各種生物認證安全機制隨著技術發展神速也有非常大的演進,從最早出應用在生活周遭的指紋辨識、虹膜辨識到臉部辨識等,各家業者莫不強調自己優越的安全性,而被譽為目前最嚴謹的 靜脈認證 更是被運用在各種更需要高精度安全認證的領域,而這項技術在近日卻被兩個駭客以蠟製假手破解了。
※圖片來源:Jan Krissler and Julian Albrecht
國外駭客以蠟製假手破解號稱最嚴謹的 靜脈認證 安全機制
所謂靜脈認證機制,是以紅外線掃瞄手部的靜脈血管大小、形狀和位置於資料庫中建立並儲存樣本,每一次當使用者要解鎖時都必須以登錄的手來過掃描,靜脈分布圖像相符才能通過放行。每個人的手部靜脈分布都不相同,即使是同一個人的左右手也會有不同的分布樣貌,且手部靜脈紋路並不會隨著年齡與磨損而有所變化,因此在現今普遍認定是安全性最高的生物認證技術,目前運用這項技術的包含德國情報機構的門禁與金融單位的身分認證等。
現在市佔最高的靜脈認證儀器來自日立與富士通兩家公司,覆蓋率高達 95% 左右,國外兩名駭客 Jan Krissler (別名 Starbug,最有名事蹟是在 2013 年 Apple 的 Touch ID 在推出後不到 24 小時成功破解)和 Julian Albrecht 展示了他們如何繞過日立和富士通掃描儀的認證。他們在 30 天中以稍加改裝過的單眼相機,以不過濾紅外線的方式看清楚手部的靜脈分布,拍攝下超過 2,500 張測試照片,最後選定一張最準確的圖片,花 15 分鐘製作出手掌形狀的蠟模,完美複製目標的靜脈布局,在德國萊比錫專為駭客們舉辦的混沌通訊大會(Chaos Communication Congress)中展示了其成功的試驗。
※圖片來源:Jan Krissler and Julian Albrecht
這兩位駭客將此研究結果回報給日立與富士通,相信不久的將來兩家業者都會對其產品進行改善。雖然靜脈辨識在日常生活中的運用並不普及,但藉由高手們的挑戰測試與原廠技術人員的持續修正後,等到該技術進入消費市場時會是更好、更完善的樣貌。
◎資料來源:Motherboard 、The Verge