本篇文章2474字,读完约6分钟
如今,移动支付已经变得非常流行,从扫描代码支付到银行应用转账都可以在手机上轻松完成。为了进一步提高便利性,生物识别技术已经被引入到支付过程中,几乎完全取代了密码输入,并且已经成为当今最流行的认证方法。
目前,常见的生物特征包括指纹、人脸、虹膜、声纹等。今天,我们不谈别的,只谈手机中使用最广泛的指纹识别技术,以及它们是否真的能保证我们的支付安全,因为一旦指纹认证被破坏,用户手机的大部分隐私和资金都将处于危险之中。
自2013年9月苹果发布iphone 5s以来,手机指纹识别技术发展迅速——从前后独立的指纹模块到全技术意义上的离屏指纹,甚至有些手机已经实现了半屏甚至全屏指纹识别。
众所周知,人的指纹具有固有的不变性和独特性,特别适合作为生物认证的元素。而且,这种触觉体验使人有很大的依赖性。
那么,现在市场上主流的指纹识别技术是什么?一般来说,有四种主要类型:
(1)电容指纹。其原理正如其名称所示,即在一个充满半导体器件的平面模块上(器件密度决定识别精度),手指被连接作为电容器的另一侧。因为在手指表面上存在不平坦的脊和谷,所以接触器件表面的凸部和凹部之间的实际距离不同,并且形成的电容值也不同。该设备收集所有电容读数,形成类似沙盘的三维指纹样本,并将其与手机中存储的合法指纹记录进行比较,得出匹配结果。
从电容指纹的上述原理中,不难看出它所采集的指纹数据具有深度信息,或者说是三维的,而一般的印刷平面指纹不具有三维特征,所以绝对不可能欺骗电容指纹,但是真的没有办法吗?当然不是!
为了提高识别成功率,一般厂商会在指纹识别中加入自学习功能,通过增加用户的日常使用量不断优化指纹数据,并适当降低容错阈值,使手机在一些不理想的情况下(如手指有偏,指尖满是汗水或污垢)也能识别出用户的指纹。
就这样,一些爱管闲事的人想出了一个办法——利用手机的自学特性,用导电液体笔涂上透明胶带,贴在指纹模块上(只覆盖一部分),让手机主人继续解锁指纹。结果,导电液体的图案被优化为指纹特征数据,这超过了相似性阈值。之后,任何人只要用这种胶带按压指纹模块,就可以顺利解锁手机。这给手机用户的个人隐私和财务安全带来了隐患。
如何处理它?解决方法很简单——不要把你的手机借给你不信任的人,并且要特别注意指纹模块是否覆盖着奇怪的薄膜。
(2)光学指纹。基本原理是利用屏幕照射手指,然后手指的成像通过显示层像素之间的小孔,并被屏幕下的光学传感器/照相机感测,然后进行比较和识别。
然而,光学指纹技术采集的指纹信息是平面二维图像,采集的数据由于光传播路径的影响而丢失。因此,在2018年10月的极客国际安全极客大会上,腾讯安全实验室宣布了当时手机光学指纹技术普遍存在的缺陷:残留再利用漏洞,即利用反射器欺骗,可以利用屏幕上的指纹痕迹,添加一张普通卡,这样屏幕下的指纹传感器就可以采集到手机主人的指纹残留。
由于该漏洞影响广泛,攻击手段非常简单,腾讯等手机制造商已经迅速更新了指纹识别算法,这意味着如果读者和朋友碰巧在2018年10月之前生产了一款在光屏下使用指纹的手机,他们必须尽快升级手机系统版本,以避免因犯罪分子利用该漏洞造成经济损失。
(3)薄膜光学指纹。基于普通光学传感器或摄像机的屏下指纹识别技术受到传感器尺寸和成本的限制,难以拓展指纹识别领域。因此,为了改善使用体验,一些制造商已经在概念手机上尝试了薄膜光学指纹识别。这里以上海陆机公司的技术为例进行解释。原理是在屏幕上增加一层薄膜晶体管。“指纹信息经盖玻片反射后,由像素光敏器件采集,光子转化为电信号,然后由专门设计的16位模拟/数字电路进行数据分析,经图像处理技术处理后输出清晰完整的指纹图像。”
由此可见,薄膜光学指纹与普通光学指纹没有本质区别,手指的光学反射仍然是二维图像。如果不增加特殊的活体检测,也有可能重复使用上述残留物。
(4)超声波指纹。超声波指纹已经在今年最新的旗舰手机上商业化了。原理类似于声纳,指纹的脊和谷的三维数据是通过发射超声波和接收屏幕下的反射来收集的。它能渗透油脂和水渍。由于超声波的固有特性,其采集指纹信息的准确性明显高于电容指纹。
然而,国外有些人已经破解了超声波指纹。他首先在玻璃上采集了许多自己留下的指纹,然后用photoshop进行处理,然后用3dsmax(指纹峰谷的高度差需要计算)进行建模,这样照片中的指纹就可以变成三维的三维版本。最后,他通过高精度光子树脂打印机制作了一个树脂指纹模型,并成功解锁了手机。
整个过程可以在20分钟内完成,指纹采集可以在本地完成,即可以直接提取手机上的指纹痕迹。值得一提的是,这种3d打印的假指纹基本上可以破解所有三种类型的指纹识别技术,但是破解技术的成本非常高。
需要指出的是,许多指纹识别供应商已经意识到了风险,并正在努力改进下一代产品。常见的解决方案包括:
A.软件算法优化,按压时指纹变形的动态检测(排除一些硬假指纹的干扰),配合心跳检测,静态检测依靠采集高精度图像和比较手指上的汗孔特征(假指纹难以恢复)。
B.硬件功能升级,增加对肤色和血流的识别,增强活体识别的强度(不能模拟假指纹)。
但话说回来,如果你突破了指纹识别的防线,你能做任何你想做的事吗?真的不一定!现代风险控制手段也将在指纹认证后随时识别业务流程中的异常情况。例如,苏宁金融将拦截大额陌生转账、异地消费、可疑收货地址等异常用户行为,风险部门员工将进行额外的电话确认,以保护用户权益。
因此,在更安全的指纹识别技术普及之前,读者不必太担心。当然,还应该提醒提醒——建议您不要存储敏感信息(如账户密码/取款密码/身份证照片等)。)在手机的备忘录或相册中。毕竟,指纹解锁后,存储在手机本地存储器中的数据将完全暴露给外界。
此外,不要在网上购买制作指纹图案的工具,这样同事和朋友就可以代表他们登录(例如上班或坐火车),因为一旦指纹图案被别有用心的人使用(复制),你的手机甚至家里的指纹锁都不再安全,这种风险很难长期消除。
(作者:周成,苏宁金融研究所特约研究员)
标题:手机指纹支付就不会有盗刷风险吗?
地址:http://www.lyxyzq.com.cn/lyzx/7149.html