指纹认证系统是一种广泛可信,无处不在的生物认证形式,部署在全球数十亿智能手机和其他设备上。然而,纽约大学Tandon工程学院的一项新研究揭示了这些系统中令人惊讶的脆弱程度。研究团队使用经过训练的神经网络来综合人类指纹,开发出一种假指纹,可能会欺骗基于触摸的身份验证系统,最多可容纳五分之一的人。

主密钥可以解锁建筑物中每扇门的大部分方式,这些“DeepMasterprints”使用人工智能来匹配存储在指纹数据库中的大量打印件,因此理论上可以解锁大量设备。该研究小组由纽约大学Tandon计算机科学与工程副教授Julian Togelius和博士生philip Bontrager(该论文的主要作者)领导,他在IEEE国际生物识别技术大会:理论,应用和系统会议上获奖最佳论文奖。

这项工作建立在由纽约大学Tandon在线学习计算机科学与工程教授兼副院长Nasir Memon领导的早期研究基础之上。创造“Masterprint”一词的Memon描述了基于指纹的系统如何使用部分指纹而非完整指纹来确认身份。设备通常允许用户注册几个不同的手指图像,并且任何保存的部分打印的匹配足以确认身份。部分指纹不像完整打印那样独特,Memon的工作表明部分打印之间存在足够的相似性,以创建能够匹配数据库中许多存储部分的Masterprints。Bontrager和他的合作者,包括Memon,进一步采用了这个概念,训练机器学习算法以生成合成指纹作为Masterprints。研究人员创造了这些合成指纹的完整图像,这一过程具有双重意义。首先,它是评估Masterprints对真实设备的可行性的另一个步骤,研究人员尚未对其进行测试;第二,因为这些图像复制存储在指纹可访问系统中的指纹图像的质量,所以它们可能用于对这些图像的安全缓存发起暴力攻击。

“基于指纹的身份验证仍然是保护设备或系统的有效方式,但此时,大多数系统都不会验证指纹或其他生物识别是来自真人还是复制品,”Bontrager说。“这些实验证明了对多因素身份验证的需求,应该是设备制造商关于人工指纹攻击潜力的警钟。”该研究应用于安全领域以外的领域。Togelius指出,他们用于生成指纹的潜在变量演化方法也可用于制作其他行业的设计 - 尤其是游戏开发。该技术已被用于在流行的视频游戏中产生新的水平。