指纹识别到底有多么不安全?

2016-03-28 08:09:53 +08:00
 NumberFairy
本人的 6s ,闲来无事,偶然中发现,我把四个手指的指纹录到一个指纹解锁里面,经验证发现,我的四个手指都可以成功解锁.......



这么一来,似乎我们认为很是牛掰的指纹解锁,当遇到某些人的指纹和自己的有部分相同时,是不是同样可以解锁成功?或者说稍微通过些特殊手段仿造一段指纹,我们的安全大门,就被轻易打开了?


Oh, my god!
13578 次点击
所在节点    奇思妙想
93 条回复
u
2016-03-28 17:36:53 +08:00
LZ 学一点儿模式识别的原理就不会问这个问题了。
bingliu221
2016-03-28 18:11:38 +08:00
本来一小块的指纹也不怎么可能跟别人的一样了,一个手指,录取多次,是想要你的一个手指的完整指纹,**方便你这个手指各个方向各个姿势都能解锁**,你硬是把四个手指的指纹碎片让 iPhone 认为是一个手指的碎片,这样的话,你解锁的时候,手指贴着 touchID 的位置变化一点(比如你录的是拇指下半部,但你用拇指指尖来解锁),这样应该是解不开的吧。
bingliu221
2016-03-28 18:14:45 +08:00
就好像用相机拍 360 度全景,假设本来是 A1A2A3A4 四个画面刚好可以合成一张全景图,你却用 A1B2C3D4 来让相机合成全景图。那么当你想用 A4 的这个碎片来搜索你之前合成的全景图的时候,你是搜不到 A1B2C3D4 这张奇葩图片的。
Bomok
2016-03-28 18:37:18 +08:00
以后抢劫都可以抄家了,一棒子下去打晕你,拿出你的手机,打开支付宝,指纹解锁转账……
以后绑架也不用等时间了,十个手指头一剁,然后拿着手机跑路……
未来或许还能见到“ XXX 闹事玩手机被歹徒连手一起剁了”之类的新闻……
shyling
2016-03-28 19:10:01 +08:00
@ipconfiger 参考一下 64L
ipconfiger
2016-03-28 19:16:44 +08:00
@shyling 剁手啊?这么暴力的行为, 盗窃多数都不会判刑, 暴力犯罪 10 年起步价, 犯罪成本很高的.
另外, 遇到打劫, 给点钱免灾, 不然伤到性命划不来, 美帝人民这方面经验丰富, 一般都会钱包里放 200 美元, 哪怕到处都用信用卡消费, 就是为了被黑蜀黍打劫的时候保命用.另打劫的有经验的都只要现金, 问你要银行卡密码的, 要刷你支付宝的, 都是脑壳被门夹过的, 这种贼你就把密码给他, 第二天就逮住了, 银行卡支付宝都是有记录的
ShunYea
2016-03-28 19:35:13 +08:00
指纹数据被同步到云端然后泄露怎么办?指纹是唯一的,以后要跟踪这个人很方便了,是不是?
zhjits
2016-03-28 20:36:09 +08:00
“安全”的前提是“正确操作”。
你没有按照正确的使用方法做,然后说它不安全?
soland
2016-03-28 20:50:27 +08:00
@shippo7

指纹相同的概率确实极小,大约 150 亿分之一。果按 10 个指头算, 15 亿人才找一对。

但如果只是指纹片段的话,如果片段足够小,重复率就上来了。

现在的指纹解锁,为了保证成功率和速度,并不是对比整个指纹。

当然,这个安全性还是比 6 位密码要高。
yangqi
2016-03-28 22:12:09 +08:00
楼主想多了,你以为你玩个小把戏就能把指纹给破了?自作聪明

http://www.scientificamerican.com/article/are-ones-fingerprints-sim/
NumberFairy
2016-03-28 22:23:06 +08:00
@soland

说的很有道理,我推测是这样的,为了提高解锁速度,在验证指纹的时候只是比对了一小段指纹片段,所以才出现了这个问题
NumberFairy
2016-03-28 22:26:09 +08:00
@yangqi

^_^^_^^_^^_^^_^

想多了,意外发现罢了,这只能说明在验证指纹的时候比对的是一个小片段罢了。

但又说回来,要是每次解锁都要验证整个指纹,岂不是更耽误事

^_^^_^^_^^_^
NumberFairy
2016-03-28 22:27:42 +08:00
@ShunYea

这个还不清楚,我们的指纹数据在云上有备份?
mintist
2016-03-28 22:40:23 +08:00
@NumberFairy 都是保存在本地的一块特殊的硬件块的,如 ARM 的 Trust Zone ,然后 Android 里有第三方叫做 TEE 或者 Q-SEE 的操作系统来接管指纹数据从 SPI 读取到存储到匹配的整个生命周期, Android 或者 Linux 都是接触不到的。
当然,苹果也有自己的一套机制来保证应用是拿不到指纹数据的,只会开放很小的一部分 API 给到开发者。
shippo7
2016-03-28 23:01:46 +08:00
@soland

就算世界某个角落有与你完全相同指纹片段的人存在,也没有渠道知道是谁,所以这种风险可以被忽略。捡到我手机并且恰好指纹片段和我一样的几率就更小了。概率甚至小于我设置一个复杂密码,捡到我手机的人恰好随手输入了相同复杂密码的概率。

密码可以猜解,可以暴力破解,但是指纹无法暴力破解。唯一的办法是获取你的指纹然后复制,但是犯罪成本太高,超出了个人用户所需要的安全级别。
crazylinus
2016-03-28 23:13:11 +08:00
我做过指纹锁的项目,目前指纹模块一个最重要的参数就是识假率,这个是有国家标准的,好像是百分之 0.001 ,也就是十万分之一的概率。指纹头现在主要有两类,光学头和半导体头,前者很容易被倒模,淘宝几块钱那种指纹套一般就是针对光学头的,半导体头的倒模难度要大得多,但也并非不能做出来。虽然有被倒模风险,但我认为不能因此就说它不安全,因为你手指被别人偷偷倒模,和你大门钥匙被别人偷了然后重新配一把是一个道理。
actuallymax
2016-03-28 23:28:19 +08:00
你觉得指纹重复的概率和密码重复的概率哪个大, 月经贴
soland
2016-03-29 00:44:48 +08:00
@shippo7

风险不是“捡到我手机并且恰好指纹片段和我一样”,而是捡到偷到的手机表面几乎必然留有指纹(不完整但足以解锁)

当然倒模的成本很高,但在现在手机绑定信用卡等情况下,很难说犯罪成本高到了超出收益。


@crazylinus

十万分之一就 5 位数字密码的程度啊?
Halry
2016-03-29 08:53:31 +08:00
@mcone 不是的,你按下后就已经获取了一个完整的指纹,不然怎么会识别那么快
我说的仅测试在 fpc1020 电容式指纹感应器和 authentec 的刮擦拭指纹感应器和 synapticz 刮擦拭指纹感应器
Halry
2016-03-29 08:57:23 +08:00
@AndyCrz android 旧版本支持眨眼解锁,识别率比较低(可能眼小),不知道为什么新版的取消了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266753

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX