本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
在网络罪犯可以窃取的所有个人数据中,您的生物识别信息是最令人不安的。被盗的密码、信用卡,甚至社会安全号码都可以更改,以防止身份盗窃和欺诈。然而,指纹却不能,至少不是永久性的。美国人事管理局 (OPM) 上周宣布,罪犯窃取了 560 万份指纹文件,高于最初报告的 110 万份,这或许是唯一的希望,因为使用这些生物识别数据进行欺诈或盗窃极其困难。
电影和电视节目经常虚构涉及指纹的身份盗窃情节,例如,从玻璃杯上巧妙地提取指纹并转移到乳胶手套上。滥用被盗的数字指纹文件绝非如此简单,需要破解加密代码、逆向工程数据文件以及其他一些复杂的程序,这些程序可能不值得付出努力。对 OPM 计算机的袭击——影响了 2150 万现任、前任和未来的联邦工作人员——包含了大量的地址、出生日期和其他个人信息,这些信息更容易被利用。
安全公司 RSA 的技术高级主管 Kayvan Alikhani 表示,指纹盗窃更可能 是对政府及其雇员的心理打击。考虑到生物识别数据的高度个人性质,在其他情况下,生物识别数据可以包括 DNA 或虹膜、视网膜或掌纹的模式,“当你能够说服用户情况并没有那么糟糕时,你的声誉已经受损了。”
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关当今塑造我们世界的发现和思想的有影响力的故事的未来。
企业和政府机构使用的商业指纹安全系统会创建数字地图,描绘出每个人指尖独特的纹路和凹谷。大多数系统通过扫描人手的高分辨率图像,并使用软件算法将此地图数据编码成一个文件来生成这些地图,该文件可用于识别该人。[指纹扫描和编码过程的简单图示可以在这里找到。] Alikhani 说,配置正确的系统会在使用后删除图像,并加密包含这些编码指纹地图的文件。
消费者科技版本的指纹读取器——例如 Apple 的 iPhone Touch ID——有点不同。它们不是拍摄数字图像,而是测量指尖的电流或电容,以捕获指纹图像。黑客已经证明他们可以击败 Touch ID 并侵入 iPhone。但他们是通过费力地复制物理指纹并将其应用到传感器来实现这一点的。iPhone 的数字指纹记录是加密的,并且专门存储在手机本身上。Apple 表示,它不会在网络上保留这些文件的副本。这意味着窃贼需要先访问 iPhone 才能窃取指纹文件。
然而,OPM 指纹数据是从该机构的网络和计算机中被盗的,而不是从指纹读取器本身被盗的。该机构上周发表声明,向公众保证,被盗的指纹数据目前对犯罪分子的用处有限,尽管该机构不排除随着“技术发展”未来会出现问题。Alikhani 认为该声明意味着数据很可能已被加密。“为了恢复到原始指纹,您必须破解存储指纹模板时使用的加密技术,”他说。假设犯罪分子拥有处理能力和时间来做到这一点,那么他或她还需要逆向工程用于编码指纹数据的算法。在不太可能发生的情况下,如果犯罪分子在这项计划上投入如此多的精力,那么逆向工程数据可以重新组装成原始指纹图像。
Alikhani 说:“实验室里已经有研究工作旨在获取加密的模板化生物识别信息并对其进行逆向工程。” 但是这个过程很复杂,需要了解用于创建生物识别配置文件的技术。即使有人能够做到这一切,这个人仍然需要创建指纹的物理副本——可能是 3D 打印并粘在乳胶手套上——才能欺骗实际的指纹扫描仪,以保护进入特定设施或计算机的入口。这可能奏效,但仅在不太可能的情况下,即没有其他安全措施到位。
例如,美国海关和边境保护局的全球入境计划允许国际旅客通过在自助服务亭扫描护照、面部和指纹来跳过机场移民的漫长队伍。如果旅客回答了一些问题,并且这些身份识别特征与已存档的特征相匹配,则自助服务亭会打印一张收据,旅客可以在离开机场时向国土安全部官员出示。如果没有匹配,旅客可以预期会立即与现场警察交谈。