9月24日，美國(guó)政府宣布，黑客竊取了國(guó)防部和其他政府部門(mén)員工的安檢數(shù)據(jù)，包括大約560萬(wàn)份指紋記錄，較最初報(bào)告的數(shù)量增加450萬(wàn)份。有業(yè)內(nèi)觀(guān)點(diǎn)認(rèn)為，美國(guó)信息泄露將會(huì)導(dǎo)致指紋數(shù)據(jù)被大規(guī)模濫用以謀取利益，美國(guó)政府也在隨后組建了安全小組專(zhuān)門(mén)應(yīng)對(duì)此次出現(xiàn)的指紋信息泄露危機(jī)。

　　眾所周知，當(dāng)今信息化社會(huì)，指紋識(shí)別已經(jīng)成為市場(chǎng)最熱的一種生物安全技術(shù)，該技術(shù)已經(jīng)滲入到生活當(dāng)中方方面面，例如身份證、手機(jī)、上班打卡、銀行支付等。美國(guó)此次爆發(fā)的指紋泄露危機(jī)也給信息安全敲響了警鐘。

　　美國(guó)宣布560萬(wàn)指紋信息泄露

　　9月24日上午，美國(guó)政府宣布，黑客竊取了國(guó)防部和其他政府部門(mén)員工的安檢數(shù)據(jù)，包括大約560萬(wàn)份指紋記錄，較最初報(bào)告的數(shù)量增加450萬(wàn)份。美國(guó)人事管理辦公室(OPM)和美國(guó)國(guó)防部是在對(duì)遭竊數(shù)據(jù)展開(kāi)持續(xù)分析的過(guò)程中，發(fā)現(xiàn)新增的被盜指紋記錄的。美國(guó)政府今年春天發(fā)現(xiàn)了此次數(shù)據(jù)被盜事件，受此影響的安檢記錄可以追溯到數(shù)年之前。

　　這一消息的曝光正值中國(guó)國(guó)家主席習(xí)近平訪(fǎng)美之際。美國(guó)總統(tǒng)奧巴馬曾經(jīng)表示，網(wǎng)絡(luò)安全問(wèn)題將成為他周五在白宮會(huì)見(jiàn)習(xí)近平時(shí)的重要議題。美國(guó)官員表示，目前沒(méi)有證據(jù)顯示被盜數(shù)據(jù)遭到濫用，但他們擔(dān)心此事可能產(chǎn)生反間諜問(wèn)題。白宮發(fā)言人約什·厄內(nèi)斯特(JoshEarnest)周三表示，對(duì)數(shù)據(jù)泄密事件的調(diào)查仍在繼續(xù)，他并沒(méi)有對(duì)幕后主導(dǎo)發(fā)表結(jié)論。受此影響的美國(guó)聯(lián)邦政府雇員約為2150萬(wàn)人。

　　他指出，OPM的這份聲明與習(xí)近平訪(fǎng)美沒(méi)有關(guān)系，而是因?yàn)镺PM官員會(huì)見(jiàn)了國(guó)會(huì)議員，并向其告知了指紋問(wèn)題，因此需要公開(kāi)披露此事。OPM在聲明中說(shuō)，他們一直在分析被竊數(shù)據(jù)，直到最近才發(fā)現(xiàn)有新增的被盜數(shù)據(jù)。正因如此，目前估算的被竊數(shù)據(jù)從最初的110萬(wàn)份增加到560萬(wàn)份。OPM表示，受此影響的人員數(shù)量仍然為2150萬(wàn)人。但OPM不認(rèn)為這些被盜的指紋記錄可能構(gòu)成太大威脅，他表示，這些數(shù)據(jù)目前無(wú)法被大規(guī)模濫用。但他也承認(rèn)，隨著技術(shù)的進(jìn)步，威脅可能逐步擴(kuò)大。該機(jī)構(gòu)稱(chēng)：“我們組建了一個(gè)跨部門(mén)工作小組，聘請(qǐng)這一領(lǐng)域的專(zhuān)家來(lái)評(píng)估攻擊者現(xiàn)在和將來(lái)可能采取的濫用方式?！?/p>

　　該跨部門(mén)小組包括美國(guó)聯(lián)邦調(diào)查局、國(guó)土安全部和五角大樓的工作人員。OPM稱(chēng)：“如果今后開(kāi)發(fā)出濫用指紋數(shù)據(jù)的新方法，政府將向受此影響的人提供額外信息?！眱?nèi)布拉斯加共和黨參議員本·薩斯(BenSasse)曾經(jīng)批評(píng)美國(guó)政府未能重視網(wǎng)絡(luò)安全問(wèn)題，他認(rèn)為OPM的聲明進(jìn)一步表明，數(shù)據(jù)被盜事件“是一場(chǎng)公關(guān)危機(jī)，而非國(guó)家安全危機(jī)”。受此影響的個(gè)人尚未收到通知。OPM在聲明中表示，他們正在與美國(guó)國(guó)防部合作，向這些人發(fā)出通知。

　　不過(guò)與美國(guó)相對(duì)發(fā)達(dá)的安全保障來(lái)說(shuō)，我國(guó)似乎對(duì)于指紋等信息的安全并不看重，而與我們生活息息相關(guān)的指紋識(shí)別到底安不安全也成為了社會(huì)關(guān)注和探討的一個(gè)話(huà)題。

　　在手機(jī)領(lǐng)域指紋泄露影響全部信息

　　雖然美國(guó)的指紋危機(jī)并未對(duì)我國(guó)產(chǎn)生什么影響，但是我們也必須時(shí)刻關(guān)注指紋安全。最近，在手機(jī)領(lǐng)域又開(kāi)始出現(xiàn)了一個(gè)新的賣(mài)點(diǎn)，就是指紋加密。比如iPhone系列，華為MATE7，魅族MX4PRO等等，無(wú)一不是將指紋加密作為賣(mài)點(diǎn)。指紋識(shí)別功能的戰(zhàn)爭(zhēng)，已經(jīng)從“要不要放”升級(jí)到了“該放在正面還是反面”了。

　　這其中一方面是因?yàn)橛脩?hù)不滿(mǎn)足于手機(jī)已經(jīng)具備的基本功能，另一方面也因?yàn)橛脩?hù)的安全意識(shí)增強(qiáng)，手機(jī)承載了太多敏感信息，必須有一套足夠安全的防護(hù)措施?？赡芤?yàn)橹讣y是每個(gè)人獨(dú)一無(wú)二的，因此造成了指紋比密碼更安全的感覺(jué)。

　　早在iPhone4時(shí)代，還沒(méi)有現(xiàn)在的專(zhuān)門(mén)指紋識(shí)別系統(tǒng)，而蘋(píng)果APPStore里就有指紋加密應(yīng)用。只需要把手指貼在屏幕上，就可以進(jìn)行加密、解密等操作，看起來(lái)像是把觸屏變成了指紋傳感器。

　　本質(zhì)上，手機(jī)上使用的這種指紋傳感器也是一種電容屏，兩者工作原理幾乎是相同的，只不過(guò)相對(duì)于觸屏而言，指紋傳感器的分辨率高出了幾個(gè)量級(jí)，因此能夠識(shí)別出指紋特征。不能否認(rèn)，指紋識(shí)別器到手機(jī)系統(tǒng)之間的部分，是相當(dāng)安全的。從硬件到軟件，每一家廠(chǎng)商都在這個(gè)環(huán)節(jié)下足了功夫。有專(zhuān)門(mén)負(fù)責(zé)加密的硬件，有專(zhuān)有的傳輸協(xié)議，有防止破解的多重防護(hù)，一個(gè)強(qiáng)大加密網(wǎng)絡(luò)把他們緊密聯(lián)系起來(lái)，已經(jīng)安全到幾乎無(wú)法破解。如果將指紋系統(tǒng)比作一把鎖，這里就相當(dāng)于鎖芯的部分，而且這個(gè)鎖芯近乎無(wú)敵。

　　但是，如果你的鎖鑰匙丟了，被別人撿到，那就等于大門(mén)對(duì)外敞開(kāi)了，你手機(jī)里的任何信息，包括銀行卡，一般手機(jī)都會(huì)綁定銀行卡，身份信息等，問(wèn)題的關(guān)鍵就在這兒。雖然指紋具有唯一性，但指紋在我們的生活環(huán)境中太常見(jiàn)了。不論工作、生活、娛樂(lè)，我們?cè)谧鋈魏问虑榈臅r(shí)候都不可能把雙手扔在家里或者藏匿起來(lái)。手會(huì)和各種東西接觸，于是手指皮膚分泌出的化學(xué)物質(zhì)，讓我們?cè)诟鞣N各樣的環(huán)境中都留下了指紋。

　　深圳揣摩科技有限公司國(guó)際部張澤偉就表示：“試想一下，如果犯罪分子拿到了你的指紋信息打開(kāi)了你的手機(jī)，然后盜走了你的身份信息、銀行卡信息、電話(huà)信息等，最后你可能會(huì)丟失存款、信用卡等等。這就是為什么現(xiàn)在微信上好多小游戲都是讓按手指什么的，最后莫名其妙的通過(guò)微信支付轉(zhuǎn)走了大量存款?！?/p>

　　“碳粉+膠帶”不能破解指紋加密

　　當(dāng)然，拋開(kāi)一些騙取信息的惡意的軟件等，也有另一種觀(guān)點(diǎn)認(rèn)為只需要一點(diǎn)碳粉外加一段透明膠帶，就能輕松地從喝水的杯子上或者任何相對(duì)干凈的平面上獲取一個(gè)人的指紋信息。

　　法律上來(lái)說(shuō)，用獲得的指紋信息再造出來(lái)的指紋在學(xué)術(shù)上被稱(chēng)作“假指紋”，一般可被做成指模，用以騙過(guò)各類(lèi)指紋識(shí)別系統(tǒng)。美國(guó)泄露的指紋信息完全可能被制作成指模等工具。

　　據(jù)了解，一般人通過(guò)簡(jiǎn)單的方式是做不出那么好的假指紋的。一些犯罪現(xiàn)場(chǎng)也會(huì)殘留非常多的指紋，然而即使給刑偵學(xué)專(zhuān)家充分的時(shí)間在現(xiàn)場(chǎng)采集、采集后再經(jīng)過(guò)精細(xì)加工，最終獲得的指紋有60%的匹配度就非常不錯(cuò)了。這個(gè)數(shù)字意味著，通過(guò)一般的采集加工手段，從水杯等生活用品上最終獲得的假指紋與真實(shí)指紋的匹配度頂多只有60%相似。

　　自動(dòng)指紋識(shí)別系統(tǒng)中都有一個(gè)閾值來(lái)區(qū)分指紋匹配是否成功。比如，正在驗(yàn)證指紋信息與存儲(chǔ)信息比對(duì)匹配超過(guò)90%就算成功。而法醫(yī)學(xué)上的指紋匹配度閾值更低，低于60%。就算擁有刑偵專(zhuān)家水平，通過(guò)日常生活中采集殘留指紋制作假指紋也難以攻破指紋安全系統(tǒng)，普通人如此做想要破掉指紋安全系統(tǒng)的難度可想而知了。

　　不過(guò)并不否認(rèn)，的確有些黑客通過(guò)極端方式可以從人們生活中的殘留痕跡提取到相對(duì)完整的指紋信息，用以攻擊對(duì)應(yīng)的信息安全系統(tǒng)，并可能獲得成功。不能說(shuō)完全沒(méi)有這方面的威脅，存在非常專(zhuān)業(yè)的人員，但這是非常極端的行為，對(duì)普通人的威脅約等于零。

　　德國(guó)吉徠中國(guó)代理商御龍國(guó)際有限公司銷(xiāo)售部孫江波在接受筆者采訪(fǎng)時(shí)表示：“總體來(lái)看指紋是安全的。之前我們?cè)谖覀兊闹讣y門(mén)禁系統(tǒng)上做了一個(gè)測(cè)試，就是用‘碳粉+膠帶’獲取了指紋，然后試圖打開(kāi)門(mén)禁，但是最后都失敗了。我不能說(shuō)指紋絕對(duì)的安全，但是一般情況下都是安全的，所以這個(gè)完全不必?fù)?dān)心。”