PC设备指纹安全堪忧？10分钟盗取伪造指纹解锁手机

　　第二种操作便是伪造假的指纹，这也是最常见的做法。有了假指纹，不仅能解锁你的手机，还能解锁的PC笔记本，所有个人资料无所遁形。对于个人用户来说，假指纹对移动支付危害甚大，而对于企业用户来说，公司的机密资料和信息都容易被泄露。

　　有趣的是，虽然Synaptics从公司带来了打印机，可是遭遇了一些意外损坏了，他们就在当地的电脑市场购买了一部大约150美元的打印机，，同时在当地的耗材市场购买了导电墨水，依旧能把指纹顺利打印制作出来，这向我们说明了，只要拥有指纹信息，制作假指纹现在会显得很简单和方便。

　　端到端的指纹加密操作

　　面对这个薄弱的环节，这就要求我们的笔记本厂商使用有加密的指纹传感器。在这一领域，Synaptics是指纹解决方案的提供商，PC上的指纹识别模块份额更是达到70%以上。2017年年初的时候，Synaptics开始在集成的PC解决方案中，将端到端安全(SecureLink和PurePrint)部署为默认配置，简单来说便是默认为笔记本厂商客户提供具有加密功能的指纹识别技术方案。

　　实际Synaptics多年前已经开始出货加密功能的传感器，而且推出了一整套名为SentryPoint的安全套件，能够为指纹识别传感器提供安全保护。这套安全方案能在指纹传感器和电脑之间的传输线路进行加密，确保不被窃取。

　　可是还有一种情况是比较尴尬的，虽然PC笔记本使用了未被加密手机指纹传感器，可是这套指纹方案最初设计是用于手机上，把它移植到PC笔记本后，因为针脚不兼容等问题，所以需要通过一个名为MCU的微控制器进行连接。这种情况下，即使从微控制器到主机的链路是加密的，也不安全，因为加密的安全性将取决于链路最薄弱的环节。传感器到MCU这一链路进行加密了，可是MCU到电脑主机这一链路却并未加密。

　　从传感器到主机的加密是需要全方位的，不能出现一丝漏洞，而Synaptics的指纹技术方案已经能做到。

　　全方位的加密方案

　　Synaptics的这套端到端的SentryPoint安全套件，基础是SecureLink，它是通过强大的TLS 1.2加密和AES-256位高级加密提供聪传感器到电脑主机的加密保护。这两个加密的算法是目前最高阶的，据Synaptics的人员介绍，要想解开TLS 1.2和AES-256加密数据，一般的家用电脑基本做不到(时间很长很长很长)，而采用国家级的超级电脑(如天河之类的超级计算机)也要花费较长的时间，后者对于一般用户来说基本是不可触及。因此其加密坚固的程度是足够的。

　　此外这套方案里面还包含了PurePrint，可以区分识别真假手指，也就是识别假的指纹。这一个模块是在软件架构里面，可以通过OTA不断升级更新，应对新的威胁，有一点像我们使用的杀毒软件更新特征库。

　　当然如果这些都不能满足安全要求，Synaptics还有终极大招，那便是Match-in-Sensor传感器匹配方案。这个方案里面，指纹模板只在传感器内进行匹配，并不会把相关的判断数据与主机进行通信，所有信息加上匹配判断都在指纹传感器内部完成，它只会把判断的结果传送至主机，可以是"0"和"1"等等的简数据，并不会有任何指纹的信息。

　　利用这一架构，操作系统将不会再成为被攻击的途径，因为这里面已经切断了多个链路数据传输。通过Match-in-Sensor方案，所有的生物识别操作在指纹传感器上操作，敏感的数据不会离开芯片，同时只会把简单的判断数据通过SecureLink与主机相连。

　　指纹信息泄露源头遏制

　　在出现最多的破解指纹识别的案例中，基本都是采用物理破解制作假手指的方式。不过这种物理破解基本只限定于一个目标用户或设备，对于黑客来说吸引比较小，因为其花费大的成本不能获得对等的利益。黑客往往瞄准的是具有联网功能的企业用户机密信息，而这部分的安全往往是由未加密的指纹识别信息所保护，因此这十分需要引起我们的关注。

　　现在的指纹放伪造技术基本把重点放在判断那一步，如加入各种防范欺骗技术。Synaptics人机界面系统部门产品营销副总裁的市场总监Godfrey Cheng指出，"指纹识别的设计需要考虑成本、防伪造效果和用户体验。

　　"产品设计初期，指纹设计不但能获得安全的保障，还需要兼顾良好的用户体验，谁也不想用指纹识别的时候，出现按了几次都不能解锁的窘况。"防欺骗技术是可以达到100%有效性的。无论假的指纹质量有多高，都不能通过识别。但这对于移动设备来说，成本会非常昂贵，而且会带来很高的功耗"，一般的产品并不会采用这种方案。

　　现在我们手机有很多防伪造的技术，活体指纹检测就是最近热门的。意外的是，在Synaptics的现场演示中，笔者利用打印的导电指纹信息纸片可以轻松解锁iPhone，可是对于手上的一部安卓手机不可行，查看后才知道这部安卓手机应用了活体指纹检测技术，这个指纹传感器能够检测更多的信息，如脉搏、温度和电容。不过随后Synaptics的人员拿出了另外一种特殊的物质，把我们的指纹印上后便可以顺利解锁。

　　安全的权重应该要高于方便

（编辑：汕尾站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!