黑客正在使用3D打印機偽造指紋

生物識別身份驗證絕對應該是邁向可靠身份和訪問管理(IAM)的一步。我們的想法是可以使用其他人沒有的唯一安全令牌。生物識別身份驗證最常見的例子可能是指紋身份驗證。使用您自己的指紋訪問設備,您將省去密碼管理的麻煩,因為您將不再需要更新它們並記住它們。但是,生物識別身份驗證並不像人們希望的那樣安全。

有了3D打印機可以創建指紋的最新報告,我們了解到IAM系統的這個分支也不是防故障的。讓我們從一開始就看看網絡犯罪分子如何繞過指紋認證。

指紋認證被黑了

大多數最新的智能手機都配有指紋認證掃描儀。當您需要訪問設備時,它顯然可以節省時間。您所要做的就是將手指放在指紋傳感器上,然後您就可以了 - 無需在復雜圖案上滑動或點擊PIN碼等。因此,指紋認證使用戶知道只有他們才能訪問他們的設備。然而,網絡犯罪的最新發展可能意味著我們的設備可能不像以前那樣安全,這完全歸功於3D打印。

大約一個月前,博主darkshark宣布他能夠通過3D打印繞過三星Galaxy S10指紋授權。此移動設備配有超聲波指紋掃描儀。根據博主的說法,最重要的是要使指紋脊高度正確並對其進行鏡像,但如果滿足所有要求,那麼3D打印可以輕鬆解鎖手機。

當然,對於普通用戶來說,這看起來似乎太多了,但如果有人確實需要存儲在特定設備中的數據呢?如果他們願意竭盡全力竊取這些數據怎麼辦?如果是這種情況,3D打印的指紋可以幫助犯罪分子闖入多個受指紋認證保護的設備。獲得實際指紋可能比您想像的要容易得多。

假設您的手機或筆記本電腦被盜了。訪問設備的唯一方法(如果您不知道密碼或PIN碼)是通過指紋身份驗證。現在,網絡罪犯會在哪裡獲得這些指紋?他們顯然可以直接從被盜設備上獲取它們,因為它全身都有用戶的指紋。

根據darkshark的說法,從設備上取下指紋並啟動3D打印機的整個過程可能需要不到3分鐘。如果我們考慮所有僅需要指紋身份驗證才能訪問的銀行應用程序,那麼說3D打印指紋的犯罪分子可以通過您的移動設備支付所有資金並不是一件容易的事。分鐘。幸運的是,我們還沒有看到實際銷售的3D指紋,但我們永遠不知道這種趨勢何時會出現。

如何3D打印指紋?

首先,你肯定需要一個指紋,但有幾種方法可以獲得它. 在darkshark的案例中,這位博客用他的手機在酒杯上拍下他的指紋照片。現在讓我們停下來思考一下,如果手機攝像頭足以拍下指紋照片,那麼真正的數碼單反相機可以做什麼?可能性很大。

接下來,博客使用簡單的軟件創建他的指紋的3D模型,一旦模型完成,他將其彈出到3D打印軟件並啟動打印過程。如上所述,可能需要一些時間來使脊高度正確,但在一天結束時,3D打印的指紋起作用。

3D打印指紋有什麼含義?

這種“成功”的含義清楚地表明,有很多方法可以繞過指紋認證。這對於用戶和安全專家來說都很頭疼,他們與設備創建者合作以確保設備和軟件的安全性。但是,如果您想採取措施防止3D打印指紋無法幫助網絡犯罪分子,您可能需要採用多種類型的身份驗證。

例如,某些筆記本電腦和操作系統要求用戶在其指紋旁邊使用密碼和個人PIN碼。此外,如果連續多次指紋認證不成功,大多數電話都會切換到密碼驗證。同樣,您還應該考慮對不同的應用程序使用各種類型的身份驗證。

多重身份驗證是保護帳戶安全的好方法。如果應用程序或服務提供此類身份驗證,請務必啟用它。當然,單獨使用指紋認證可能需要更少的時間來訪問設備或應用程序,但它會使您的設備和個人數據容易受到攻擊,因為只有一層安全性。因此,請檢查提供的安全選項,並在可能的情況下啟用雙因素或多因素身份驗證。

在最極端的情況下,如果某人嘗試訪問您的數據失敗,您可以將移動設備設置為清除數據。但是,請注意,只有在虛擬雲驅動器上備份了所有數據時,才應啟用此選項。由於各種原因,您可能無法訪問自己的設備,因此您可能會意外刪除數據。

最後,除了指紋驗證之外,您還可以使用密碼,因為它們看起來不會很快消失。雖然創建和管理密碼是一件單調乏味的事情,但您始終可以使用免費的密碼管理工具來幫助您。信息是互聯網時代最熱門的商品,您必須盡一切努力保護您的個人數據。這場針對網絡犯罪分子和數據竊賊的永無止境的戰爭需要共同努力,但至少要確保你已經做了一切來保護你的設備。

May 23, 2019

發表評論