一个月前，一位《福布斯》记者生动地展示了消费级设备中生物识别保护的可靠性。 为了进行测试，他订购了3D石膏的头部副本，然后尝试使用该模型解锁以下五种型号的智能手机：LG G7 ThinQ，三星S9，三星Note 8，OnePlus 6和iPhone X.

石膏副本足以解锁测试的五个模型中的四个。 尽管iPhone没有屈服（它在红外范围内扫描），但是实验表明，面部识别并不是保护机密信息的最可靠方法。 通常，与许多其他生物识别方法一样。

“受影响的”公司的代表在评论中说，面部识别使解锁手机“很方便”，但是对于“最高级别的生物特征认证”，建议使用指纹扫描仪或虹膜。

实验还显示，受害者的几张照片不足以进行真正的破解，因为它们不允许您创建头骨的完整3D副本。 制作可接受的原型需要在良好的光线下从多个角度拍摄。 另一方面，由于有了社交网络，现在可以获取大量此类照片和视频资料，并且相机的分辨率逐年提高。

其他生物识别保护方法也不是没有漏洞。

指纹识别

指纹扫描系统在90年代变得很普遍-并立即遭到攻击。

在2000年代初期，黑客根据现有图片磨练了制作人造有机硅副本的机制。 如果您用自己的手指贴上薄膜，则几乎可以使用任何系统（包括其他传感器）来欺骗系统，该系统可以检查人体温度并确保将活人的手指固定在扫描仪上，而不是打印输出。

制造人造版画的经典手册被认为是2002年的松本努（Tsutomu Matsumoto）的手册 。 它详细说明了如何使用石墨粉或氰基丙烯酸酯蒸气（强力胶）处理受害者的指纹，在制作模具之前如何处理照片，最后使用明胶，乳胶或木胶制作凸面膜。


在具有指纹的轮廓模具上生产具有指纹的明胶膜。 资料来源： 松本勉武

此过程中最大的困难是复制真实指纹。 他们说，最高质量的印刷品保留在玻璃表面和门把手上。 但是在我们这个时代，还有另一种方式：某些照片的分辨率使您可以直接从照片中还原照片。

2017年，日本国立信息学研究所的研究人员宣布了一个项目 。 他们证明了用数字照相机在三米远的距离上重建指纹图像的可能性。 早在2014年，在“混沌通信大会”黑客大会上，他们展示了德国国防部长的指纹，这些指纹是根据开放源代码的官方高分辨率照片重新制作的。

其他生物识别

除了扫描指纹和面部识别外，现代智能手机还没有大量使用其他生物识别保护方法，尽管存在理论上的可能性。 这些方法中的一些已通过实验进行了测试，而另一些已投入商业应用，用于各种应用，包括视网膜扫描，语音验证和手掌中的静脉模式。

但是所有生物特征保护方法都具有一个基本漏洞：与密码不同，它们的生物特征几乎是不可替代的 。 如果您的指纹泄露给公众-您将不会更改它们。 这可以说是终生的漏洞。

随着摄像机分辨率的提高，可以查看较小的物体，例如指纹或虹膜。 [...]在社交网络上分享它们后，您可以说再见。 与密码不同，您不能改变手指。 因此，这是您必须保护的信息。” - 越前功（Isao Echizen） ，日本国立计算机科学研究院教授

百分百的保证不提供任何生物特征保护方法。 在测试每个系统时，指示以下参数，包括：

• 准确性（几种类型）；
• 误报率（误报）；
• 假阴性（跳过事件）的百分比。

即使在最佳的实验室条件下，也没有系统能够显示100％的准确度，且假阳性和假阴性反应为零。

这些参数相互依赖。 由于系统设置的原因，例如，您可以将识别准确度提高到100％-误报的数量会增加。 相反，您可以将误报的数量减少到零-但是准确性会受到影响。

显然，由于制造商主要考虑可用性而不是可靠性，现在许多保护方法很容易破解。 换句话说，它们的优先级高于最小数量的误报。

黑客经济

与经济学一样，信息安全也具有经济可行性的概念。 不要有百分之一百的保护。 但是保护措施与信息本身的价值相关。 通常，该原理大致使得黑客的黑客工作成本应超过他想要接收的信息对他的价值。 比率越大，保护越强。

如果您举个例子，用一个石膏贴来欺骗像Face ID这样的系统，那么《福布斯》记者就要花掉380美元。 因此，使用这种技术来保护价值低于$ 380的信息是有意义的。 这是一种用于保护廉价信息的出色保护技术，对于企业商业秘密则是无用的技术，因此一切都是相对的。 事实证明，在每种情况下都必须评估可接受的最小防护等级。 例如，与仅使用面部识别或仅使用一个密码相比，将面部识别与密码结合使用（如两因素身份验证 ）已将保护程度提高了一个数量级。

通常，任何保护措施都可以被破解。 问题是付出的努力。

---