生物特征识别身份验证是当今广为使用的设备及系统安全维护方式之一。除了人脸识别和指纹识别,生物特征识别如今新添一种基于静脉的身份验证。这种验证需要扫描用户手部皮肤之下静脉分布的范围、形状和位置。
理论上而言,该方法似乎能万无一失地确保系统/设备的安全。然而,研究人员还是找到了骗过该静脉身份验证的方法。
2018年12月27日在德国莱比锡召开的混沌通信大会(CCC)黑客会议年会上,安全研究人员证明了用一只特别设计的蜡制手掌即可骗过静脉识别身份验证系统。
静脉传感器通过对比用户手掌皮肤下的静脉分布与预先存储的同一只手掌的静脉分布副本来验证用户身份。每次验证都需要扫描一次用户的手掌。但研究人员用相当便宜的材料就打败了这一系统。
为打败该静脉识别系统,研究人员用去除了红外滤镜的数码单反相机(DSLR)为一只手掌拍摄了2,500张照片,然后以这些照片为基础制作了一只完全还原该手掌静脉细节的蜡手。
不过,研究人员表示,因为该过程在短时间内紧张进行且颇需技巧,也不是那么容易复制的。但看起来这么可靠的验证系统能被如此廉价地攻破,也很是令人担忧了。
而且,这不是混沌计算机俱乐部的研究人员第一次演示这种技巧了。2015年,本次演示的主角 Jan Krissler 就已经展示过怎么用手指的照片转换成真正的指纹了:他先拿出自己在2014年10月时拍到的联邦德国国防部长乌尔苏拉·冯德莱恩的手指照片,然后展示了根据这些照片做出的指纹。
研究报告: