生物特征識(shí)別身份驗(yàn)證是當(dāng)今廣為使用的設(shè)備及系統(tǒng)安全維護(hù)方式之一。除了人臉識(shí)別和指紋識(shí)別，生物特征識(shí)別如今新添一種基于靜脈的身份驗(yàn)證。這種驗(yàn)證需要掃描用戶手部皮膚之下靜脈分布的范圍、形狀和位置。

理論上而言，該方法似乎能萬(wàn)無(wú)一失地確保系統(tǒng)/設(shè)備的安全。然而，研究人員還是找到了騙過(guò)該靜脈身份驗(yàn)證的方法。

2018年12月27日在德國(guó)萊比錫召開(kāi)的混沌通信大會(huì)(CCC)黑客會(huì)議年會(huì)上，安全研究人員證明了用一只特別設(shè)計(jì)的蠟制手掌即可騙過(guò)靜脈識(shí)別身份驗(yàn)證系統(tǒng)。

靜脈傳感器通過(guò)對(duì)比用戶手掌皮膚下的靜脈分布與預(yù)先存儲(chǔ)的同一只手掌的靜脈分布副本來(lái)驗(yàn)證用戶身份。每次驗(yàn)證都需要掃描一次用戶的手掌。但研究人員用相當(dāng)便宜的材料就打敗了這一系統(tǒng)。

為打敗該靜脈識(shí)別系統(tǒng)，研究人員用去除了紅外濾鏡的數(shù)碼單反相機(jī)(DSLR)為一只手掌拍攝了2,500張照片，然后以這些照片為基礎(chǔ)制作了一只完全還原該手掌靜脈細(xì)節(jié)的蠟手。

不過(guò)，研究人員表示，因?yàn)樵撨^(guò)程在短時(shí)間內(nèi)緊張進(jìn)行且頗需技巧，也不是那么容易復(fù)制的。但看起來(lái)這么可靠的驗(yàn)證系統(tǒng)能被如此廉價(jià)地攻破，也很是令人擔(dān)憂了。

而且，這不是混沌計(jì)算機(jī)俱樂(lè)部的研究人員第一次演示這種技巧了。2015年，本次演示的主角 Jan Krissler 就已經(jīng)展示過(guò)怎么用手指的照片轉(zhuǎn)換成真正的指紋了：他先拿出自己在2014年10月時(shí)拍到的聯(lián)邦德國(guó)國(guó)防部長(zhǎng)烏爾蘇拉·馮德萊恩的手指照片，然后展示了根據(jù)這些照片做出的指紋。

研究報(bào)告：https://berlin.ccc.de/~starbug/talks/1812-congress.pdf