雖然從蘋果在iPhone 5s開始導入TouchID指紋辨識功能,同時強調指紋識別錯誤機率僅為5萬分之1,說明具有相當高的資訊安全防護效果,但隨著研究人員藉由不同方式成功「欺騙」指紋辨識系統,同時也有越來越多智慧型手機將指紋辨識功能變成標配,似乎讓指紋識別變得不再安全,因此也讓三星、Qualcomm等廠商開始導入全新生體識別防護措施。
根據紐約時報報導指出,由紐約大學與密西根州立大學所組成研究團隊發現,雖然每個人的指紋均有其特別性,因此能以此作為身分識別應用,讓指紋辨識系統判斷是否符合正確身分,但其實在多數指紋特徵裡依然存有部分共同性,使得有心人士將可利用此項特性打造「萬能指紋 (Master Prints)」。
就研究團隊表示,由於多數智慧型手機採用指紋辨識所能感測面積不算大,同時為了提昇識別時的準確率,在登錄過程均會要求多次輸入不同角度的指紋片段資料,以利判斷使用者在不同角度時指紋辨識是否吻合,但如此一來意味指紋辨識器並非比對完整的指紋表面細節,而是以尋找比對相同指紋特徵,藉此判斷使用者身分是否正確。
因此,在多數指紋資料比對找出相同特徵之後,即可製作一組成功解鎖率達60%-65%比例的「萬能指紋」。即便研究團隊是以研究室模擬方式提出此項理論,但若套用在真實犯罪情況中,確實有可能利用電腦運算方式製作一組可順利欺騙識別系統的「指紋」。
根據加拿大卡爾頓大學系統與電腦工程教授Andy Adler說明,雖然只是實驗環境下所得數據,但若套用在真實環境情況,「萬能指紋」或許將造成更大問題,例如使用指紋辨識的Apple Pay、Samsung Pay等支付服務可能變得更容易被攻破。而就紐約大學電腦科學與工程教授Nasir Memon表示,由於識別系統僅取用指紋特徵,加上多數使用者為了方便而在系統內登錄多組指紋資料,因此有心人士即可藉由「萬能指紋」原理,在5次左右嘗試下破解多達40%-50%比例的iPhone。
不過,蘋果回應強調在Touch ID指紋辨識系統同時加入不同安全防護措施,同時說明不正確的指紋資料識別錯誤機率僅為5萬分之1,因此透過偽造指紋達到成功識別機率幾乎微乎其微,而Google方面則未對此研究作任何回應,至於三星已經認為指紋辨識並非絕對安全,因此在Galaxy Note 7到Galaxy S8均開始導入虹膜辨識系統,並且讓使用者能以此配合行動支付使用。
雖然目前越來越多智慧型手機將指紋辨識列為標準規格,同時諸多行動支付服務也均仰賴指紋作為身分識別依據,在目前指紋識別方式已經逐漸無法安全保護使用者個人資料之下,包含三星、Qualcomm等廠商也開始導入其他身分識別方式,例如藉由虹膜辨識作為更安全的身分識別方式,或是搭配聲音識別達成二次認證防護效果,而蘋果先前也曾傳出計畫採用全新生體識別系統,同樣可能藉助虹膜識別方式提昇安全。
以目前安全防護角度來看,所有的系統防護措施均無法保證百分之百安全,最主要的是減少被攻擊機率,或是延長系統被攻破時間,藉此達成被動式防護效果,勤勞地更換密碼、採用複合式密碼文字組合,或是配合二次認證方式才能提昇整體安全。
