膠帶“偷梁換柱”：指紋支付還安全嗎？

　　段透明膠帶、一支導電筆，就可以秒破手機指紋識別系統，輕松開機，甚至進行支付。

　　近日，蘇州一家公司的首席技術官李揚淵用視頻的方式，展示利用這些簡單的工具，成功地將大拇指設置為解鎖模式的手機，用另外幾個手指輕易打開了，甚至用海綿清潔布也能成功解鎖。

　　這讓國內的中國手機用戶倒吸了一口冷氣。因為指紋已經在智能手機中歷經幾代發展，因其具有唯一性和不變性，一直被認為是保密的防線，理所應當地被認為安全無憂。如今能輕易地被解鎖，手機用戶的隱私和秘密、支付賬戶中的財產會不會受到威脅呢？

　　膠帶“偷梁換柱”

　　從數字和字母組成的密碼，再到自身生物特征成為賬戶和智能終端安全的“守護者”，我國的密碼技術已經有了質的飛躍。比如，指紋、人臉、虹膜、指靜脈，甚至步態都成為“解鎖”的方式。

　　清華大學電子工程系教授蘇光大在接受《中國科學報》記者采訪時說，指紋識別技術辨別的是指紋紋線的斷點、交叉點等特征，如果可以掌握這些特征，就可以解鎖。“并且，指紋是終身不變的，除了有些人因為某些工種導致指紋不突出，無法被識別外，95%以上的指紋都可以被識別。”

　　目前，智能終端上采用的指紋識別技術多為電容式指紋識別技術，其原理是將壓力、電容、熱度等感測器整合于一塊芯片中，當手指按壓芯片表面時，整合的感測器會根據指紋凹凸不平而產生的電荷差或溫差，形成指紋影像，再通過與手機內部的指紋庫進行匹配，從而完成指紋識別。

　　演示實驗的李揚淵在媒體上也表示，手機的指紋識別，并不是100%比對一致才會驗證通過解鎖。可能只要20%左右就可以了。而這樣做的目的，主要考慮使用者便捷度的因素。畢竟識別率高，用戶使用起來也更方便。

　　那么，模糊識別的程度是否是膠帶偷梁換柱的原因？中國科學院自動化所研究員、中國人工智能學會模式識別專業委員會秘書長孫哲南認為，智能終端上指紋鎖被破解與其識別算法的精度無關，因為其本身的身份驗證機制就存在缺陷。“如果身份識別的依據僅是指紋的‘形’而不是活體生物特征的‘神’，那么形似而神不似的假冒手段就容易得逞。”孫哲南向《中國科學報》記者舉例說，通過各種假體材料都很容易構建凹凸不平的紋路模式來模擬被假冒者的指紋形態，從而順利通過指紋鎖識別算法對“形似”指紋的模式匹配進行解鎖。

　　不必過度恐慌

　　去年4月，美國紐約大學和密歇根州立大學研究人員就通過計算機模擬試驗發現，利用人類指紋某些共同點制作的虛假指紋可以很容易地騙過智能手機的指紋傳感器。研究人員設計了一系列人造的“主指紋”，與指紋傳感器中的真實指紋匹配率高達65%。

　　盡管研究人員并未在真實手機中測試這種攻擊方式，但仍給智能手機指紋識別的可靠性提出了疑問。

　　記得當年銀行卡密碼被人破解時，人們也同樣陷入是否繼續使用銀行卡進行購物的糾結中。現在看來，密碼盜取并沒有阻止銀行卡購物發展趨勢，相反，更多人因為方便，選擇用卡而非現金。如今，面對指紋識別技術爆出的漏洞，蘇光大認為，不必太過驚慌，更不必因噎廢食，因為這只是一種加密技術發展過程中的必經的過程。

　　指紋識別技術經歷了光學式識別和電容式識別等技術發展，現在又出現了超聲波指紋識別技術。它不像電容式識別那樣通過凹凸紋路產生的電流差別識別，而是利用超聲波可輕易穿透多種材質的能力，隨著材料不同產生大小不同的回波，從而利用指紋的凹凸甚至汗毛孔對超聲波的不同反饋對指紋進行識別。也就是說，它記錄的是指紋的3D紋理，而不是電容式指紋傳感器的2D紋理，所以在精度上要更優秀，甚至可以滲透到皮膚表面下識別出指紋的3D細節與特征。

　　而且，超聲波采集系統不再需要在智能終端上單獨辟出指紋識別的區域，所以在外觀上會更美觀；又因為超聲波掃描的是3D紋理，所以對手指表面的清潔程度要求不高。“超聲波指紋識別技術在一定程度上提高了身份認證的便捷性、精確性和安全性。”孫哲南表示。

　　除了超聲波指紋辨別技術，更高級的指紋辨別技術中還加入了對體溫、心率、皮下紋理等活體生物特征的信息獲取過程，達到了“形神兼備”的身份驗證方法。

　　“融合多維生物特征信息的指紋識別技術，更不容易被仿冒。即便有人拿到了指紋，也只能做到形似，但難以模仿心率、體溫、導電特性、皮下紋理等活體生物特征信息。”孫哲南說。不過，這樣的技術需要增加制造成本，如何將安全與價格兼容也是需要考慮的事。

　　可設立多重保障

　　指紋識別技術的發展雖然可以彌補指紋被仿冒的“硬傷”，但蘇光大同時建議，建立多重保障也可以保證智能終端的安全性，“任何獨立的密碼應用都容易出現漏洞”。

　　但如果將人臉識別與指紋識別等多重生物特征融合，被偽造的情況則更難出現。孫哲南也表示：“多模態生物特征有利于安全。”這些特征包括人臉、虹膜，甚至包括眼球中眼白血管紋路的眼紋特征，“這些特征的綜合運用，讓照片或面具、指膜等偽造手段無法通過認證”。

　　現在的生物識別，除了人們熟知的部位，還有一些令人意想不到的部位也參與進來。比如，在2016年，德國的一個研究團隊就開發出了一套依靠頭骨進行生物識別的技術。它利用一個類似頭盔的設備，通過骨傳導揚聲器將超聲波信號發射到佩戴者的頭骨周圍。佩戴設備會記錄下佩戴者頭骨對于超聲波的震動反饋，憑借這一數據來驗證身份。

　　日本一家公司則讓耳朵成為“密碼”。他們研究出了一種通過匹配聲音在耳道中的共振頻譜來進行生物識別的技術。因為每個人的耳道形狀都不同，所以這種技術通向配戴者的耳道發出聲波，再在接收端接受反射回來的聲波進行身份驗證。該公司同時表示，這項技術識別時間僅需1秒，準確率高達到99%。

　　雖然新的生物識別特征更安全，但相對于指紋和面部識別系統更復雜，或許暫時無法在智能終端中進行推廣。未來隨著材料學等技術學科的進步，這些設備逐漸縮小，就會成為便攜式智能終端辨別“主人”的一部分。