很多安全報(bào)告說(shuō)，生物識(shí)別技術(shù)會(huì)取代密碼，成為身份認(rèn)證的主流方案。這件事真的靠譜嗎?早在2014年，Chaos Computer Club的安全研究人員Jan Krissler給德國(guó)聯(lián)邦部長(zhǎng)隨便拍了幾張照——那些照片是這位部長(zhǎng)在出席某次新聞會(huì)議時(shí)拍下的，僅是利用“普通相機(jī)”，Krissler就獲取到了部長(zhǎng)同志的指紋。

　　他在年末的Chaos Computer Conference大會(huì)上表示，從不同的角度拍攝部長(zhǎng)的手指，就能構(gòu)建精確的指紋數(shù)據(jù)。隨后在去年的某安全會(huì)議上，Krissler又展示了 從互聯(lián)網(wǎng)照片中獲取虹膜數(shù)據(jù) 的方式。這不是坑爹嗎?

　　銀行現(xiàn)階段似乎就看上了生物識(shí)別技術(shù)，或者叫生物計(jì)量技術(shù)——將這種技術(shù)作為ATM取款的身份認(rèn)證解決方案據(jù)說(shuō)很安全，比如說(shuō)指紋、虹膜。

　　過(guò)去針對(duì)ATM取款機(jī)的攻擊技術(shù)，主要就集中在ATM Skimmer之上，我們也曾發(fā)布過(guò)不少介紹ATM Skimmer的文章，其奧義就在于偽裝成ATM取款機(jī)上的某個(gè)硬件部分，不管是鍵盤還是攝像頭，以此來(lái)獲取卡片信息。直到后來(lái)芯片密碼(chip-and-pin)支付卡出現(xiàn)，Skimmer進(jìn)化成了“shimmer”——后者實(shí)際上就是增加從卡片芯片中獲取信息的能力。

　　但顯然專攻ATM的黑客也不是吃素的，近期他們已經(jīng)在研究新一代ATM Skimmer了，完全可以搞定生物識(shí)別技術(shù)。

　　卡巴斯基實(shí)驗(yàn)室針對(duì)ATM機(jī)攻擊，發(fā)布了一份 30頁(yè)的報(bào)告 ，里面較多提及黑客對(duì)生物識(shí)別技術(shù)在ATM機(jī)上的應(yīng)用早就躍躍欲試了。一旦生物識(shí)別技術(shù)被黑客破解，那帶來(lái)的麻煩可不只是用戶的銀行卡密碼被盜這么簡(jiǎn)單了。

　　生物識(shí)別認(rèn)證技術(shù)已經(jīng)應(yīng)用到ATM機(jī)?

　　iPhone上的TouchID指紋識(shí)別按鈕就是典型的生物識(shí)別認(rèn)證方式。其實(shí)在國(guó)外，生物識(shí)別認(rèn)證在銀行解決方案上正逐漸有普及的趨勢(shì)。生物識(shí)別可以是基于形態(tài)的、行為的，也可以是心理的。現(xiàn)階段比較主流的身份識(shí)別技術(shù)包括了：

　　虹膜識(shí)別;

　　指紋識(shí)別;

　　掌紋識(shí)別;

　　血管識(shí)別;

　　臉部識(shí)別;

　　聲音識(shí)別;

　　其他(比如手寫簽名)

　　國(guó)外的某些ATM取款機(jī)已經(jīng)開始將生物體征數(shù)據(jù)作為多重身份認(rèn)證的其中一重了(比如說(shuō)銀行卡+PIN碼+生物識(shí)別);另外針對(duì)無(wú)卡認(rèn)證方案(或者智能卡片)，生物體征數(shù)據(jù)也用于在線或離線身份認(rèn)證。

　　這里的智能卡片離線認(rèn)證，也就是在無(wú)需連接到銀行的生物體征數(shù)據(jù)庫(kù)，就能對(duì)持卡人的身份進(jìn)行認(rèn)證。在此，生物體征數(shù)據(jù)(比如說(shuō)指紋)是儲(chǔ)存在智能卡芯片之上的(所謂的match-on-card技術(shù))。

　　生物識(shí)別身份認(rèn)證在ATM機(jī)上應(yīng)用的過(guò)程

　　其實(shí)在ATM取款設(shè)備上引入生物識(shí)別技術(shù)，完全是為了增加交易的安全性，或者說(shuō)進(jìn)行所謂的“強(qiáng)加密”。

　　生物識(shí)別認(rèn)證在ATM機(jī)上的應(yīng)用目前大致上有兩套方案，第一種是有卡生物識(shí)別認(rèn)證，還有一種是無(wú)卡的。針對(duì)后一種，銀行卡用戶需要前往銀行，首先采集生物體征數(shù)據(jù)，比如說(shuō)指紋——通過(guò)某些特定的設(shè)備(如果掃描器)來(lái)采集。這些生物體征數(shù)據(jù)是存儲(chǔ)在數(shù)據(jù)庫(kù)中的(這與iPhone的TouchID將指紋存儲(chǔ)在芯片黑匣子中的方案存在本質(zhì)卻別)，ATM機(jī)或者其他銀行設(shè)備在接受用戶請(qǐng)求的時(shí)候，首先就需要連接這個(gè)數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證。

　　黑市正在籌備新版Skimmer上市

　　從卡巴斯基實(shí)驗(yàn)室的這份報(bào)告來(lái)看(未具名來(lái)源信息)，目前的地下論壇中已經(jīng)開始有不少針對(duì)生物識(shí)別認(rèn)證技術(shù)的活動(dòng)正在逐步開戰(zhàn)了。針對(duì)上述安全手法，黑客要做的主要就是制造能夠采集用戶生物體征數(shù)據(jù)的設(shè)備，將這樣的設(shè)備以偽裝的形式安裝到ATM機(jī)上(甚至制造假的ATM機(jī))。這從本質(zhì)上來(lái)說(shuō)，仍屬于Skimmer形態(tài)。

　　目前黑市最火的就是指紋識(shí)別讀取設(shè)備，因?yàn)檫@類設(shè)備比較簡(jiǎn)單，且成本較低——地下黑市已經(jīng)有大約12家制造商已經(jīng)在試制偽裝的指紋讀取設(shè)備，另外還有3家在造掌紋和虹膜識(shí)別讀取設(shè)備。 之所以指紋識(shí)別比較熱，是因?yàn)槠渌R(shí)別設(shè)備的難度成本較高，而且指紋識(shí)別是相對(duì)更為主流的方案。

 1/2    1 2 下一頁(yè) 尾頁(yè)