这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 3487 天前的主题,其中的信息可能已经有所发展或是发生改变。
本人的 6s ,闲来无事,偶然中发现,我把四个手指的指纹录到一个指纹解锁里面,经验证发现,我的四个手指都可以成功解锁.......
这么一来,似乎我们认为很是牛掰的指纹解锁,当遇到某些人的指纹和自己的有部分相同时,是不是同样可以解锁成功?或者说稍微通过些特殊手段仿造一段指纹,我们的安全大门,就被轻易打开了?
Oh, my god!
这么一来,似乎我们认为很是牛掰的指纹解锁,当遇到某些人的指纹和自己的有部分相同时,是不是同样可以解锁成功?或者说稍微通过些特殊手段仿造一段指纹,我们的安全大门,就被轻易打开了?
Oh, my god!
 | 1 just4test 2016-03-28 08:10:33 +08:00  1 什么意思我为何听不懂 |
 | 2 alexzuo 2016-03-28 08:13:16 +08:00 via iPhone 你录了 4 个 就是四个一起起作用啊 |
 | 3 NumberFairy OP  这里按理说,我只是录了一个手指的指纹,但是,我是录了四个手指的指纹,就是录指纹的时候,把四个手指的指纹混合到一起^_^ |
| 4 NumberFairy OP @alexzuo 四个手指的指纹混合到一起了 |
 | 5 Lonely 2016-03-28 08:15:13 +08:00 via iPhone 这个概率非常低。你要是碰上了就自认倒霉吧 |
| 6 alexzuo 2016-03-28 08:16:29 +08:00 via iPhone @NumberFairy 太会玩了 太会玩了 太会玩了 |
| 7 NumberFairy OP |
| 8 NumberFairy OP |
 | 9 ivmm 2016-03-28 08:28:36 +08:00 个人觉得指纹比 6 位的密码方便、安全。 要高安全性我还是比较喜欢 24 位的密码 |
 | 10 ichanne 2016-03-28 08:29:36 +08:00 via iPhone 12 我设了开机密码,结果刚好有人和我的一样,那他不就能解开我的手机了?怎么办?在线等,挺急的! |
 | 11 shippo7 2016-03-28 08:30:30 +08:00 两个人有相同指纹片段的概率小到至今没有发现案例,和密码比较,别人随便试出你设置的密码的概率更高一些。 用胳膊肘? Touch ID 刚出来的时候就有人用乳头实验成功了。 |
 | 12 Halry 2016-03-28 08:37:14 +08:00 via Android touchid 叫你多录入几次是为了以后识别快,事实上一次就是一个指纹,是很清晰被记录下来的。 指纹容易被获取到被破解,但 6 位反而更容易被破解,你输入密码的时候你又知道到底有没有老大哥看着你呢? |
 | 13 SourceMan 2016-03-28 08:53:08 +08:00 via iPhone 1 蛋蛋也有不规则纹路,会玩的人只能说到这里了 |
 | 14 lightening 2016-03-28 09:01:49 +08:00 只有相对的安全,没有绝对的安全吧。 照你这么说,别人的 6 位密码要是正好和你一样,也就成功解锁了呢。我相信指纹撞车的概率比 6 位密码撞车低多了。 |
 | 15 pangtianyu 2016-03-28 09:06:18 +08:00 从来不设密码什么的 0.0 |
 | 16 mcone 2016-03-28 09:07:29 +08:00 2 没有绝对的安全,也没有通用的解决方案,现在哪个生物特征识别没有针对性的攻击方法? google scholar 自己查一下 spoof detection 吧,你要是对指纹感兴趣,加上 fingerprint 再查查(虽然你的问题这个完全不沾边) 另外,你录了四个手指,你还希望系统再录入的时候判断这四个是不是同一根?你真是对人工智能想得太高了,他就是都存起来了而已……………… 不要这么标题党,不要总想着搞个大新闻,多看书。 PS ,你想知道为什么指纹识别一般多录几次吗?一般来说,采集指纹的时候,不可能一次性采集一个完整的指纹的,在 paper 中一般都会默认换个姿态多按几次,尽量采集各个部分指纹,尽量做到全面;不然,如果你只采集了指纹的下半部,你拿上半部来做 test ,没什么意义啊。。。 但是竟然有人会想到换不同的手指来……………………你考虑过算法的感受吗?这分明就是你的输入数据啊! |
 | 17 yanyandenuonuo 2016-03-28 09:25:23 +08:00 我能说我把 8 个指纹录到了一个指纹里 然后有 6 个都能成功起作用 前段时间还想向苹果提这个 bug 呢 不过后来仔细想想也不算什么吧。。 |
 | 18 lxy 2016-03-28 09:30:10 +08:00 图像识别需要训练集,数量越多识别结果越准确,结果你录了四个不同的手指…… |
| 19 NumberFairy OP @mcone 感谢您的回复,我也只是意外发现, iphone 的指纹识别出现了这个奇怪的现象,我感觉这里也说明了 iphone 的指纹识别在验证的时候并没有完全采集我们的整个指纹,而是采集了一小部分,匹配成功,就成功解锁,您觉得呢? ^_^^_^^_^^_^ |
| 20 NumberFairy OP |
 | 21 Damaidaner 2016-03-28 09:34:09 +08:00 @SourceMan 哈哈,来来来,敢不敢再污一些 |
| 22 NumberFairy OP |
| 23 NumberFairy OP |
 | 24 imydou 2016-03-28 09:45:47 +08:00 @NumberFairy 乳头也是可以的 |
| 25 yanyandenuonuo 2016-03-28 09:46:01 +08:00 @NumberFairy 是啊 录入的时候显示的那个图标应该是正确的 也就是一个指纹进行了分段 识别的时候只要匹配到其中一段是符合 那就认定是正确的指纹 |
 | 26 dikcen 2016-03-28 09:49:11 +08:00 我感觉这和用绿茶验尿是差不多的。机器这么笨,你还非要玩他 |
 | 27 RqPS6rhmP3Nyn3Tm 2016-03-28 09:57:43 +08:00 淘宝有卖指纹倒模,五块钱随便用…… |
| 28 NumberFairy OP |
| 29 NumberFairy OP |
 | 30 walkonby 2016-03-28 10:03:04 +08:00 你这个担心是两个方面。 1 ,多个录入的指纹,视作同等。尤其是除了解锁之外,在其他应用中绑定时。 2 ,指纹的可仿造/复制。 第 2 个问题可以引申另 2 个问题: 1 )指纹安全中的特征值保存和泄漏。某手机厂商干过这件事,保存用户指纹拷贝,被曝光。 2 )指纹验证请求时,任何一个指纹都可以验证通过,即验证信息传递。某些手机厂商采用一个手机型号一个密钥管理形式。一旦密钥泄漏,所有用户遭殃。 针对以上问题: 1 ) iOS 平台只提供 TouchID 接口,无法改变。留给用户/第三方应用或服务安全策略的选择只有选择,用或不用。 2 ) Android 平台,由于 TEE ( Trustzone )模块独立以及行业垂直,腾讯微信团队在推动的 SOTER ,生物识别验证方案,联合高通 QSEE , MTK&Trustonic 以及豆荚,国内国际手机厂商(包括出货海外),共同从 TEE 最底层开始,定义了非常严格安全等级方案,并且把该方案通过微信开放平台开放至第三方应用直接调用。可以搜索关注公众号: wecooper SOTER 完美地解决了 Android 平台上指纹验证安全问题,推动从芯片厂商至手机厂商在 TEE 部署和开发的统一。有意向接入使用的 App 开发者,可以联系了解。 |
 | 31 chengzhoukun 2016-03-28 10:18:06 +08:00 之前美国有人(好像是某个大学的教授)伪造指纹(并且模仿了手指温度等特性),成功骗过了苹果三星等品牌手机 |
 | 32 sphawkcn 2016-03-28 10:39:46 +08:00 你们钻牛角尖了,明明单个独立指纹的雷同概率为 0 ,你们非要用混合指纹,或者用胳臂肘或者用乳头去录入。那岂不等同于你用 12345678 做密码,还怪电脑不安全,还来质疑说我用 123456 做密码会有很多雷同哦。这个怪自己还是怪 Apple ? |
| 33 mcone 2016-03-28 10:48:50 +08:00 @NumberFairy 我就是做生物特征识别的。。。。。。你的回复证明你没有仔细看我之前的那一大段话 还是那句话,你想录下来一个完整的指纹,真的很难,不信你找个透明胶带试试看,得像盖章一样,在边缘均匀用力,并保持一小段时间才行。不仅仅是 iPhone ,市面上几乎所有的指纹识别都是录多次(可能不完整的指纹),而不是用一个完整的指纹 |
 | 34 Ouyangan 2016-03-28 11:24:01 +08:00 via Android 只能说一句,有实力!!!! |
 | 35 ETiV 2016-03-28 11:28:03 +08:00 via iPhone 1 感觉就好比记者拿着冰红茶去医院验尿一样 |
 | 36 imn1 2016-03-28 11:29:00 +08:00 1.指纹锁是硬件层 2.如果已知一个人,针对地获取其指纹比普通密码简单得多,但搞不清是谁的话则相反 所以使用指纹识别需要确保两点: 1.身份信息不能和指纹硬件挂钩 2.指纹硬件不能丢失(或者说不能被第三方随意接触) 合理的逻辑应该是,指纹锁使用场合更应该是以第二点为主 |
 | 37 doublleft 2016-03-28 12:27:13 +08:00 呃,经常遇到手是湿的解锁不了吧? 给你们安利一下,我录了个下巴解锁。。非常好用 |
 | 38 jsonline 2016-03-28 12:29:06 +08:00 via Android 跳过是不是,直接问程度。。。 |
 | 39 a154312237 2016-03-28 12:31:39 +08:00 via iPhone 你多用几天 就会发现另三个不常用的手指会逐渐无法识别 |
 | 40 elya 2016-03-28 12:51:11 +08:00 |
 | 41 happilylb 2016-03-28 12:54:54 +08:00 via Android 有人做过实验,可以用一些材料粘贴屏幕指纹轻而易举就解锁了 |
 | 42 chinvo 2016-03-28 12:55:57 +08:00 指纹解锁的录入过程是个学习的过程,你把四个手指头都给他学,他自然记录的特征比较混乱。随着你的使用,系统会继续学习你的指纹特征,这时候 @a154312237 说的现象就会出现了。 标题不是很好,你应该问“指纹识别是否真的安全”而不是“有多么不安全” |
 | 43 VmuTargh 2016-03-28 12:56:08 +08:00 @NumberFairy 你别说, CCAV-1 就播过有人利用"指纹套"作案 |
| 44 NumberFairy OP |
| 45 NumberFairy OP |
| 46 NumberFairy OP @imn1 谢谢您的解释,又让我学习了^_^^_^^_^^_^ |
| 47 NumberFairy OP |
| 48 NumberFairy OP |
 | 49 shyling 2016-03-28 13:17:24 +08:00 via iPad 当然不安全。。获得你脑中的密码可比获得你的指纹难多了。。 |
 | 50 ipconfiger 2016-03-28 13:18:31 +08:00 @shyling 拍下你按密码的顺序比截获你的指纹也简单多了 |
| 51 NumberFairy OP |
 | 52 AndyCrz 2016-03-28 13:47:50 +08:00 更不安全的是面部识别,之前我弟弟拿了张我的照片然后就把我的面部识别给破解了..... |
| 53 shyling 2016-03-28 13:52:18 +08:00 via iPad @ipconfiger 我不解锁呢。。。 |
 | 54 WildGuoDonglin 2016-03-28 14:28:56 +08:00 iPhone 并不记录你指纹的图案 |
| 55 ipconfiger 2016-03-28 14:35:36 +08:00 @shyling 你不解锁自己都用不了啊 你打算为了不让别人看到你解锁的密码自己也不用是吧 |
 | 57 rootliang 2016-03-28 15:11:59 +08:00 via Android 我室友用奶子录指纹 |
 | 58 Exin 2016-03-28 15:35:45 +08:00 via Android 因为录入的时候容错率高,(我猜测)解锁的时候是匹配你录入的时候的多个数据,匹配到一个成功就算成功了。 这不能算是不安全。因为你没有让你以外的人成功解锁你的手机。 |
 | 59 cst4you 2016-03-28 15:53:31 +08:00 哦这个我试过, 我们还试过 6 个人的呢, 结果 6 个人都能解锁. |
 | 60 litpen 2016-03-28 17:25:05 +08:00 以后应该会有虹膜识别,那个就不好破了 |
 | 61 u 2016-03-28 17:36:53 +08:00 LZ 学一点儿模式识别的原理就不会问这个问题了。 |
 | 62 bingliu221 2016-03-28 18:11:38 +08:00 本来一小块的指纹也不怎么可能跟别人的一样了,一个手指,录取多次,是想要你的一个手指的完整指纹,**方便你这个手指各个方向各个姿势都能解锁**,你硬是把四个手指的指纹碎片让 iPhone 认为是一个手指的碎片,这样的话,你解锁的时候,手指贴着 touchID 的位置变化一点(比如你录的是拇指下半部,但你用拇指指尖来解锁),这样应该是解不开的吧。 |
| 63 bingliu221 2016-03-28 18:14:45 +08:00 就好像用相机拍 360 度全景,假设本来是 A1A2A3A4 四个画面刚好可以合成一张全景图,你却用 A1B2C3D4 来让相机合成全景图。那么当你想用 A4 的这个碎片来搜索你之前合成的全景图的时候,你是搜不到 A1B2C3D4 这张奇葩图片的。 |
 | 64 Bomok 2016-03-28 18:37:18 +08:00 以后抢劫都可以抄家了,一棒子下去打晕你,拿出你的手机,打开支付宝,指纹解锁转账…… 以后绑架也不用等时间了,十个手指头一剁,然后拿着手机跑路…… 未来或许还能见到“ XXX 闹事玩手机被歹徒连手一起剁了”之类的新闻…… |
| 65 shyling 2016-03-28 19:10:01 +08:00 @ipconfiger 参考一下 64L |
| 66 ipconfiger 2016-03-28 19:16:44 +08:00 @shyling 剁手啊?这么暴力的行为, 盗窃多数都不会判刑, 暴力犯罪 10 年起步价, 犯罪成本很高的. 另外, 遇到打劫, 给点钱免灾, 不然伤到性命划不来, 美帝人民这方面经验丰富, 一般都会钱包里放 200 美元, 哪怕到处都用信用卡消费, 就是为了被黑蜀黍打劫的时候保命用.另打劫的有经验的都只要现金, 问你要银行卡密码的, 要刷你支付宝的, 都是脑壳被门夹过的, 这种贼你就把密码给他, 第二天就逮住了, 银行卡支付宝都是有记录的 |
 | 67 ShunYea 2016-03-28 19:35:13 +08:00 via Android 指纹数据被同步到云端然后泄露怎么办?指纹是唯一的,以后要跟踪这个人很方便了,是不是? |
 | 68 zhjits 2016-03-28 20:36:09 +08:00 “安全”的前提是“正确操作”。 你没有按照正确的使用方法做,然后说它不安全? |
 | 69 soland 2016-03-28 20:50:27 +08:00 @shippo7 指纹相同的概率确实极小,大约 150 亿分之一。果按 10 个指头算, 15 亿人才找一对。 但如果只是指纹片段的话,如果片段足够小,重复率就上来了。 现在的指纹解锁,为了保证成功率和速度,并不是对比整个指纹。 当然,这个安全性还是比 6 位密码要高。 |
 | 70 yangqi 2016-03-28 22:12:09 +08:00 |
| 71 NumberFairy OP |
| 72 NumberFairy OP |
| 73 NumberFairy OP |
 | 74 mintist 2016-03-28 22:40:23 +08:00 @NumberFairy 都是保存在本地的一块特殊的硬件块的,如 ARM 的 Trust Zone ,然后 Android 里有第三方叫做 TEE 或者 Q-SEE 的操作系统来接管指纹数据从 SPI 读取到存储到匹配的整个生命周期, Android 或者 Linux 都是接触不到的。 当然,苹果也有自己的一套机制来保证应用是拿不到指纹数据的,只会开放很小的一部分 API 给到开发者。 |
| 75 shippo7 2016-03-28 23:01:46 +08:00 @soland 就算世界某个角落有与你完全相同指纹片段的人存在,也没有渠道知道是谁,所以这种风险可以被忽略。捡到我手机并且恰好指纹片段和我一样的几率就更小了。概率甚至小于我设置一个复杂密码,捡到我手机的人恰好随手输入了相同复杂密码的概率。 密码可以猜解,可以暴力破解,但是指纹无法暴力破解。唯一的办法是获取你的指纹然后复制,但是犯罪成本太高,超出了个人用户所需要的安全级别。 |
 | 76 crazylinus 2016-03-28 23:13:11 +08:00 via Android 我做过指纹锁的项目,目前指纹模块一个最重要的参数就是识假率,这个是有国家标准的,好像是百分之 0.001 ,也就是十万分之一的概率。指纹头现在主要有两类,光学头和半导体头,前者很容易被倒模,淘宝几块钱那种指纹套一般就是针对光学头的,半导体头的倒模难度要大得多,但也并非不能做出来。虽然有被倒模风险,但我认为不能因此就说它不安全,因为你手指被别人偷偷倒模,和你大门钥匙被别人偷了然后重新配一把是一个道理。 |
 | 77 actuallymax 2016-03-28 23:28:19 +08:00 你觉得指纹重复的概率和密码重复的概率哪个大, 月经贴 |
| 78 soland 2016-03-29 00:44:48 +08:00 @shippo7 风险不是“捡到我手机并且恰好指纹片段和我一样”,而是捡到偷到的手机表面几乎必然留有指纹(不完整但足以解锁) 当然倒模的成本很高,但在现在手机绑定信用卡等情况下,很难说犯罪成本高到了超出收益。 @crazylinus 十万分之一就 5 位数字密码的程度啊? |
| 79 Halry 2016-03-29 08:53:31 +08:00 via Android @mcone 不是的,你按下后就已经获取了一个完整的指纹,不然怎么会识别那么快 我说的仅测试在 fpc1020 电容式指纹感应器和 authentec 的刮擦拭指纹感应器和 synapticz 刮擦拭指纹感应器 |
| 80 Halry 2016-03-29 08:57:23 +08:00 via Android @AndyCrz android 旧版本支持眨眼解锁,识别率比较低(可能眼小),不知道为什么新版的取消了 |
| 82 NumberFairy OP |
| 83 Halry 2016-03-29 09:02:00 +08:00 via Android @mintist 无法保证华为等国产的指纹是在 tee 里面处理的, root 后 spi 接口暴露( sysfs ), |
 | 84 BROWNURSIDAE 2016-03-29 09:25:32 +08:00 via Android 那就是你 iOS 的锅啊, Nexus 录了食指中指解不了 |
| 85 BROWNURSIDAE 2016-03-29 09:31:40 +08:00 via Android @Halry 微信和支付宝的锅 |
| 86 Halry 2016-03-29 10:12:39 +08:00 via Android @BROWNURSIDAE 是专门的,因为 nexus Imprint 真正不暴露指纹图像 |
 | 88 panlilu 2016-03-29 13:14:09 +08:00 这个我很早就发现了,不过就我的理解, iPhone 的指纹识别还是非常安全的。 因为他限制了尝试的次数,以至于有时候我自己都嫌其解锁准确率不够高。按照指纹的复杂度, 3 次尝试就要解锁,除了直接用倒模复制指纹恐怕没有凑出来的可能。 另外说一句,我不喜欢有人再回贴里面 大量 使用 “^_^” 这样的表情,不知道有没有和我有一样看法的。 |
| 89 ShunYea 2016-03-29 13:19:56 +08:00 via Android @NumberFairy 厂家虽说指纹都是在专门的加密区保存,但是谁知道啊,而且指纹是唯一的,一个人就一个,以后导弹攻击人太容易了,定位下他的手机在哪就可以了,想想就可怕。 |
| 90 mcone 2016-03-29 13:52:09 +08:00 @NumberFairy 算法不知道输入是你的完整指纹,还是一部分,只是对输入指纹特征跟已保存特征的进行判别而已 @macrohard 如果你没犯大事儿,谁会像调查犯罪现场一样,花老鼻子劲儿采集你的指纹(同时还得去掉其他人的)…………如果真的能采集到,还能拼成一个完整的话,定制一个你的指纹膜不是很简单么 |
 | 91 hugoqin 2016-03-30 09:28:09 +08:00 @NumberFairy 11 区的人早就用乳头做指纹了 |
| 92 NumberFairy OP |
| 93 hugoqin 2016-03-30 10:35:28 +08:00 @NumberFairy 日本 |
Select Language