手机网站
手机网站
< p >当您再次看到指纹手机被破解的视频时,您是感到恐慌还是认为这只是危言耸听?当你在假期环游世界时,你是否考虑过海关系统中指纹验证的必要性?黑名单上的嫌疑人有可能被系统销毁指纹吗?你听说过“指纹丢失”吗……你的指纹怎么样?
更安全:密码还是指纹?
每个人都在想,指纹和密码哪个更安全?是不是因为密码不安全,指纹才被如此广泛地使用?
一个八位数的随机密码,总共会有10.8 (1亿)个方案换句话说,如果你随机生成一个八位数的密码,另一个人随机猜测的概率是1亿分之一。如果混合大小写字母和符号,将有94.8 (6万亿)种
这意味着选择范围越宽,密码的不确定性越高,相对安全性越高。
在信息学和密码学领域,有一个熵的概念,用于评估密码的安全性。密码熵中有两个关键变量L和N,即在N个符号的范围内,随机选择长度为L的密码,得到的值为52.7
。只要指纹的位置、面积和变形角度不一致,收到的信息就会不同。因此,很难量化指纹的唯一性和不确定性。世界上有60亿人,每个人都有10个手指,总共有600亿个手指。指纹是唯一的,是600亿分之一——听起来绝对安全,但事实并非如此
很难定量判断指纹的唯一性和不确定性有多高
当错误率为1/50,000时,当前商业指纹算法(如手机解锁)的拒绝率小于3%。也就是说,假设对他人手指的50,000次尝试中有一次可以非法通过认证,那么每100次尝试他的手指将被拒绝三次。
这是一个游戏过程:错误识别率和拒绝率,一高一低当前值来自用户反馈。
对于小区域,199的性能为1:n-系统中可以注册一个或两个以上的手指;对于大区域(刑事调查警察或大型数据库),它是1: N因此,指纹系统的安全性(指纹识别错误的概率)大约是五万分之一,并且大面积可能达到十万分之一或二十万分之一,但是当前的技术已经结束。指纹系统和密码系统的安全性根本不是同一个数量级,但是后者不能被认为是安全的。
为什么?
让我们想想:我们设置的密码真的是随机的吗?即使是随机密码(所有系统都不一样),还记得吗?
因此有两个概念,一个叫做“预测熵”,另一个叫做“最小熵”。它们用于衡量在考虑各种实际情况后可能达到的安全性。
预测是任何8位字符在组合要求的条件下(大小写、符号、不能是英文单词、不能是连续数字等。),数值可以达到30,这意味着被猜测的概率是十亿分之一。
亿,听起来不错;然而,我的密码肯定是我所习惯的几种组合,因此在更糟糕的情况下也有判断,这与最小熵相关(即认为其他人已经达到最佳状态,例如对委托人的密码设置习惯有一定的了解)
一般来说,只有当密码系统的最小熵达到10(即被随机猜测的概率是千分之一)时,我们才能认为它是安全的在系统本身没有限制或安全增强技术的情况下,密码需要15位才能保证1/1000你有15位数的密码吗?不管怎样,我从来没有设置过这么长的密码。因此,密码的安全性不高,容易被破解。
通过以上讨论,我们可以得到一个普遍的结论:指纹系统的安全性往往是由其自身的系统(硬件、算法)决定的,而密码系统几乎完全依赖于用户的使用习惯因此,对于特别小心和记忆力好的人来说,密码可能更安全。然而,对于粗心的普通人来说,设置密码有点随意,指纹可能更安全。
指纹的优点是什么?
因此,就安全性而言,指纹没有比密码更具根本性和颠覆性的突破。不是说使用指纹后,所有密码的不安全问题都解决了。
那么,为什么指纹被如此广泛地使用?
为方便起见
指纹的优点是什么?
第一方便快捷我不需要像带钥匙一样带着它,我也不需要特别记住它,我甚至不需要每次都输入它——只要触摸它并打开它。
具有固有特性固有特征意味着指纹在我身上生长,所以通过我的指纹意味着通过认证,而不是密码、卡或证书。因此,窃取密码和刷卡或证书的可能性降低了,所以这是一个比密码更好的地方。当然,这不是绝对的。例如,有可以伪造的假指纹。
也有稳定性指纹终身不变,但这并不意味着它们完全不变。很多人做过研究,如果他们每隔5年或10年选择同一个人的同一个手指,相似性会有所下降。此外,身体大小、手的干燥和潮湿以及磨损程度(如受伤、擦伤、脱皮)也会产生影响,但它们是在数量变化的层面上,而不是在质量变化的层面上。
没用?
虽然会破坏指纹,但它肯定会影响识别,但匹配的成功取决于许多因素。
首先取决于损坏的程度在这张照片中,指尖部分可能被损坏得无法识别,但只要收集到足够的信息,指尖就可以被识别。
但是如果损害真的很大呢?例如,整个表面皮肤都被破坏了,甚至下面也没有。它可能不会被识别但是,在公安和刑事侦查领域,指纹不会被视为犯罪嫌疑人的唯一特征,还会有其他的识别方法。在电影中,邓超扮演的辛晓峰被注意到是因为有人看到他在擦烟头。
不同场景中的规则有什么不同?
在正常的指纹应用环境中,指纹识别会根据不同的应用环境有不同的规则。
我简单地将其概括为“你必须做,你不能做”——这不是一个专业术语,我自己编造的。
你说“你必须”是什么意思?这是我的手机,只有我能通过,没有其他人能通过,所以它只关注我的固定手指。只要他们不匹配,就不允许他们通过
“不站在你这边”是指海关刑事调查黑名单上的人不允许通过,而其他人可以
应如何实施?
首先,将设置一个阈值来确定是同一个人还是同一根手指阈值在不同的应用场景中可能不同。在“你必须”这一边可能会更高。即使你几次拒绝真实用户,你也不能让虚假用户通过。然而,在“你做不到”这一边,门槛可能很低,类似的用户可以留下来再看一眼。
也会注意是否有异常现象如果罪犯想通过销毁指纹来逃脱,他们反而会得到关注。
“指纹丢失”是什么情况?
“指纹丢失”也不是一个专业概念,但我在很多地方都见过这样的说法。
什么是指纹丢失?
主动破坏他的指纹,这肯定是一个丢失的指纹,因为如果损坏很大,指纹将永久丢失(不可能恢复原始纹理)
由疾病、外伤和磨损引起的表面纹理损伤较为常见,但在这种情况下,经过一段时间后它可以恢复到原来的稠度
还有另一种类型的指纹缺失指获得的指纹图像,或者产生的假指纹丢失。
和丢失的指纹模板指纹特征存在于系统中,并且可能被潜在的黑客获取。
我将着重对后两种稍作解释
01
指纹副本丢失
首先是关于假指纹的
左边的两张图片是我在网上找到的例子。它们是由硅胶或导电材料制成的假指纹。制作自己的假手指并不困难,因为协调程度非常高。你甚至可以再做两次,找到最清楚的一次。
那么,假指纹涉及哪些技术?它分为两个层次:软件和硬件
软件级(算法)包括动态特性和静态特性首先,指压过程是一个渐进的变形过程,它与材料的弹性和质地有关;但是也要考虑出汗事实上,在软件层面,纹理可能更有效,因为它是一个静态特征,不需要连续拾取许多帧。然而,不同的材料被压下后会形成线条。虽然肉眼看不到它们,但计算机可以识别出明显的差异。
硬件级(设备)将集成一个小模块尽管目前用于测量生理信号的模块已经成熟,但考虑到体积和成本,应用场景非常有限。
为什么我们的手机没有假指纹识别技术?一方面,这是因为增加相关硬件会增加音量——你可能不愿意增加手机的厚度。另一方面,它需要高水平的技术和非常专业的领域来让某人拿着我的手指去做一个假指纹,并在他们不愿意或不知道的时候打开手机。所以你不用担心。
02
指纹模板缺失
下一个是关于稳定性
指纹终身不变,这是优点还是缺点?这个问题实际上是所有生物特征都可能面临的问题。只是说,指纹会丢失,不管是拷贝还是模板丢失,别人都有我的指纹,但我的指纹永远不会变,不能像密码一样被更改和重置。因此,一旦指纹被其他人知道,我的其他系统就不能再使用这个指纹,因为它不安全。
现在实际上已经有了指纹模板保护技术,而且这项工作已经做了很多年了。但是因为它会有一个小问题,那就是,它会丢失指纹的有效信息——因为它相当于对指纹加密一次,然后使用加密的信息进行认证,所以它将不可避免地造成某些信息的丢失,这将导致准确性的下降。尽管这项技术还不够成熟,不能随便应用,但它正在不断改进。
指纹保护:必要性还是危言耸听?
我想简要总结一下前面的内容:指纹并不比密码安全,但它们更方便。但同时也带来了两个问题,一个是假指纹,另一个是指纹丢失也许每个人都特别注意指纹的丢失,但我认为没有必要太过关注它,因为人们拿着你的指纹闯入系统并不常见。
有新闻报道说一条胶带可以解开手机的指纹:把透明胶带贴在手机的指纹识别钥匙上,试三次才能解开。事实上,这在理论上是可行的但是你真的没有注意到你的手指或手机上有胶带吗?所以,事实上,这并不只是发生
也有人说不要随便拍照,否则指纹会丢失。我想说的是,虽然通过远距离拍照来采集和识别手机指纹是可能的,但这需要在非常苛刻的条件下进行:人们应该有一定程度的合作,相机的分辨率应该高,图像的成像角度应该合适,环境光应该好...有许多要求。所以我不想上去拍照,我有你的指纹信息。
因此,对于像我这样的普通人来说,享受简单生活的简单快乐就足够了。
