本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
在網路罪犯可以竊取的所有個人資料中,您的生物識別資訊是最令人不安的。被盜的密碼、信用卡,甚至社會安全號碼都可以更改,以防止身份盜竊和欺詐。然而,指紋卻不能,至少不是永久性的。美國人事管理局 (OPM) 上週宣佈,罪犯竊取了 560 萬份指紋檔案,高於最初報告的 110 萬份,這或許是唯一的希望,因為使用這些生物識別資料進行欺詐或盜竊極其困難。
電影和電視節目經常虛構涉及指紋的身份盜竊情節,例如,從玻璃杯上巧妙地提取指紋並轉移到乳膠手套上。濫用被盜的數字指紋檔案絕非如此簡單,需要破解加密程式碼、逆向工程資料檔案以及其他一些複雜的程式,這些程式可能不值得付出努力。對 OPM 計算機的襲擊——影響了 2150 萬現任、前任和未來的聯邦工作人員——包含了大量的地址、出生日期和其他個人資訊,這些資訊更容易被利用。
安全公司 RSA 的技術高階主管 Kayvan Alikhani 表示,指紋盜竊更可能 是對政府及其僱員的心理打擊。考慮到生物識別資料的高度個人性質,在其他情況下,生物識別資料可以包括 DNA 或虹膜、視網膜或掌紋的模式,“當你能夠說服使用者情況並沒有那麼糟糕時,你的聲譽已經受損了。”
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關當今塑造我們世界的發現和思想的有影響力的故事的未來。
企業和政府機構使用的商業指紋安全系統會建立數字地圖,描繪出每個人指尖獨特的紋路和凹谷。大多數系統透過掃描人手的高解析度影像,並使用軟體演算法將此地圖資料編碼成一個檔案來生成這些地圖,該檔案可用於識別該人。[指紋掃描和編碼過程的簡單圖示可以在這裡找到。] Alikhani 說,配置正確的系統會在使用後刪除影像,並加密包含這些編碼指紋地圖的檔案。
消費者科技版本的指紋讀取器——例如 Apple 的 iPhone Touch ID——有點不同。它們不是拍攝數字影像,而是測量指尖的電流或電容,以捕獲指紋影像。駭客已經證明他們可以擊敗 Touch ID 並侵入 iPhone。但他們是透過費力地複製物理指紋並將其應用到感測器來實現這一點的。iPhone 的數字指紋記錄是加密的,並且專門儲存在手機本身上。Apple 表示,它不會在網路上保留這些檔案的副本。這意味著竊賊需要先訪問 iPhone 才能竊取指紋檔案。
然而,OPM 指紋資料是從該機構的網路和計算機中被盜的,而不是從指紋讀取器本身被盜的。該機構上週發表宣告,向公眾保證,被盜的指紋資料目前對犯罪分子的用處有限,儘管該機構不排除隨著“技術發展”未來會出現問題。Alikhani 認為該宣告意味著資料很可能已被加密。“為了恢復到原始指紋,您必須破解儲存指紋模板時使用的加密技術,”他說。假設犯罪分子擁有處理能力和時間來做到這一點,那麼他或她還需要逆向工程用於編碼指紋資料的演算法。在不太可能發生的情況下,如果犯罪分子在這項計劃上投入如此多的精力,那麼逆向工程資料可以重新組裝成原始指紋影像。
Alikhani 說:“實驗室裡已經有研究工作旨在獲取加密的模板化生物識別資訊並對其進行逆向工程。” 但是這個過程很複雜,需要了解用於建立生物識別配置檔案的技術。即使有人能夠做到這一切,這個人仍然需要建立指紋的物理副本——可能是 3D 列印並粘在乳膠手套上——才能欺騙實際的指紋掃描器,以保護進入特定設施或計算機的入口。這可能奏效,但僅在不太可能的情況下,即沒有其他安全措施到位。
例如,美國海關和邊境保護局的全球入境計劃允許國際旅客透過在自助服務亭掃描護照、面部和指紋來跳過機場移民的漫長隊伍。如果旅客回答了一些問題,並且這些身份識別特徵與已存檔的特徵相匹配,則自助服務亭會列印一張收據,旅客可以在離開機場時向國土安全部官員出示。如果沒有匹配,旅客可以預期會立即與現場警察交談。