標籤:

可否用手機內指紋識別應用到手游防沉迷系統?(ˉ?ˉ?)?

01-07

相關問題:可否用人臉識別來判斷年齡讓防沉迷系統無法繞過? https://www.zhihu.com/question/62089834

同樣太容易被破解。

流言終結者裡面有一集,就是想看看指紋掃描能否破解。第一個實驗的方法是用一層乳膠在自己手指上印一下,然後揭下來用。結果一下就成了。搞得氣氛一度很尷尬:最naive最simple的方法都成了,接下來半小時演什麼。

更何況,以現在的技術,根本不需要接觸到本人,僅僅使用了一張近距離的照片和一套公開的軟體VeriFinger就能偽造出指紋。德國國防部長的指紋就是這麼被Jan Krissler搞到的。出處:Hacker fakes German minister#x27;s fingerprints using photos of her hands

弱弱問一句,有沒有像我一樣指紋不好使的

不能

不是什麼手機都有指紋識別

我以前那個單位勞動紀律很成問題,一個班四個人,值夜班的時候就來一個,最多有事的時候來兩個(這個安排本來就很弱智,因為本來就不需要那麼多人)。領導聽聞此事,表示雷霆震怒,遂安裝指紋打卡,要求全員必到,違者重罰。

四人一合計,在某寶買下指模,各自做好,放入一鐵盒中,並標記姓名,由來者依次進行打卡操作。於是,快樂的日子依然繼續。

某日,領導聽聞此事,表示雷霆震怒,遂安裝指紋+人臉識別打卡,要求全員必到,違者重罰。。。。。。

玩遊戲前彈出一套初中試卷……拿到70%的分數就能玩,85%以上送限時裝備,滿分送稱號,鑽石。

簡言之:以現下的軟硬體條件,不太可行。

原因:

現在的高票答案提到,指紋可以通過物理手段套取。通過光學分析或者活體取模,攻擊者可以取得受害者的指紋模板,進而攻擊指紋驗證系統。實際上,這種漏洞在近幾年已經被有效的修補了。在2015年前後,FPC、Authentec等指紋識別解決方案提供商都給出了關於活體指紋的檢測方法,通過檢測血流或者生物電信號來判斷操作者是否為活體人類,然後才進行指紋模板的認證。在這種情況下,攻擊者即使能夠得到完美的指紋模板,也無法通過物理手段實現攻擊。

但是問題並非如此簡單。大家可以注意到,現階段指紋認證的目的,是使用者對設備的所有權,簡單說就是檢測這台手機是否是你的。而題主提出的問題,核心在於判斷使用者對賬號的所有權,即認證這個賬號是否是你的。這兩者的內在區別,決定了指紋無法用於後一種情況。那麼,這兩種場景到底有什麼區別呢?

要解釋這一點,首先要先給大家介紹現在智能手機進行指紋驗證的全部流程。用戶在進行指紋識別時,將手指放在感測器上,感測器會提取出用戶指紋的幾個特徵點,生成一個信息序列。這就是通常說的指紋模板提取環節。接下來,智能手機將該序列與手機內存儲的的對應於用戶預設的正確指紋的序列相對比,對比的結果就決定本次認證是否通過。

這個流程中最關鍵的一點,在於正確指紋信息存儲的位置。試想,倘若手機將該序列信息存儲在所有人都能訪問到的位置,那麼其安全性就很坑爹。有聰明朋友可能會問,把該序列進行加密然後再存儲不就行了嗎?實際上,行,也不行。進行基於現代密碼學的加密確實能夠有效防護正面的攻擊,但是密鑰的保護又成為了新的問題。雞生蛋,蛋生雞,這樣的問題事實上是無窮無盡的。

那麼,業界是怎麼解決這個問題的呢?業界認為,想要保護敏感數據,就必須進行無差別的保護,讓所有的外部環境都無法直接訪問敏感資源。什麼意思呢?就是將手機內的環境一分為二,我們的大部分日常操作都發生在日常環境中,而敏感資源,比如密碼、指紋信息和密鑰,都儲存在安全環境中。這樣,需要指紋驗證的app或操作系統,只需要將每次等待驗證的指紋信息傳入安全環境,安全環境驗證完成後,返回給app或系統一個true或者false,就完成了驗證。

智能手機晶元方案提供商ARM早在幾年前就實現了軟硬體一體的安全環境方案,名為TrustZone。該方案的安全環境構建在一個SoC上的獨立硬體區域內,該區域內的一切資源,操作系統都無法訪問到。Android和iOS都基於TrustZone在各自系統內實現了操作系統級的安全架構,比如iOS上的Security Enclave。

把話題回到題主的問題上。當我們想要將指紋識別技術用於賬號認證時,問題出現在哪裡?實際上就是指紋信息的存儲位置。當驗證設備時,我可以很放心的將指紋輸入到設備中,是因為有TrustZone這樣的經過各種黑帽子白帽子考驗的安全機制保護著我們的指紋信息。而當驗證賬號時,為了能夠實現一個賬號的多設備登陸,指紋信息就需要像數字密碼一樣歸於軟體提供商的資料庫中。然而,歷史上多次出現的脫庫事件告訴我們,他們的資料庫並不值得我們百分百的相信。

在這裡,我需要強調的是,指紋識別作為一種生物識別技術,其安全性天生是弱於密碼認證的。我們之所以應用這種技術,是因為其方便快捷的驗證流程簡化了我們大量的繁瑣操作,優化了智能設備的使用體驗。但是,當數據丟失時,其危害性卻是不可估量的。原因很簡單,密碼丟失了,你可以再換一個,無論丟了多少個,你都可以設置一個新的密碼。而生物信息識別,不管是指紋還是虹膜,你丟了一個就少一個,10個手指頭都丟完了,實際意義上你就等於是完全喪失了這個生物特徵。這一點需要反覆的強調給大家。

-------------萌萌的分割線-------------

答主前年在本校的信息安全系做過一段時間的指紋識別安全調研和相關的取證研究,時隔已有一兩年,有些具體的細節,可能記憶上已經有點曖昧不清了,如果存在錯誤,還請海涵,謝謝大家啦 。

每次玩前 先答題 + 攝像頭 人臉識別年齡審核+gm抽樣審核+手機動態碼驗證 (變相身份證驗證)+可解決兒童沉迷問題

指紋識別還是太低級了,虹膜識別才是王道,不過要等到這個普及了才行。

除非破解指紋入刑且嚴格執行,否則沒卵用

推薦閱讀:

iPhone 增加指紋識別意味著什麼,會有哪些改變?
指紋識別系統是如何工作的?
安卓手機的指紋識別?
如何評價Synaptics將與vivo合作,大規模量產全球首款屏幕指紋感測器(屏下指紋)?
指紋識別對於 Android 手機有意義嗎?

TAG:手機遊戲 | 指紋識別 | 三星電子Samsung | 王者榮耀 | 生物特徵識別 |