编者按:以下文章经许可转载自The Conversation,这是一个报道最新研究的在线出版物。
我们已经习惯了每次苹果发布新产品时都会带来颠覆性的变化,果然,作为 iPhone 5s 一部分推出的指纹传感器似乎是手机安全领域的一场革命。
但是,几乎在这项技术宣布后,粉丝和反对者就开始尝试破解指纹系统。果然,德国的一个团体现在声称已经成功破解,就在新款 iPhone 上市几天后。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和思想的有影响力的故事的未来。
从苹果的首次声明开始,评论就表明伪造指纹可能是一个问题。看起来德国混沌计算机俱乐部已经实现了对 Touch ID 传感器的安全漏洞。该组织声称仅使用留在玻璃上的指纹就创建了一个假手指。它表示,这次破解证明指纹技术不是控制手机访问权限的合适方法。
该俱乐部的技术可能没有像松本的传奇软糖熊攻击那样简单和低技术含量,但它看起来仍然相对容易。CCC 的声明与苹果公司声称该技术使用“皮下”扫描(可以区分活体手指和假手指)之间似乎也存在矛盾,但 CCC 的声明仍然是可信的。
苹果公司提供指纹锁定的根本动机是好的:人们经常懒得锁定手机,基于密码的安全性让用户感到厌烦,并且越来越容易受到暴力破解的攻击。
毫无疑问,多因素身份验证是未来趋势。这涉及双重保护,既使用您知道的东西(如密码),也使用您拥有的东西(如手机)或您的身份特征。最后一类在很大程度上依赖于生物识别技术研究的悠久历史,记录声音、眼睛、书写和指纹的特征。
与任何生物识别技术一样,指纹传感器必须具有高度的精确度。这决定了“假阴性”(未能识别某人)和“假阳性”(识别错误的人)之间折衷的质量。对于个人消费者而言,前者是一个令人沮丧的可用性问题——后者是一个不太明显的安全问题。
据说 iPhone 的 Touch ID 功能中的技术非常先进。凭借公司获得的利润以及它可以投入研发的资金,苹果很可能在指纹传感器精度方面取得了突破。
新款手机的宣传视频显示,人们意识到与丢失指纹数据相关的潜在安全问题。它很快宣布,该信息只会以加密形式存储,并且只存储在手机芯片本身的安全区域中。
到目前为止,关于 NSA 能够监视消费者到何种程度的揭露实际上并没有表明苹果公司已向 NSA 完全开放其 iPhone 的访问权限,因此我们在使用 iPhone 时可能仍然是安全的。苹果公司意识到安全问题是其客户目前最关心的问题,因此承诺不允许第三方应用程序访问 Touch ID。这表明它已经从之前粗心泄露位置和联系信息而引发的隐私问题中吸取了教训。但是,它确实限制了潜在的改进身份验证设施的引入。
CCC 的破解不一定是人们放弃全新 iPhone 的理由——与其他发现的问题(例如绕过锁屏的方法)相比,情况并没有更糟。新的安全功能肯定比使用密码更方便用户。在目前不使用任何手机安全措施的 50% 的人中,有些人可能会开始使用,这是一个进步。对于 iStore 购买等关键操作,苹果客户仍然会在指纹之外使用密码,因此至少在安全方面没有降低。
从长远来看,毫无疑问,仅靠密码将成为过去。在可用且安全的多因素身份验证方面的突破将非常受欢迎。事实证明,Apple Touch ID 并非如此。
Eerke Boiten 接受 EPSRC 对密码学和形式化方法 CryptoForma 卓越网络的资助。
本文最初发表于 The Conversation。阅读原文。