「靜脈驗證」比指紋安全?駭客以蠟製假手破解

他們只用了大約一個月,移除相機的紅外線濾鏡讓感光元件能接收紅外線,就能看到皮膚下的靜脈位置及形狀....
評論
Photo Credit: Yuriko Nakao / REUTERS / 達志影像
Photo Credit: Yuriko Nakao / REUTERS / 達志影像
評論

本文來自關鍵評論網

近年不少安全系統及裝置(包括手機)都開始採用生物辨識技術來驗證身份,比起有機會外洩、記錯的密碼,以身體特徵如指紋、虹膜、臉部來解鎖,似乎比較方便和安全。

雖說駭客在正常情況下不能取得你的身體部位來入侵系統,可是系統安全不僅要成功辨認出正確的特徵,更重要的是懂得排除錯誤的嘗試。一般來說,這些認證系統應該頗為有效,不會誤認其他人的指紋、虹膜或臉部(孿生兄弟姊妹、小孩等例外),但如果駭客複製了當事人的身體特徵,系統就未必懂得區分了。

2014 年底的時候,德國安全研究員 Jan Krissler 在駭客組織「混沌電腦俱樂部」(Chaos Computer Club, CCC)的大會上,介紹他如何只用德國國防部長 Ursula von der Leyen 的照片,在未有親身接觸對方的情況下成功取得其指紋。

當時安全專家 Alan Woodward 提到,使用臉部或指紋等「靜態」的生物特徵有其限制,而且可以偽冒。他又指人們開始尋找「動態」的生物特徵,例如以手指靜脈驗證身份,因為當事人必須親身展示驗證。

靜脈驗證系統會掃描用戶手掌靜脈的形狀、大小及位置來確認身份,而且血管在皮膚下,不像指紋、虹膜和臉孔等外在特徵,無法使用相機記錄資訊。據報道,德國的聯邦情報局(BND)在柏林新落實的總部,也是使用靜脈驗證技術。

不過 Jan Krissler 拿在今年的CCC大會上,描述了如何破解靜脈驗證的方法。他跟 Julian Albrecht 用一個簡單方法來拍攝靜脈︰兩人移除了相機的紅外線濾鏡,使相機感光元件能接收紅外線,這就使他們能看到皮膚下的靜脈位置及形狀。Jan Krissle 指在五公尺外拍攝的相片已經足夠,而這可能在記者會上做到。

他們拍下超過2500張手部照片,以改善整個過程及找出能用的相片,然後再用這個圖像製作兩人手部的蠟模型,包含了他們靜脈的細節。Jan Krissle 說︰「當我們首次欺騙到系統時,我對於如此簡單感到有點驚訝。」

兩人向生產靜脈驗證系統的富士通(Fujitsu)及日立(Hitachi)披露研究細節,但基利士拿表示他們有向日立員工報告研究,但富士通未有詳細回覆他們。

Jan Krissle 及 Julian Albrecht 只用了大約一個月來破解靜脈驗證,擁有更多資金、人手的機構,應能夠更有效及大規模複製其破解方法。Jan Krissle 說︰「當一個被稱為高度安全的驗證方式,能夠透過改裝相機、以廉價物料破解,這令人感到不安。」他又指生物辨識技術是軍備競賽,製造商不斷改良其系統,駭客則努力破解。

相關文章︰

資料來源︰



精選熱門好工作

網頁前端工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

PopDaily 視覺設計師–【設計部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$15,000

PopDaily UX使用者體驗設計師–【設計部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$15,000

評論