技术宅

现在指纹验证已经成为各大主流手机的标配功能，很多朋友无论是手机登录还是在线支付都在使用指纹验证，指纹验证也是各大厂商标榜的极为安全的生物验证手段之一（图1）。不过最近研究人员发现，他们开发了一种名为“万能指纹”的模拟人类指纹，可以轻松骗过指纹传感器，实现万能指纹解锁。

指纹验证 背后你不知道的秘密

大家知道，指纹验证的使用流程是“采集指纹→手机存储指纹数据→用户再次按压指纹→比对指纹数据→完成验证”。以目前主流的电容式指纹识别技术为例，它是通过给手指皮肤带电之后，检测出指纹的纹路（指纹的谷和脊的距离差导致阵列中的不同电容上出现差异），然后通过一定的算法，这样就可以获得指纹的采样数据。而根据科学家的统计，目前世界上指纹数据完全相同的概率是10亿分之一，也就是在现实生活中我们几乎找不到指纹数据完全相同的两个人。因此从理论上来说，指纹验证几乎是不可破解的。那么为什么科研人员开发的万能指纹可以轻松突破这个看似不可能完成的任务？

问题的硬伤主要出现在手机自带的传感器上。大家知道指纹数据的采集主要是借助传感器实现的，由于现在的手机设计得非常紧凑，内部空间也非常小，因此它的传感器也较为小巧。以 iPhone 7 Plus指纹识别为例，它的传感器和Home键整合在一起，通过拆解图片可以看到，即使算上整个Home键，传感器体积也是非常小巧（图2）。

由于传感器很小巧，这样它在获取用户指纹数据的时候就不可避免地无法采集到用户完整的指纹数据。上述基本无法找到完全相同的指纹数据的前提是用户完整的指纹数据，而手机传感器的限制正是这类“万能指纹”模拟器可以突破指纹验证的关键原因。

万能指纹 它是这样解锁的

如上所述，由于手机传感器只能采集到用户的部分指纹数据，这样就为看似安全的指纹识别带来安全隐患。

首先受制于传感器面积的限制，同时为了提升识别时的准确率，在使用指纹识别登录过程中一般手机会要求多次输入不同角度的指纹片段资料，以便判断使用者在不同角度时指纹识别是否吻合。指纹识别引擎是用复杂的图像比对算法进行识别，它并不是比对完整的指纹表面细节，而是以寻找比对相同指纹特征，借此判断使用者的身份是否正确。

其次为了方便使用指纹识别，很多用户会主动设置多个指纹数据，比如iPhone可以保存5个指纹数据（图3）。一方面是手机指纹传感器只能采集到用户的部分指纹数据，另一方面则是可以被许可的指纹数据有多个，这样不可避免的这些碎片化指纹出现匹配错误的几率就大大提高了。万能指纹正是利用这种匹配错误的几率来实现指纹验证的破解。

如上所述，手机指纹识别主要是通过对相同指纹特征进行分析识别，因此一些研究者通过对指纹识别技术的学习（借助电脑强大的计算能力和人工智能学习），并通过多数指纹资料比对就可以找出指纹的相同特征，然后制作一组具有这种特征的万能指纹。这些指纹由于有着和指纹识别的用户指纹高度相似的特征，从而很容易骗过手机指纹识别引擎实现解锁。由于手机在多次识别指纹不成功后才需要输入密码，研究人员使用五个指头套上“万能指纹”的特殊手套，通过这种手套，在使用5个万能指纹进行测试后，据说几乎可以解锁多达40%至50%比例的iPhone（图4）！

当然厂商们也意识到目前手机指纹识别技术不足，因此很多厂商也正在引入更为先进的手机指纹识别技术。比如超声波指纹识别技术、日立推出了全新指纹静脉传感器VeinID，公司宣称这套系统的出错率在0.0001%左右。这些新型、更为先进的指纹识别技术可以让指纹验证有更强的安全性（图5）。

手机安全 任重道远

加密与反加密始终是一对同步发展的竞争对手，每当厂商研发出一款新的加密验证技术，市场上就会同步出现相应的破解技术。比如之前曝光的人脸识别，以及现在研发的万能指纹，让这些看似安全的生物验证技术受到前所未有的挑战。

那么作为用户应该怎样更好地保护自己手机的安全？一方面，作为终端用户，我们不应该迷信单一的技术保护手段，对于涉及到个人隐私、财产的重要操作，尽量增加多种验证手段。比如对于在线支付，在开启指纹验证的同时，建议再加上短信验证保护。另一方面，作为手机厂商，我们希望他们能够推出更加安全的身份验证技术，比如三星已经认为指纹识别并非绝对安全，因此在Galaxy Note 7到Galaxy S8均开始导入虹膜识别系统，并且让使用者能以此配合移动支付使用，从而可以更好地保护手机的安全（图6）。