編者按:以下文章經許可轉載自The Conversation,這是一個報道最新研究的線上出版物。
我們已經習慣了每次蘋果釋出新產品時都會帶來顛覆性的變化,果然,作為 iPhone 5s 一部分推出的指紋感測器似乎是手機安全領域的一場革命。
但是,幾乎在這項技術宣佈後,粉絲和反對者就開始嘗試破解指紋系統。果然,德國的一個團體現在聲稱已經成功破解,就在新款 iPhone 上市幾天後。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和思想的有影響力的故事的未來。
從蘋果的首次宣告開始,評論就表明偽造指紋可能是一個問題。看起來德國混沌計算機俱樂部已經實現了對 Touch ID 感測器的安全漏洞。該組織聲稱僅使用留在玻璃上的指紋就建立了一個假手指。它表示,這次破解證明指紋技術不是控制手機訪問許可權的合適方法。
該俱樂部的技術可能沒有像松本的傳奇軟糖熊攻擊那樣簡單和低技術含量,但它看起來仍然相對容易。CCC 的宣告與蘋果公司聲稱該技術使用“皮下”掃描(可以區分活體手指和假手指)之間似乎也存在矛盾,但 CCC 的宣告仍然是可信的。
蘋果公司提供指紋鎖定的根本動機是好的:人們經常懶得鎖定手機,基於密碼的安全性讓使用者感到厭煩,並且越來越容易受到暴力破解的攻擊。
毫無疑問,多因素身份驗證是未來趨勢。這涉及雙重保護,既使用您知道的東西(如密碼),也使用您擁有的東西(如手機)或您的身份特徵。最後一類在很大程度上依賴於生物識別技術研究的悠久歷史,記錄聲音、眼睛、書寫和指紋的特徵。
與任何生物識別技術一樣,指紋感測器必須具有高度的精確度。這決定了“假陰性”(未能識別某人)和“假陽性”(識別錯誤的人)之間折衷的質量。對於個人消費者而言,前者是一個令人沮喪的可用性問題——後者是一個不太明顯的安全問題。
據說 iPhone 的 Touch ID 功能中的技術非常先進。憑藉公司獲得的利潤以及它可以投入研發的資金,蘋果很可能在指紋感測器精度方面取得了突破。
新款手機的宣傳影片顯示,人們意識到與丟失指紋資料相關的潛在安全問題。它很快宣佈,該資訊只會以加密形式儲存,並且只儲存在手機晶片本身的安全區域中。
到目前為止,關於 NSA 能夠監視消費者到何種程度的揭露實際上並沒有表明蘋果公司已向 NSA 完全開放其 iPhone 的訪問許可權,因此我們在使用 iPhone 時可能仍然是安全的。蘋果公司意識到安全問題是其客戶目前最關心的問題,因此承諾不允許第三方應用程式訪問 Touch ID。這表明它已經從之前粗心洩露位置和聯絡資訊而引發的隱私問題中吸取了教訓。但是,它確實限制了潛在的改進身份驗證設施的引入。
CCC 的破解不一定是人們放棄全新 iPhone 的理由——與其他發現的問題(例如繞過鎖屏的方法)相比,情況並沒有更糟。新的安全功能肯定比使用密碼更方便使用者。在目前不使用任何手機安全措施的 50% 的人中,有些人可能會開始使用,這是一個進步。對於 iStore 購買等關鍵操作,蘋果客戶仍然會在指紋之外使用密碼,因此至少在安全方面沒有降低。
從長遠來看,毫無疑問,僅靠密碼將成為過去。在可用且安全的多因素身份驗證方面的突破將非常受歡迎。事實證明,Apple Touch ID 並非如此。
Eerke Boiten 接受 EPSRC 對密碼學和形式化方法 CryptoForma 卓越網路的資助。
本文最初發表於 The Conversation。閱讀原文。