คุณคิดว่าคุณสามารถรักษาความปลอดภัยโทรศัพท์มือถือของคุณด้วยลายนิ้วมือ?

ช่องโหว่นี้อยู่ที่ข้อเท็จจริงที่ว่าระบบยืนยันตัวตนด้วยลายนิ้วมือมีเซ็นเซอร์ขนาดเล็กที่ไม่สามารถจับลายนิ้วมือทั้งหมดของผู้ใช้ได้ แต่จะสแกนและเก็บลายนิ้วมือบางส่วนแทน และโทรศัพท์หลายรุ่นอนุญาตให้ผู้ใช้ลงทะเบียนนิ้วที่แตกต่างกันหลายนิ้วในระบบการตรวจสอบสิทธิ์ของตน ข้อมูลประจำตัวจะได้รับการยืนยันเมื่อลายนิ้วมือของผู้ใช้ตรงกับการพิมพ์บางส่วนที่บันทึกไว้ นักวิจัยตั้งสมมติฐานว่าอาจมีความคล้ายคลึงกันมากพอระหว่างภาพพิมพ์บางส่วนของผู้คนที่แตกต่างกันซึ่งสามารถสร้าง "MasterPrint" ได้ Nasir Memon ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์และวิศวกรรมที่ NYU Tandon และหัวหน้าทีมวิจัยอธิบายว่าแนวคิดของ MasterPrint มีความคล้ายคลึงกับแฮ็กเกอร์ที่พยายามถอดรหัสระบบที่ใช้ PIN โดยใช้รหัสผ่านที่ใช้กันทั่วไป เช่น 1234 "เกี่ยวกับ 4 เปอร์เซ็นต์ของเวลา รหัสผ่าน 1234 จะถูกต้อง ซึ่งมีความเป็นไปได้สูงเมื่อคุณแค่คาดเดา” เมม่อนกล่าว ทีมวิจัยตั้งเป้าหมายว่าจะหา MasterPrint ที่สามารถเปิดเผยช่องโหว่ในระดับเดียวกันได้หรือไม่ แท้จริงแล้ว พวกเขาพบว่าคุณลักษณะบางอย่างในรูปแบบลายนิ้วมือของมนุษย์นั้นพบได้บ่อยพอที่จะสร้างความกังวลด้านความปลอดภัย Memon และเพื่อนร่วมงานของเขา ได้แก่ Aditi Roy เพื่อนหลังปริญญาเอกจาก NYU Tandon และศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์และวิศวกรรมแห่งมหาวิทยาลัยมิชิแกน State Arun Ross ทำการวิเคราะห์โดยใช้ลายนิ้วมือบางส่วน 8,200 ลายนิ้วมือ เมื่อใช้ซอฟต์แวร์ตรวจสอบลายนิ้วมือเชิงพาณิชย์ พวกเขาพบ MasterPrints ที่เป็นไปได้โดยเฉลี่ย 92 รายการสำหรับทุกๆ ชุดตัวอย่างแบบสุ่มที่มีการพิมพ์บางส่วน 800 ชุด (พวกเขากำหนดให้ MasterPrint เป็นการพิมพ์ที่ตรงกับอย่างน้อย 4 เปอร์เซ็นต์ของการพิมพ์อื่นๆ ในกลุ่มตัวอย่างแบบสุ่ม) อย่างไรก็ตาม พวกเขาพบ MasterPrint โทรศัพท์มือถือ แบบเต็มลายนิ้วมือเพียงหนึ่งรายการจากตัวอย่างงานพิมพ์ทั้งหมด 800 รายการ "ไม่น่าแปลกใจเลยที่มีโอกาสผิดพลาดในการจับคู่งานพิมพ์บางส่วนมากกว่าการพิมพ์แบบเต็ม และอุปกรณ์ส่วนใหญ่ใช้เพียงบางส่วนในการระบุตัวตน" Memon กล่าว ทีมวิเคราะห์คุณลักษณะของ MasterPrints ที่คัดมาจากภาพลายนิ้วมือจริง จากนั้นจึงสร้างอัลกอริทึมสำหรับสร้าง MasterPrints สังเคราะห์บางส่วน การทดลองแสดงให้เห็นว่าการพิมพ์บางส่วนสังเคราะห์มีศักยภาพในการจับคู่ที่กว้างกว่า ทำให้มีแนวโน้มที่จะหลอกระบบรักษาความปลอดภัยไบโอเมตริกซ์มากกว่าลายนิ้วมือจริงบางส่วน ด้วย MasterPrints ที่จำลองแบบดิจิทัล ทีมรายงานว่าจับคู่ผู้ใช้ระหว่าง 26 ถึง 65 เปอร์เซ็นต์ได้สำเร็จ ขึ้นอยู่กับจำนวนลายนิ้วมือบางส่วนที่จัดเก็บไว้สำหรับผู้ใช้แต่ละราย และสมมติว่ามีความพยายามสูงสุด 5 ครั้งต่อการรับรองความถูกต้อง ยิ่งสมาร์ทโฟนแต่ละเครื่องเก็บลายนิ้วมือบางส่วนไว้สำหรับผู้ใช้แต่ละรายมากเท่าใด ก็ยิ่งมีความเสี่ยงมากขึ้นเท่านั้น รอยย้ำว่างานของพวกเขาทำในสภาพแวดล้อมจำลอง อย่างไรก็ตาม เธอตั้งข้อสังเกตว่าการปรับปรุงในการสร้างงานพิมพ์สังเคราะห์และเทคนิคสำหรับการถ่ายโอน Digital MasterPrints ไปยังสิ่งประดิษฐ์ทางกายภาพเพื่อปลอมแปลงอุปกรณ์ทำให้เกิดปัญหาด้านความปลอดภัยอย่างมาก ความสามารถในการจับคู่ที่สูงของ MasterPrints ชี้ให้เห็นถึงความท้าทายในการออกแบบระบบตรวจสอบความถูกต้องด้วยลายนิ้วมือที่ไว้วางใจได้ และตอกย้ำความจำเป็นสำหรับแผนการยืนยันตัวตนแบบหลายปัจจัย เธอกล่าวว่างานนี้อาจบ่งบอกถึงการออกแบบในอนาคต "เนื่องจากเซ็นเซอร์ลายนิ้วมือมีขนาดเล็กลง จึงจำเป็นอย่างยิ่งที่ความละเอียดของเซ็นเซอร์จะต้องได้รับการปรับปรุงอย่างมีนัยสำคัญเพื่อให้สามารถจับภาพคุณสมบัติลายนิ้วมือเพิ่มเติมได้" Ross กล่าว "หากความละเอียดไม่ได้รับการปรับปรุง ความโดดเด่นของลายนิ้วมือของผู้ใช้จะถูกทำลายอย่างหลีกเลี่ยงไม่ได้ การวิเคราะห์เชิงประจักษ์ที่ดำเนินการในงานวิจัยนี้ยืนยันสิ่งนี้ได้อย่างชัดเจน" Memon ตั้งข้อสังเกตว่าผลการวิจัยของทีมนั้นขึ้นอยู่กับการจับคู่ตามข้อปลีกย่อย ซึ่งผู้ขายรายใดรายหนึ่งอาจใช้หรือไม่ใช้ก็ได้ อย่างไรก็ตาม ตราบใดที่มีการใช้ลายนิ้วมือบางส่วนเพื่อปลดล็อกอุปกรณ์และเก็บการแสดงผลบางส่วนไว้หลายรายการต่อนิ้ว ความน่าจะเป็นในการค้นหา MasterPrints จะเพิ่มขึ้นอย่างมาก เขากล่าว "การลงทุนของ NSF ในการวิจัยด้านความปลอดภัยในโลกไซเบอร์สร้างฐานความรู้พื้นฐานที่จำเป็นในการปกป้องเราในโลกไซเบอร์" Nina Amla ผู้อำนวยการโครงการใน Division of Computing and Communication Foundations ของ National Science Foundation กล่าว "งานวิจัยอื่นๆ ที่ได้รับทุนสนับสนุนจาก NSF ได้ช่วยระบุช่องโหว่ในเทคโนโลยีในชีวิตประจำวัน เช่น รถยนต์หรืออุปกรณ์ทางการแพทย์ การตรวจสอบช่องโหว่ของระบบตรวจสอบความถูกต้องด้วยลายนิ้วมือจะแจ้งถึงความก้าวหน้าอย่างต่อเนื่องในการรักษาความปลอดภัย ทำให้มั่นใจถึงการป้องกันที่เชื่อถือได้มากขึ้นสำหรับผู้ใช้"