思科开展的一项研究表明,80%的指纹认证系统均可被绕过,不过未能成功在 Windows 设备上绕过。很多公司宣称生物识别认证机制比传统密码更安全。当前指纹认证是最常见的认证机制,主要用于智能手机、笔记本电脑和其它类型的设备如锁和 USB 驱动。思科 Talos 威胁情报和研究团队从目标用户或受害者触摸表面直接收集指纹,之后使用3D打印机创建指纹模型并通过低成本的布胶填充虚假指纹。研究人员决定通过低成本预算开展这项研究,以判断资源有限的威胁行动者能实现什么结果。思科在使用光学、电容和超声波传感器测试了这个虚假指纹,但并未发现它们在安全性方面有任何重大差异。然而,他们注意到在当前最新型传感器类型即超声波传感器上测试最为成功,这种传感器通常出现在需要内置传感器的设备中。在手机案例中,研究人员在多数设备上成功绕过指纹认证。然而在笔记本电脑案例中,虽然在 MacBook Pro 上实现了95%的成功率,但在使用 Windows Hello 框架的 Windows 10 设备上一次都未成功。研究人员还在 Verbatim 和 Lexar 生产的两个加密 USB 拇指驱动上测试了这个假指纹,但并未绕过。最后他们还在挂锁上进行了测试,其成功率也很高。研究人员指出,虽然未能绕过 Windows 和 USB 存储设备上的认证机制,但这并不意味着它们就更安全,只是表明需要通过另外一种方法进行破解。研究人员总结称,指纹技术尚未发展到可被普遍认为是安全的阶段。实际上当前智能手机上的指纹认证机制要比2013年更为薄弱,当时苹果公司在 iPhone 5 上推出 TouchID 而该系统首次遭攻破。思科发布报告指出,“研究结果表明,如果普通人手机丢失,那么指纹足以保护他们的安全。然而,如果用户遭财力雄厚动机很大的人员攻击,那么就不应当适用指纹认证机制。”报告还表示,“对于普通用户而言,指纹认证具有明显优势而且提供了一个非常直观的安全层。然而,如果用户是潜在的高级别目标或者他们的设备中含有敏感信息,那么我们建议使用强壮密码和令牌双因素认证机制。”
https://www.securityweek.com/cisco-research-shows-high-success-rate-bypassing-fingerprint-authentication题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。