DEF CON创始人莫斯：生物识别特征应仅用于“识别”，而非“授权”

原创：隐私护卫队 2018-06-06

一台打印机、一台曝光机、一张硫酸纸、一张光敏垫和一管可以导电的无毒水性漆，仅仅凭借这五项工具，就能轻松解锁任意一部手机。

今日召开的DEF CON CHINA上，生物特征识别主题的“破解村落（Hack Village）”工作人员揭秘了整个指纹解锁过程，用并不复杂的步骤达成精准快速的解锁，这背后蕴含的可能性让人不寒而栗。

工作人员介绍，人们往往会在不经意间，在电脑屏幕上留下指纹。使用电脑时并不明显，但一旦用强光从屏幕侧面照射，指纹便会清晰地呈现出来。这时，只要对指纹拍照并打印在硫酸纸上，就初步完成了指纹取样。

然后，工作人员剪下一小块光敏垫，将指纹“小样“放在上面，一起置于曝光机中。

由于指纹分为黑白两部分，而曝光机的瞬间强光只能穿透其中的白色部分，穿不透黑色部分。同时黑色部分经过强光照射，会发生塌陷和收缩，从而与白色部分一起，在光敏垫上形成凹凸不平的指纹模型。

这时的指纹模型已经能够解锁使用光学式传感器的考勤机。工作人员把刚刚制作完成的指纹膜性贴在考勤机的读取位置，考勤机立刻显示出对应的工号等员工信息，并发出“谢谢”的声音。

假如想要“骗过” 使用电容式传感器的手机，还需要一管可以导电的无毒水性漆。在指纹模型上涂上它，就可以增添导电特性，成功解锁任意一部手机。

工作人员随后演示了如何取虹膜信息的过程，同样只需要用具备红外线功能且清晰度足够高的照相机拍下眼睛的照片，再在电脑上放大，就能读取详细的虹膜信息。

“我们想通过这个展示告诉大家，生物识别特征是很容易被取到的”，工作人员告诉南都记者，生物识别特征终生不会改变，一旦被盗，就彻底与这种解锁方式无缘了。

除了不轻易泄露自己的生物识别特征，还有其他的保护渠道吗？

工作人员表示，目前市面上的设备的活体检测能力普遍较低，虽然已经有部分设备用到了血液流动检测技术，但是成本也随之大大增加。“希望各大厂商能够加强活体监测能力，不过还得慢慢来”，他说。

生物特征识别村落吸引了大量围观者，其中就有DEF CON的创始人杰夫·莫斯（Jeff Moss）。

莫斯透露，生物特征识别村落是他最爱的环节之一，因为只需要“分享自己的指纹、打印出来，然后就能解锁”。“太简单了，就像电影里演的那样！”莫斯不自觉加大了音量，似乎还沉浸在现场演示带来的震撼当中，“这应该是很难做到的，为什么你们能如此轻易地做到？简直太酷了！”

莫斯随后做了一个大胆假设，如果现场有一个高清摄像头，完全可以清晰地拍下了他留在玻璃杯上的指纹。“我知道德国有一个团队，专门拍摄政客的指纹，还曾经拿到过德国总理默克尔的指纹”，莫斯表示，他们的目的是希望提醒大家，指纹是很容易取到的。

对于生物识别技术的安全性问题，莫斯指出，研发该技术的初衷是为了“识别（identification）”，而非“授权（authorization）”。也就是说，用声音、指纹、虹膜等生物识别特征代替账户输入这一动作，通过之后再输入密码。“密码输入正确才能完成授权动作，生物识别只能起到识别作用”。

然而，莫斯表示，厂商希望能同时做到识别和授权，所以他们错误地用“识别”代替了“授权”，“这就导致了不安全的后果”。