很多安全报告说,生物识别技术会取代密码,成为身份认证的主流方案。这件事真的靠谱吗?早在2014年,Chaos Computer Club的安全研究人员Jan Krissler给德国联邦部长随便拍了几张照——那些照片是这位部长在出席某次新闻会议时拍下的,仅是利用“普通相机”,Krissler就获取到了部长同志的指纹。
他在年末的Chaos Computer Conference大会上表示,从不同的角度拍摄部长的手指,就能构建精确的指纹数据。随后在去年的某安全会议上,Krissler又展示了 从互联网照片中获取虹膜数据 的方式。这不是坑爹吗?
银行现阶段似乎就看上了生物识别技术,或者叫生物计量技术——将这种技术作为ATM取款的身份认证解决方案据说很安全,比如说指纹、虹膜。
过去针对ATM取款机的攻击技术,主要就集中在ATM Skimmer之上,我们也曾发布过不少介绍ATM Skimmer的文章,其奥义就在于伪装成ATM取款机上的某个硬件部分,不管是键盘还是摄像头,以此来获取卡片信息。直到后来芯片密码(chip-and-pin)支付卡出现,Skimmer进化成了“shimmer”——后者实际上就是增加从卡片芯片中获取信息的能力。
但显然专攻ATM的黑客也不是吃素的,近期他们已经在研究新一代ATM Skimmer了,完全可以搞定生物识别技术。
卡巴斯基实验室针对ATM机攻击,发布了一份 30页的报告 ,里面较多提及黑客对生物识别技术在ATM机上的应用早就跃跃欲试了。一旦生物识别技术被黑客破解,那带来的麻烦可不只是用户的银行卡密码被盗这么简单了。
生物识别认证技术已经应用到ATM机?
iPhone上的TouchID指纹识别按钮就是典型的生物识别认证方式。其实在国外,生物识别认证在银行解决方案上正逐渐有普及的趋势。生物识别可以是基于形态的、行为的,也可以是心理的。现阶段比较主流的身份识别技术包括了:
虹膜识别;
指纹识别;
掌纹识别;
血管识别;
脸部识别;
声音识别;
其他(比如手写签名)
国外的某些ATM取款机已经开始将生物体征数据作为多重身份认证的其中一重了(比如说银行卡+PIN码+生物识别);另外针对无卡认证方案(或者智能卡片),生物体征数据也用于在线或离线身份认证。
这里的智能卡片离线认证,也就是在无需连接到银行的生物体征数据库,就能对持卡人的身份进行认证。在此,生物体征数据(比如说指纹)是储存在智能卡芯片之上的(所谓的match-on-card技术)。
生物识别身份认证在ATM机上应用的过程
其实在ATM取款设备上引入生物识别技术,完全是为了增加交易的安全性,或者说进行所谓的“强加密”。
生物识别认证在ATM机上的应用目前大致上有两套方案,第一种是有卡生物识别认证,还有一种是无卡的。针对后一种,银行卡用户需要前往银行,首先采集生物体征数据,比如说指纹——通过某些特定的设备(如果扫描器)来采集。这些生物体征数据是存储在数据库中的(这与iPhone的TouchID将指纹存储在芯片黑匣子中的方案存在本质却别),ATM机或者其他银行设备在接受用户请求的时候,首先就需要连接这个数据库进行认证。
黑市正在筹备新版Skimmer上市
从卡巴斯基实验室的这份报告来看(未具名来源信息),目前的地下论坛中已经开始有不少针对生物识别认证技术的活动正在逐步开战了。针对上述安全手法,黑客要做的主要就是制造能够采集用户生物体征数据的设备,将这样的设备以伪装的形式安装到ATM机上(甚至制造假的ATM机)。这从本质上来说,仍属于Skimmer形态。
目前黑市最火的就是指纹识别读取设备,因为这类设备比较简单,且成本较低——地下黑市已经有大约12家制造商已经在试制伪装的指纹读取设备,另外还有3家在造掌纹和虹膜识别读取设备。 之所以指纹识别比较热,是因为其他识别设备的难度成本较高,而且指纹识别是相对更为主流的方案。