指纹身份验证是密码和 PIN 码的便捷替代方法。 谁愿意花时间输入一长串数字、字母和字符,而只需轻按一下就足够了?
不幸的是,这种便利是有代价的。 因为,与常规密码不同的是,您在当地餐厅的出租车门、iPhone 屏幕和酒杯上留下指纹。
在本文中,Kraken 安全实验室团队展示了恶意行为者绕过您最喜欢的登录方法是多么容易。
窃取指纹
要入侵您的设备或帐户,我们甚至不需要直接访问您的指纹。 您触摸过的表面(从当地图书馆的桌子到最近的健身房的设备)的照片就可以了。
受害者电脑屏幕上的指纹照片。
有了这张照片,在 Photoshop 中一个小时会产生一个不错的负片:
上一张照片指纹的底片。
接下来,我们将使用激光打印机将图像打印到醋酸纤维纸上——碳粉会在纸上创建指纹的 3D 结构。
带有我们新鲜印花的醋酸纤维板。
对于我们的最后一步,我们在打印件的顶部添加了一些木胶,以使我们可以在扫描仪上使用的假指纹栩栩如生。
构建合成指纹。
发起攻击
有了指纹,我们要做的就是将它放在扫描仪上。
我们的指纹在 MacBook Pro 上工作。
我们能够对我们团队可用于测试的大多数设备执行这种众所周知的攻击。 如果这是一次真正的攻击,我们将可以访问大量敏感信息。
保护自己免受攻击
指纹不应被视为强密码的安全替代品。 这样做会使您的信息——甚至可能是您的加密资产——容易受到即使是最简单的攻击者的攻击。
现在应该很清楚,虽然您的指纹对您来说是独一无二的,但它仍然可以相对容易地被利用。 充其量,您应该只考虑将其用作第二因素身份验证 (2FA)。
想要提高您的安全卫生吗? 请务必查看我们的 支持中心指南 有关避免常见安全陷阱的其他提示。
来源:https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/