เขียนวันที่ โดย winnerporz

การยืนยันตัวตนนิ้วมือ เรื่องการปลอมแปลงลายมิ้วมือใช้เข้ารหัสผ่าน

การยืนยันตัวตนนิ้วมือ บทสรุปสำหรับผู้บริหาร รหัสผ่านเป็นวิธีการยืนยันตัวตนแบบดั้งเดิมสำหรับคอมพิวเตอร์และเครือข่าย แต่รหัสผ่านสามารถถูกขโมยได้ การรับรองความถูกต้องด้วยไบโอเมตริกซ์ดูเหมือนจะเป็นทางออกที่สมบูรณ์แบบสำหรับปัญหานั้น การยืนยันตัวตนด้วยไบโอเมตริกมีหลายประเภท ได้แก่ การสแกนเรตินา การจดจำใบหน้า และการตรวจสอบลายนิ้วมือ ซึ่งเป็นประเภทที่พบได้บ่อยที่สุด ลายนิ้วมือของทุกคนมีเอกลักษณ์เฉพาะตัว และเป็นที่ยอมรับกันโดยทั่วไปว่าสามารถระบุตัวบุคคลได้โดยไม่ต้องทำซ้ำ

วิวัฒนาการทางเทคโนโลยีขยายการรับรองความถูกต้องด้วยลายนิ้วมือไปยังอุปกรณ์ทุกชนิด ตั้งแต่แล็ปท็อปไปจนถึงโทรศัพท์มือถือ ไปจนถึงแม่กุญแจและไดรฟ์ USB ที่เข้ารหัส การรับรองความถูกต้องด้วยลายนิ้วมือเริ่มใช้งานได้ทั่วไปในโทรศัพท์ด้วยการเปิดตัว Apple TouchID ใน iPhone 5 ในปี 2013 เทคโนโลยีดังกล่าวถูกข้ามหลังจากเปิดตัวได้ไม่นาน ตั้งแต่นั้นมา เทคโนโลยีก็พัฒนาเป็นเซ็นเซอร์หลักสามประเภท ได้แก่ ออปติก ความจุ และอัลตราโซนิก

การทดสอบของเราแสดงให้เห็นว่า โดยเฉลี่ยแล้ว เรามีอัตราความสำเร็จประมาณ 80 เปอร์เซ็นต์ในขณะที่ใช้ลายนิ้วมือปลอม โดยที่เซ็นเซอร์จะถูกบายพาสอย่างน้อยหนึ่งครั้ง การเข้าถึงอัตราความสำเร็จนี้เป็นงานที่ยากและน่าเบื่อ เราพบอุปสรรคและข้อจำกัดหลายประการที่เกี่ยวข้องกับการปรับขยายและคุณสมบัติทางกายภาพของวัสดุ ถึงกระนั้นก็ตาม อัตราความสำเร็จในระดับนี้หมายความว่าเรามีความเป็นไปได้สูงที่จะปลดล็อคอุปกรณ์ที่ผ่านการทดสอบก่อนที่มันจะกลับไปสู่การปลดล็อคด้วยพิน ผลลัพธ์แสดงให้เห็นว่าลายนิ้วมือนั้นดีพอที่จะปกป้องความเป็นส่วนตัวของคนทั่วไปหากทำโทรศัพท์หาย อย่างไรก็ตาม บุคคลที่มีแนวโน้มที่จะตกเป็นเป้าหมายของนักแสดงที่มีเงินสนับสนุนและมีแรงจูงใจไม่ควรใช้การตรวจสอบลายนิ้วมือ

เราพัฒนารูปแบบการใช้งานภัยคุกคามสามรูปแบบเพื่อให้ตรงกับสถานการณ์ในโลกแห่งความเป็นจริง ดังนั้นผู้อ่านควรเปรียบเทียบผลลัพธ์กับระบบรักษาความปลอดภัยภายในบ้าน หากคุณต้องการให้หน่วยงานที่มีทุนดีเช่นหน่วยงานความมั่นคงแห่งชาติหยุดการสอดแนมบ้านของคุณ การทำเช่นนี้อาจไม่สามารถต้านทานได้เพียงพอ สำหรับผู้ใช้ทั่วไป การพิสูจน์ตัวตนด้วยลายนิ้วมือมีข้อดีที่ชัดเจนและมีชั้นความปลอดภัยที่ใช้งานง่ายมาก อย่างไรก็ตาม หากผู้ใช้ตกเป็นเป้าหมายของผู้โจมตีที่ได้รับทุนสนับสนุนหรืออุปกรณ์ของผู้ใช้มีข้อมูลที่ละเอียดอ่อน เราขอแนะนำให้ใช้รหัสผ่านที่เดายากและการตรวจสอบสิทธิ์แบบสองปัจจัยด้วยโทเค็น

ผลลัพธ์เหล่านี้ร่วมกับการรั่วไหลล่าสุดเกี่ยวกับบริษัทไบโอเมตริก และ ปัญหาล่าสุด เกี่ยว กับเซ็นเซอร์ที่ Samsung ใช้ในสมาร์ทโฟน Galaxy S10 ความเข้าใจในเทคโนโลยีนี้และผลกระทบของการรั่วไหลของข้อมูลลายนิ้วมือ (หรือโดยทั่วไปคือไบโอเมตริก) ทำให้เกิดคำถามขึ้น เนื่องจากการพิมพ์ 3 มิติมีการพัฒนาขึ้น และเครื่องพิมพ์เรซิ่นสำหรับใช้ในบ้านมีความละเอียดเป็นไมครอน คนทั่วไปสามารถสร้างลายนิ้วมือปลอมที่รวบรวมจากกระจกโดยใช้เครื่องพิมพ์ 3 มิติได้หรือไม่? หรือต้องเป็นหน่วยงานรัฐ? และสามารถทำได้ในขณะที่ผู้ใช้อยู่ที่ด่านชายแดนหรือไม่?

เราแปลคำถามเหล่านี้ออกเป็นสามเป้าหมายหลัก:

  • การปรับปรุงความปลอดภัยในการสแกนลายนิ้วมือตั้งแต่พ่ายแพ้ครั้งแรกใน iPhone 5 มีอะไรบ้าง
  • เทคโนโลยีการพิมพ์ 3 มิติส่งผลต่อการตรวจสอบลายนิ้วมืออย่างไร
  • กำหนดรูปแบบภัยคุกคามสำหรับการโจมตีเพื่อให้บริบทที่เป็นจริง เราทดสอบอุปกรณ์ยี่ห้อและรุ่นต่างๆ ในการระบุรูปแบบภัยคุกคาม เราได้กำหนดข้อจำกัดด้านงบประมาณ โดยมีข้อสันนิษฐานว่าหากสามารถทำได้โดยใช้งบประมาณต่ำ ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐก็สามารถทำได้

ความซับซ้อนของกระบวนการก็มีความสำคัญเช่นกันในการกำหนดรูปแบบภัยคุกคาม เราต้องการทราบว่าผู้ใช้ทั่วไปจะทำซ้ำผลลัพธ์ของเราได้ยากเพียงใด

องค์ประกอบที่สามของรูปแบบภัยคุกคามคือเทคนิคการเก็บรวบรวม เราได้กำหนดเทคนิคการเก็บรวบรวมไว้ 3 เทคนิค โดยแต่ละเทคนิคเกี่ยวข้องกับรูปแบบภัยคุกคามที่มีลักษณะเฉพาะของตนเอง บางส่วนมีความซับซ้อนเพิ่มขึ้นในการรับลายนิ้วมือที่ลงทะเบียน เนื่องจากผู้ใช้ส่วนใหญ่จะไม่ใช้มากกว่าหนึ่งนิ้ว

มีอะไรใหม่? เทคโนโลยีการพิมพ์ 3 มิติทำให้ทุกคนสามารถสร้างลายนิ้วมือปลอมได้ แต่ไม่เพียงแค่นั้นยังทำให้สามารถทำได้ด้วยทรัพยากรที่เหมาะสม ยิ่งไปกว่านั้น ด้วยการใช้การตรวจสอบลายนิ้วมือให้เป็นประชาธิปไตย ผลกระทบของสำเนาข้อมูลไบโอเมตริกซ์ก็ยิ่งมากขึ้นกว่าในอดีต เราใช้โมเดลภัยคุกคามกับโทรศัพท์มือถือ แล็ปท็อป แม่กุญแจ และไดรฟ์ปากกา USB

มันทำงานอย่างไร? เราสร้างสำเนาโดยใช้สามวิธีที่แตกต่างกัน ซึ่งกำหนดตามโปรไฟล์ภัยคุกคามที่กำหนดไว้ แม่พิมพ์ถูกสร้างขึ้นโดยใช้เครื่องพิมพ์ 3 มิติ ซึ่งจากนั้นใช้กาวสิ่งทอสร้างลายนิ้วมือขึ้นมาใหม่

แล้วไง การรับรองความถูกต้องด้วยลายนิ้วมือมีการใช้งานทั่วไปในอุปกรณ์ทุกประเภทแล้ว อย่างไรก็ตาม ความน่าเชื่อถือนั้นไม่เหมือนกันในทุกอุปกรณ์ องค์กรจำเป็นต้องตระหนักว่าความปลอดภัยของการตรวจสอบลายนิ้วมือนั้นไม่ปลอดภัย แม้จะมีสมมติฐานทั่วไปก็ตาม ซึ่งหมายความว่าขึ้นอยู่กับโปรไฟล์ภัยคุกคามของผู้ใช้แต่ละคน อาจไม่แนะนำให้ใช้ ในความเป็นจริง บางบริษัทมีความน่าเชื่อถือเช่นเดียวกับเมื่อหกปีที่แล้ว ซึ่งหมายความว่าด้วยความก้าวหน้าของเทคโนโลยี เช่น การพิมพ์ 3 มิติ ทำให้ตอนนี้เอาชนะพวกมันได้ง่ายขึ้น การยืนยันตัวตนนิ้วมือ

ผู้บุกรุกที่ล้ำสมัยใช้ประโยชน์จากการตรวจสอบลายนิ้วมือหลายครั้งในอดีต ซึ่งนำไปสู่ความก้าวหน้าในเทคโนโลยีเซ็นเซอร์ TouchID ของ Apple ถูกใช้งานต่อสาธารณะเป็นครั้งแรกในปี 2013 นักวิจัยชื่อ “Starbug” ได้สาธิตเทคนิคนี้บน iPhone 5s เป็นครั้งแรกในระหว่างการประชุมChaos Computer Club เมื่อไม่นานมานี้ S10 โทรศัพท์มือถือรุ่นเรือธงของ Samsung พังโดยผู้ใช้โดยไม่ได้ตั้งใจเมื่อเธอใช้เคสซิลิโคน ในที่สุด Samsung ก็แก้ไขปัญหานี้ด้วยการอัปเดตซอฟต์แวร์ ในระหว่างการแข่งขัน Geekpwn 2019 Cybersecurity ทีมวิจัยด้านความปลอดภัย X-Lab จาก Tencent ได้ทำลายการตรวจสอบลายนิ้วมือจากโทรศัพท์สามเครื่องที่แตกต่างกัน แต่ไม่มีรายละเอียดเกี่ยวกับการวิจัย อย่างไรก็ตาม อ้างอิงจากForbesบทความ ทีมงานถ่ายภาพลายนิ้วมือบนกระจกและสร้างลายนิ้วมือปลอม กระบวนการทั้งหมดนี้ใช้เวลา 20 นาที และตามที่หัวหน้าทีมระบุ ฮาร์ดแวร์มีราคาประมาณ 200 ยูโร อย่างไรก็ตาม กระบวนการนี้เป็นเพียงกล่องดำและไม่มีการบันทึกเป็นเอกสาร

แนวคิด

การออกแบบการตรวจสอบลายนิ้วมือ การตรวจสอบลายนิ้วมือสามารถแบ่งออกเป็นสองขั้นตอน ขั้นตอนแรกคือการจับภาพ ซึ่งเซ็นเซอร์จะสร้างภาพลายนิ้วมือ ขั้นตอนที่สองคือการวิเคราะห์และเปรียบเทียบภาพที่สร้างขึ้น งานนี้สามารถทำได้โดยเซ็นเซอร์เอง ตัวอย่างเช่น ในอุปกรณ์แบบฝังตัวและทำงานอัตโนมัติ เช่น ล็อคประตู หรือสามารถทำได้โดยระบบปฏิบัติการ ตัวอย่างเช่น บน Microsoft Windows การเปรียบเทียบจะดำเนินการโดย “Windows Hello” ระบบปฏิบัติการขอให้เซ็นเซอร์จับข้อมูลและข้อมูลนี้จะถูกส่งต่อไปยังระบบปฏิบัติการด้วยANSI INCITS 378-2004รูปแบบที่สร้างโดย NIST OS ทำการเปรียบเทียบและเลือกว่าจะอนุมัติการเชื่อมต่อกับระบบหรือไม่ อัลกอริทึมการเปรียบเทียบต้องมีระดับความอดทน หากลายนิ้วมือมีการเปลี่ยนแปลงเล็กน้อย เช่น มีรอยตัดเล็กน้อย การรับรองความถูกต้องจะต้องใช้งานได้ เกณฑ์ไม่เปิดเผยต่อสาธารณะ ดังนั้นผู้แก้ไขบางคนจึงมีความอดทนมากกว่าคนอื่นๆ จุดอ่อนสามารถพบได้ในขั้นตอนที่หนึ่งและสอง

ประเภทของเซนเซอร์ ในการทดสอบของเรา เราพบเซนเซอร์หลักสามประเภท ได้แก่ คาปาซิทีฟ ออปติคัล และอัลตราโซนิก เซ็นเซอร์ที่แตกต่างกันตอบสนองต่อวัสดุและเทคนิคการเก็บรวบรวมที่แตกต่างกัน เซ็นเซอร์ส่วนใหญ่ได้รับการพัฒนาโดยบริษัทภายนอกและรวมเข้ากับอุปกรณ์แล้ว ข้อยกเว้นประการเดียวคือ Apple ซึ่งสร้างเซ็นเซอร์ของตัวเองหลังจากเข้าซื้อบริษัทAuthenTecในปี 2555

ประเภทของเซนเซอร์ที่พบมากที่สุดคือแบบคาปาซิทีฟ ในขณะที่บางตัวเป็นแบบแอ็คทีฟหรือแบบพาสซีฟ


เซ็นเซอร์ลายนิ้วมือ
แบบคาปาซิทีฟ พูดง่ายๆ ก็คือ เซ็นเซอร์แบบคาปาซิทีฟใช้ความจุตามธรรมชาติของร่างกายเพื่ออ่านลายนิ้วมือ สันที่สัมผัสกับเครื่องอ่านจะสร้างตัวเก็บประจุตามธรรมชาติซึ่งเซนเซอร์จะตรวจจับได้ หุบเขาจะอยู่ห่างจากผู้อ่านเกินกว่าจะสร้างตัวเก็บประจุตามธรรมชาติได้

เซ็นเซอร์ลายนิ้วมือแบบคาปาซิทีฟแบบแอ
คทีฟ เซ็นเซอร์แบบแอคทีฟแบบคาปาซิทีฟไม่ได้พึ่งพาความจุตามธรรมชาติเพียงอย่างเดียว แต่จะส่งสัญญาณขนาดเล็กที่ผ่านนิ้วและสุดท้ายไปถึงเซ็นเซอร์ผ่านการสัมผัสของสันลายนิ้วมือ

เซ็นเซอร์ลายนิ้วมือแบบออปติคอล เซ็นเซอร์ลายนิ้วมือแบบ
ออปติคอลจะอ่านภาพของลายนิ้วมือจริงๆ ในเซ็นเซอร์ประเภทนี้ มีแหล่งกำเนิดแสงที่จะส่องสว่างบริเวณสันสัมผัสที่สัมผัสกับเซ็นเซอร์ เซ็นเซอร์รับภาพจะอ่านสิ่งเหล่านี้ผ่านปริซึม

เซ็นเซอร์
อัลตราโซนิก เซ็นเซอร์อัลตราโซนิกเป็นชนิดใหม่ล่าสุด การใช้งานส่วนใหญ่บนอุปกรณ์ที่มีเซ็นเซอร์บนหน้าจอ ในกรณีเหล่านี้ เซ็นเซอร์จะปล่อยคลื่นอัลตราโซนิกซึ่งเซ็นเซอร์จะอ่านเสียงสะท้อน สันเขาและหุบเขาจะมีเสียงสะท้อนที่แตกต่างกัน ทำให้เซ็นเซอร์สร้างภาพจำลองจากลายนิ้วมือได้

โดยเฉลี่ยแล้ว เซ็นเซอร์อัลตราโซนิกดูเหมือนจะมีความน่าเชื่อถือน้อยที่สุด เนื่องจากเซ็นเซอร์เหล่านี้ให้อัตราความสำเร็จที่ดีกว่า Goodix เป็นหนึ่งในผู้จำหน่ายหลักของเซ็นเซอร์ออปติคัลสำหรับจอแสดงผล Qualcomm พัฒนาเซ็นเซอร์อัลตราโซนิกสำหรับ Samsung S10 และ Synaptics พัฒนาเซ็นเซอร์ capacitive ส่วนใหญ่ที่เราทดสอบ

การสร้างตามสถานการณ์ภัยคุกคาม กระบวนการของเราประกอบด้วยสองขั้นตอนหลัก: การรวบรวมและการสร้าง ในขั้นตอนการรวบรวม เราได้รวบรวมลายนิ้วมือเป้าหมายและสร้างแม่พิมพ์ (ดูหัวข้อข้อจำกัด) แม่พิมพ์ที่ใช้ในการหล่อลายนิ้วมือปลอมโดยใช้วัสดุที่แตกต่างกันขึ้นอยู่กับบริบทของเรา

ขั้นตอนแรกคือการเก็บลายนิ้วมือ ในส่วนเทคนิคการเก็บรวบรวม เราจะอธิบายวิธีการต่างๆ ที่เราลองใช้ แต่ละวิธีตรงกับบริบทเฉพาะและรูปแบบภัยคุกคามเฉพาะ

  1. การรวบรวมโดยตรง : วิธีนี้แสดงถึงสถานการณ์การโจมตีที่เหยื่อหมดสติหรืออยู่ในสถานะที่ไม่สามารถควบคุมการกระทำของตนเองได้อย่างเต็มที่ (เช่น เมา) ในกรณีนี้ แม่พิมพ์ทำด้วยวัสดุที่อ่อนนุ่มโดยตรงบนตัวเหยื่อ ซึ่งจากนั้นจะชุบแข็ง นอกจากนี้ยังใช้เป็นวิธีการควบคุมของเรา ด้วยวิธีนี้ผู้โจมตีสามารถเก็บลายนิ้วมือทั้งหมดหรือสามารถสังเกตเป้าหมายเพื่อรวบรวมลายนิ้วมือที่ลงทะเบียนไว้
  2. เซ็นเซอร์ลายนิ้วมือ : วิธีนี้แสดงถึงการรวบรวมที่ชายแดน/ศุลกากรที่สนามบินหรือโดยบริษัทรักษาความปลอดภัยเอกชนด้วยเครื่องอ่านลายนิ้วมือ ด่านพรมแดน/ศุลกากรส่วนใหญ่จะเก็บลายนิ้วมือทั้งหมด ซึ่งจะช่วยขจัดปัญหานี้
  3. แนวทางของบุคคลที่สาม: ในสถานการณ์สมมตินี้ การรวบรวมจะทำผ่านวัตถุของบริษัทอื่น อาจเป็นแก้ว ขวด ฯลฯ โดยการถ่ายภาพวัตถุ แนวคิดคือผู้โจมตีจะเก็บลายนิ้วมือจากเหยื่อ จากนั้นจึงเตรียมลายนิ้วมือปลอม ในแนวทางนี้ การมีนิ้วที่ลงทะเบียนไว้อาจเป็นปัญหาได้ เนื่องจากผู้โจมตีไม่ได้ควบคุมแหล่งที่มาของการรวบรวม อย่างไรก็ตาม แม่พิมพ์ลายนิ้วมือสามารถสร้างขึ้นจากชิ้นส่วนหลายชิ้นในนิ้วเดียวกัน ขั้นตอนที่สองคือการสร้างแม่พิมพ์ตามข้อมูลที่รวบรวมไว้ก่อนหน้านี้ นี่ไม่ใช่เรื่องง่ายเนื่องจากเราจะอธิบายรายละเอียดในส่วนข้อจำกัด เราใช้เครื่องพิมพ์ 3 มิติในการสร้างแม่พิมพ์ ความแม่นยำของเครื่องพิมพ์ UV LED ในประเทศคือ 25 ไมครอน รอยนิ้วมือผิวหนังกว้างประมาณ 500 ไมครอนและลึก 20-50 ไมครอน ความละเอียดของเครื่องพิมพ์ตรงกับความต้องการของเราอย่างสมบูรณ์ ขั้นตอนสุดท้ายคือการโยนลายนิ้วมือ เราลองใช้วัสดุต่างๆ มากมาย วัสดุที่เกี่ยวข้องมากที่สุดคือกาวซิลิกอนและผ้า

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *