指纹识别技术大破解 过度依赖反将造成安全隐忧
图说:指纹辨识门禁系统
指纹识别是生物识别系统中的显学之一,由于技术门槛较低,目前被普遍应用在各种资讯产品中。指纹识别是生物识别(Biometrics)的一环。生物识别系指针对人类独有生理特徵进行辨识,确认其真实身份。目前指纹识别技术是目前应用较为广泛的生物识别技术,识别原理是透过指纹机採集指纹的影像,然后利用识别软体抽取、比对指纹的特徵资讯,以确定指纹所有人的身份。其他的生物识别技术还包括了脸部、虹膜识别、静脉识别等技术。
指纹识别为了求得最高的识别效率,在演算法方面格外重要。从技术发展上来看,人类远自17世纪就了解到每人的指纹几乎都是独一无二的,相似的机率低于十亿分之一。而指纹识别应用在犯罪证据收集上,更是早在19世纪就被採用了。
图说:高阶的商务型笔记型电脑通常也会加入指纹辨识功能
指纹识别技术是将个人指纹先行採样,并记录其中重要的特徵。再利用特徵比对达到辨识的目的。在採样的技术方面主要可分为3种,分别是利用光学、电容以及超音波等技术。光学採样利用CCD摄取指纹样本,其品质是目前最受肯定的,但是相对却较昂贵,而且容易受环境,例如污垢、尘土或油污等影响,而造成取样误差大。电容採样则是利用电容侦测指纹所产生的电磁场而取得指纹样本,较不易受到污垢等环境因素影响。利用超音波技术则能得到非常精确的指纹样本,但是目前技术仍未广泛被使用。
指纹特徵辨识的样本并不是记录完整的指纹影像,而是仅从中选取重要特徵并记录,因此每一个人的指纹样本档案将只有250 bytes到1K bytes。而指纹特徵辨识由于独一性非常高,因此适用于拥有广大客户群的应用,例如公司职员、客户管理等等。
图说:指纹的取样方式
因为指纹辨识仅是在手指头纹路中取出样本,并储存进资料库作为身份识别之用,当使用者下次要登入系统或门禁时,藉由手指头辨识并与已储存的样本进行,以取得系统权限或者是得以通过门禁系统。然而此样本辨识系统一般来说并无法做到太复杂的侦测动作,只要是符合资料库指纹特徵的物件,即使该特徵的拥有者不一定是本人,理论上都可以畅通无阻的通过指纹辨识系统。
为什么指纹辨识如此不安全?这要从其取样编码的技术来看,一般的使用状况下,扫描器会将指纹处理成1个数位灰阶影像。软体通常会记录指纹上10~40个特徵点进行取样,然后计算主要特徵点之间的距离和角度,定义出1个「模板」。再利用演算法将这些几何关系转换成1组独特的数字,并以之用来识别指纹,进而识别个人。一旦将模板登录在记忆体内,软体就会消除实际的指纹取样资料,只留下经过计算之后的识别码,以避免遭人复制或盗用。日后,这个人将手指放到扫描器上的时候,系统只会再次计算他的模板,然后与原先储存的模板进行比对,判断两者是否符合。
但问题来了,由于指纹取样主要只是在特定纹路部分进行抽样,并佐以演算法,将之转换储存为特徵码,换言之,只要能够取得具有该系统权限的使用者的指纹,基本上便能够通行无碍。取得指纹的方式有很多,而我们就从人体常见留下指纹的型态来看,可以将指纹的印记分为基本的3类:汗潜指纹、可见指纹和立体指纹。
在一般犯罪鑑识方面,最常见的是汗潜指纹,眼睛一般看不出来。它们是由汗液或油脂形成,或者来自于手指,或者是因为手指与脸部、手指和身体有皮脂腺的地方无意识地接触而形成。即使将手彻底地清洁,如果不自觉的将手放到脸上或头髮上,他还是很可能在他所接触的地方留下汗潜指纹,特别是容易在玻璃表面或光滑的木头上留下指纹。
撷取汗潜指纹的方法很多,最普通的方法是用灰粉或黑粉。不过在渗透性的材质上所留下的指纹,如纸张、厚硬纸板,较难提取,最好用碘燻法,碘可以和汗液中的油脂反应,或者也使用本三酮来和汗液中的氨基酸进行反应。第二种类型的指纹是最易辨认的那一种。因为手指沾有血迹、墨迹或其他相似方法留下的指纹。第三种指纹是立体指纹,这类型的指纹是在柔软的表面比如乳酪、肥皂或油灰面形成的指纹,要取得这样的指纹就稍微复杂一点。
当取得指纹的影像之后,为了加强系统的辨识度,我们可以先将之放大,并对模煳的地方进行手工描绘补强,接着再缩小为正常尺寸。由于指纹辨识仅是针对纹路的分叉与中断部分进行採样,所以在较死板的指纹辨识系统上,甚至只要将处理过的指纹影印出来,就可以成功骗过辨识系统了。虽然部分较先进的指纹辨识系统会加入生物辨识能力,侦测人体的电流或者是温度与湿度,然而这些技术有其侷限性,如果太过敏感,哪天可能天气稍微干燥点,或是感冒,便有可能造成指纹拥有者本人辨识失败,因而基本上这些机制都还有些容忍值存在,也因此给了存心不良人士可乘之机。
虽然以方便性而言,指纹辨识算是目前最高,也是最经济的安全机制之一,但是仅依靠指纹来作为控管的手段,其实风险相当高,除了要考虑生物辨识本身所具有的不确定性以外(比如说因为受伤而使得包括指纹、视网膜等生物特徵无法被辨识),且指纹样本相对而言非常容易被取得的状况之下,过度信赖指纹并不是件好事。补强指纹辨识功能的技术就目前来说也还不完美,即使能侦测湿度或生物电流,但还是有方法可以加以破解,且过于复杂的设计也会对相关设备的生产与成本造成负面的影响。
图说:虽说噱头大于实际,就连随身碟也开始内建指纹辨识功能
目前指纹辨识技术正风行,越来越多人依赖此技术作为取代传统密码的认证形式,但传统密码视其密码复杂度,可以轻易被破解,也可以坚不可破,然而指纹辨识机制,其破解复杂度相对固定,只要具备一定的技术与知识,便有可能突破现有的指纹辨识机制。除非指纹拥有者可以百分之百确认自己的指纹样本不会外流,或者并没有拥有敏感资料或身份,否则还是至少为自己的指纹辨识系统加上1道可靠的密码认证吧!