比較方便和安全。

雖說黑客在正常情況下不能取得你的身體部位來入侵系統,可是系統安全不僅要成功辨認出正確的特徵,更重要的是懂得排除錯誤的嘗試。一般來說,這些認證系統應該頗為有效,不會誤認其他人的指紋、虹膜或臉部(孿生兄弟姊妹、小孩等例外),但如果黑客複製了當事人的身體特徵,系統就未必懂得區分了。

2014年底的時候,德國安全研究員基利士拿(Jan Krissler)在黑客組織「混沌電腦俱樂部」(Chaos Computer Club, CCC)的大會上,介紹他如何只用德國國防部長范德賴恩(Ursula von der Leyen)的照片,在未有親身接觸對方的情況下成功取得其指紋。

vlcsnap-2018-12-28-18h09m57s754
DW影片截圖

當時安全專家胡特華德(Alan Woodward)提到,使用臉部或指紋等「靜態」的生物特徵有其限制,而且可以偽冒。他又指人們開始尋找「動態」的生物特徵,例如以手指靜脈驗證身份,因為當事人必須親身展示驗證。

靜脈驗證系統會掃描用戶手掌靜脈的形狀、大小及位置來確認身份,而且血管在皮膚下,不像指紋、虹膜和臉孔等外在特徵,無法使用相機記錄資訊。據報道,德國的聯邦情報局(BND)在柏林新落實的總部,也是使用靜脈驗證技術。

不過基利士拿在今年的CCC大會上,描述了如何破解靜脈驗證的方法。他跟阿布雷特(Julian Albrecht)用一個簡單方法來拍攝靜脈︰兩人移除了相機的紅外線濾鏡,使相機感光元件能接收紅外線,這就使他們能看到皮膚下的靜脈位置及形狀。基利士拿指在五米外拍攝的相片已經足夠,而這可能在記者會上做到。

他們拍下超過2500張手部照片,以改善整個過程及找出能用的相片,然後再用這個圖像製作兩人手部的蠟模型,包含了他們靜脈的細節。基利士拿說︰「當我們首次欺騙到系統時,我對於如此簡單感到有點驚訝。」

image-1374255-860_galleryfree-qxhg-13742
Photo Credit: Jan Krissler

兩人向生產靜脈驗證系統的富士通(Fujitsu)及日立(Hitachi)披露研究細節,但基利士拿表示他們有向日立員工報告研究,但富士通未有詳細回覆他們。

基利士拿及阿布雷特只用了大約一個月來破解靜脈驗證,擁有更多資金、人手的機構,應能夠更有效及大規模複製其破解方法。基利士拿說︰「當一個被稱為高度安全的驗證方式,能夠透過改裝相機、以廉價物料破解,這令人感到不安。」他又指生物辨識技術是軍備競賽,製造商不斷改良其系統,黑客則努力破解。

相關文章︰

資料來源︰