人們已經(jīng)自然而然地認(rèn)為指紋是獨(dú)一無二的，而且遠(yuǎn)比密碼安全。從很多方面來說，確實(shí)是這樣的。但不為人熟知的是：筆記本廠商選擇的指紋傳感器，可能會(huì)導(dǎo)致你的指紋圖像被盜取，讓小偷可以拿著一把“萬能鑰匙”，使用你所有設(shè)備，訪問你公司的資料。

目前筆記本市場(chǎng)上有兩種類型的指紋傳感器：一種是加密、安全的;另一種是沒有加密、不安全的。如果你不幸買了指紋傳感器不具備加密功能的電腦，那你就是將你的指紋圖像和“萬能鑰匙”開放給了小偷。和密碼不一樣的是，當(dāng)你的指紋被偷之后，你是不能修改你指紋的。

小偷盜走沒有加密的指紋圖像能做什么呢?他們可以制作假體，或者用一款不超過200美金的噴墨打印機(jī)打印出你的指紋圖像。有了假指紋，他們不僅可以解鎖那部你指紋被盜走的電腦，而且還能解鎖你的手機(jī)，偷走你所有個(gè)私人信息和照片。別忘了，如果你的電腦還連著你的公司網(wǎng)絡(luò)，相當(dāng)于你也把你公司的商業(yè)機(jī)密以及其他保密信息都交給了小偷。這是BYOD(攜帶自己的設(shè)備辦公)時(shí)代，IT安全人員應(yīng)該對(duì)此格外注意。

比制作出一個(gè)實(shí)體假指紋更危險(xiǎn)的是，小偷可以通過一個(gè)叫做Replay Attack的東西，隨時(shí)黑進(jìn)你的電腦。小偷可以擁有電腦主人擁有的所有權(quán)限。比如說，如果一個(gè)IT管理員賬戶被盜用，那幺小偷就將擁有廣泛的公司服務(wù)器權(quán)限。當(dāng)你盜走一個(gè)指紋圖像，你可以把圖像植入或回放進(jìn)電腦里來實(shí)現(xiàn)解鎖。電腦將無法區(qū)分真實(shí)手指，和被植入回來的假指紋之間的區(qū)別。一旦小偷可以植入指紋圖像，他們就可以遠(yuǎn)程解鎖電腦，獲得你的數(shù)據(jù)以及企業(yè)網(wǎng)絡(luò)服務(wù)的訪問權(quán)限。這種攻擊方法也可以應(yīng)用在電源控制電路，小偷可以隨意遠(yuǎn)程啟動(dòng)系統(tǒng)或關(guān)閉系統(tǒng)不被任何人發(fā)現(xiàn)。

圖一

在圖一中，最上方的是被盜電腦(可以使用任何一款指紋傳感器不具備加密功能的電腦)，下方是黑客電腦(任一具備藍(lán)牙的PC都可以)。黑客電腦無線地從被盜電腦上側(cè)錄未加密的指紋。然后黑客電腦就可以永久擁有一個(gè)人的指紋圖像了。

黑客電腦現(xiàn)在可以執(zhí)行兩種不同的操作。它既可以將獲取的指紋數(shù)據(jù)重新發(fā)送回被盜電腦，然后遠(yuǎn)程解鎖電腦;也可以將指紋圖像發(fā)送到打印機(jī)，通過使用現(xiàn)成的打印機(jī)和導(dǎo)電墨水，黑客就能創(chuàng)建一個(gè)“萬能鑰匙”并且訪問被盜電腦——甚至還能無需觸碰就訪問被盜者的手機(jī)。

那么我們?nèi)绾稳ヮA(yù)防這種現(xiàn)象呢?使用加密的指紋傳感器。要求我們的筆記本電腦制造商使用加密指紋傳感器。SynapTIcs從多年前就已經(jīng)開始出貨加密指紋傳感器了，并且還推出了一整套叫作SentryPoint的安全套件，為指紋識(shí)別傳感器提供全面安全保護(hù)。除了其他的安全加密特征，SentryPoint安全套件還能將傳感器和電腦主機(jī)之間的線路進(jìn)行加密。要求我們的筆記本制造商使用SynapTIcs的加密傳感器或其他供應(yīng)商的加密傳感器。使用未加密的指紋傳感器會(huì)將用戶的指紋數(shù)據(jù)暴露在危險(xiǎn)中，這種危險(xiǎn)可以輕易地被利用，但是也可以很容易地避免。

并不是所有的加密都是一樣的。要求從傳感器到主機(jī)的全方位加密是非常重要的。之所以會(huì)產(chǎn)生這個(gè)問題，是因?yàn)橐恍┕P記本電腦制造商選擇使用廉價(jià)的未加密的手機(jī)指紋傳感器，并通過一個(gè)微控制器將傳感器和筆記本電腦相連接。這種情況下，即使從微控制器到主機(jī)的鏈路是加密的，也不安全，因?yàn)榧用艿陌踩詫⑷Q于鏈路最薄弱的環(huán)節(jié)。任何未經(jīng)加密的線路都是極其脆弱的。加密指紋傳感器和微控制器之間的鏈接是很脆弱的，很容易受到上述攻擊。

為什么一些筆記本電腦制造商會(huì)使用未經(jīng)加密的手機(jī)指紋傳感器，讓你的隱私及公司信息存有潛在安全隱患呢?因?yàn)槟切﹤鞲衅鞅阋耍鼈兪莾H為手機(jī)使用而設(shè)計(jì)的。如今的手機(jī)，都是防水的，而且很難被拆開。與電腦不同，手機(jī)幾乎在任何時(shí)候都是不離身的。手機(jī)可以依靠物理上的安全來確保傳感器的安全。但筆記本電腦卻不同，它通常都會(huì)被放在家里的桌子上、汽車?yán)?、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內(nèi)就輕松訪問電腦內(nèi)的文件。正由于安全和使用模式的不同，手機(jī)的安全組件不應(yīng)該被用于筆記本電腦上。

小偷和黑客往往把注意力集中在小概率事件上，因?yàn)轱@而易見的安全隱患已受到嚴(yán)密的監(jiān)控。英特爾和微軟都在努力保護(hù)主機(jī)中的數(shù)據(jù)，固態(tài)硬盤是經(jīng)過加密的，甚至BIOS也是受保護(hù)的，這就讓沒有加密的傳感器很容易成為被攻擊的目標(biāo)。這包括任何一個(gè)傳輸未加密圖像的生物傳感器，而指紋傳感器則是首當(dāng)其沖。因此需要各方共同努力，加密所有生物傳感器來確保安全。

在SynapTIcs，我們提供一整套名為SentryPoint的安全套件，為指紋識(shí)別傳感器提供全面安全保護(hù)。這些安全保護(hù)的基礎(chǔ)是SecureLink，通過強(qiáng)大的TLS 1.2加密和AES-256256位高級(jí)加密提供從傳感器到主機(jī)的加密保護(hù)，這也是 SynapTIcs的關(guān)鍵差異化優(yōu)勢(shì)。除此之外，我們還提供其他技術(shù)，比如PurePrint可區(qū)分真假手指…也被叫作“假體指紋”。作為模塊化軟件架構(gòu)的一部分， PurePrint驅(qū)動(dòng)器可升級(jí)更新，以應(yīng)對(duì)新出現(xiàn)的威脅。我們現(xiàn)在已開始出貨支持PurePrint技術(shù)的驅(qū)動(dòng)器。最后，如果您想要最堅(jiān)不可摧的安全解決方案，我們可以提供行業(yè)獨(dú)一無二的Match-in-Sensor傳感器匹配解決方案。在這個(gè)解決方案中，指紋模板將只在傳感器內(nèi)進(jìn)行匹配。這種方案將傳送至主機(jī)的數(shù)據(jù)限制在簡(jiǎn)單的“是”或“否”。即便如此，匹配結(jié)果也是加密的。如果筆記本電腦制造商選擇使用有Synaptics SentryPoint技術(shù)的指紋傳感器，那么上述破解攻擊成功的幾率將被大大降低。

多年以來，我們的許多客戶已經(jīng)采用了完全加密的指紋傳感器，有些甚至選擇具備更高安全可靠性的加密技術(shù)和Match-in-Sensor傳感器匹配技術(shù)。今年開始，我們?cè)隍?qū)動(dòng)器中也開始出貨PurePrint防偽造技術(shù)，幫助我們防御假體指紋。

我們?cè)诹闶鄣曩?gòu)買了我們的演示筆記本電腦，這臺(tái)筆記本電腦使用的是未加密的手機(jī)傳感器。在過去的兩個(gè)星期里，我們一直在實(shí)時(shí)演示竊取用戶指紋圖像是何等容易的一件事。僅僅五分鐘，我們就可以偷走你的指紋，然后獲得你筆記本電腦和公司網(wǎng)絡(luò)的所有訪問權(quán)限;在不到20分鐘內(nèi)，我們就能偷走你的指紋，然后制作假體去解鎖大多數(shù)主流手機(jī)，去查看手機(jī)中的文本、圖片和數(shù)據(jù)。