به اثر انگشت اعتماد نکنید
سیستم های احراز هویت مبتنی بر اثر انگشت در گوش تلفن همراه اغلب شامل حسگرهای کوچکی هستند که قادر به تهیه اسکن و تهیه تصویر کامل از اثر انگشت کاربر نیستند؛ برعکس، در این سیستم ها بخشی از اثر انگشت اسکن و تصویر آن ذخیره سازی می شود.
بسیاری از تلفن های همراه این امکان را در اختیار کاربر قرار می دهند که از انگشت های متفاوت برای گرفتن اثر انگشت در سیستم های احراز هویت استفاده کند. احراز هویت زمانی صورت می گیرد که اثر انگشت کاربر با نسخه ذخیره شده مطابقت داشته باشد.
اما نتایج یک مطالعه جدید نشان می دهد، در زمانی که بخشی از اثر انگشت اسکن و تصویر آن ذخیره سازی می شود، احتمال وجود برخی مشابهت ها میان اثر انگشت افراد متفاوت وجود دارد و از این طریق یک نسخه MasterPrint ایجاد می شود.
در این مطالعه، 8200 تصویر اثر انگشت جزئی مورد بررسی قرار گرفت. با استفاده از نرم افزار تأیید اثرانگشت، محققان یک MasterPrint را که دست کم با 4 درصد سایر نمونه ها مطابقت داشت، شناسایی کردند.
به گزارش سیناپری، محققان در جستجو برای یافتن یک نمونه MasterPrint با سطح مشابه از آسیب پذیری، متوجه شدند که برخی ویژگی های خاص در الگوهای اثرانگشت به اندازه کافی از مشابهت برخوردار هستند که نگرانی جدی در مبحث احراز هویت ایجاد می کند.
آزمایش ها نشان داد، اثر انگشت جزئی مصنوعی از پتانسیل بالاتری برای تطابق یافتن (با نمونه های اصلی) برخوردار بوده و باعث فریب دادن سیستم های امنیتی بیومتریک می شود. نسخه MasterPrints که به صورت دیجیتالی شبیه سازی شده بود، در 26 تا 65 درصد موارد با اثر انگشت اصلی مطابقت پیدا کرد.
به گفته نصیر ممون، استاد علوم رایانه و مهندسی دانشگاه نیویورک، مفهوم MasterPrint تقریبا مشابه اقدام هکر است که تلاش می کند با استفاده از رمز عبورهای معمولی مانند 1234، سیستم مبتنی بر پین (PIN-based system) را رمزگشایی کند و در حدود 4 درصد موارد، رمز عبور 1234 صحیح است.
قطعا، شانس مطابقت پیدا کردن یک اثر انگشت اشتباه با یک اثر انگشت جزئی بسیار بیشتر از یک اثر انگشت کامل است؛ درحالیکه اکثر سیستم های احراز هویت دستگاه ها (تلفن همراه یا تبلت) مبتنی بر اثر انگشت جزئی هستند.
نتایج این مطالعه در IEEE Transactions on Information Forensics & Security منتشر شد.
مترجم: معصومه سوهانی
منبع: theverge
No tags for this post.