虹膜扫描比肉眼看到的要复杂得多,而这也可能成为其终结的原因。本周在Black Hat安全会议上公布的一项新的学术研究表明,有一种方法可以从虹膜扫描安全协议的底层数字代码中重建虹膜图像——这些图像非常逼真,足以欺骗商用虹膜扫描安全设备,让它们误以为是真实的。
当虹膜扫描生物识别安全系统创建虹膜的数字印记时,它们实际上并不存储虹膜图像以供将来与真实虹膜进行比较。相反,当一个人第一次将虹膜扫描到生物识别系统中时,系统会将虹膜转换成一个由大约5,000位数据组成的编码。这个编码是基于对实际虹膜图像中大约240个点进行的测量,并且在所有意图和目的上都是虹膜的独特数字模拟。
实际的虹膜图像随后会被丢弃。下次当该用户需要进行身份验证时,他或她会再次扫描虹膜。设备也会将此次扫描转换成一个虹膜编码,然后比较这两个编码。如果数字编码匹配(在合理的误差范围内),则身份验证成功,并授予访问权限。
然而,马德里自治大学和西弗吉尼亚大学的研究人员已经找到了一种方法,可以使用遗传算法从数字编码本身反向工程出虹膜图像——这种虹膜图像非常逼真,可以欺骗生物识别扫描仪。遗传算法是一种每次处理数据时都能改进结果的算法。就像一个物种随着时间的推移而进化一样,它们会适应;算法的每一次迭代都会生成一个虹膜图像,其虹膜编码与正在重建的编码越来越相似。经过100-200次迭代后,算法生成的虹膜图像的虹膜编码就与原始编码足够相似了。
这应该会让那些依赖生物识别安全措施的人感到担忧。这本质上意味着,如果包含虹膜编码的数据库被黑客入侵,黑客就可以构建出能够愚弄扫描仪的虹膜图像,而他们甚至不必靠近该虹膜的真正主人。此外,黑客甚至不必入侵他们想要破坏的实体数据库。考虑一个国防承包商,他的虹膜可以访问他公司的两个设施以及军事基地的限制区域。想要访问军事基地的人可以黑掉这位国防承包商,窃取虹膜编码,重建虹膜,将其打印到隐形眼镜上,然后访问军事设施。这听起来非常像《碟中谍》中的情节,但根据这项研究,它并非遥不可及。
更多内容请访问Threat Level。
