来源：黑骑士

15日，2019年国家网络安全宣传周上，上海信息安全行业协会副主任张威的一句安全提醒引来轩然大波，“基本上1.5米内拍摄的剪刀手照片就能100%还原出被摄者的指纹，在1.5米-3米的距离内拍摄的照片能还原出50%的指纹，只有超过3米拍摄的照片才难以提取其中的指纹。”

事实真如他所说如此严重？黑奇士（id hqssima）对其展开了调查。

2017年12月，某安全实验室对主流品牌手机所做的安全测试，当时选取的8款手机，都无法承受指纹伪造的“5-5攻击”（5分钟内，所耗用成本不超过5毛钱）。但相对而言，国产厂商汇顶科技的指纹识别方案，相对最为成熟，攻击难度最大。

（百度的测试结果，8款手机全部沦陷）

深扒“剪刀手泄密”根源：手机摄像头越来越清楚

黑奇士采访的安全专家介绍说，目前的指纹识别基本原理都类似：都是通过传感器把生物特征投影成像为数字信号，指纹也不例外。具体来说分为指纹图像提取、预处理、特征提取、比对等步骤。

但指纹识别，不像一般人想象的那样，把识别的图像跟已经储存的图像做对比。而是提取出一串特征值，跟数据库中已有的特征值做对比。相同率百分之多少以上，就认为是同一个指纹。

这样，就存在着伪造指纹的攻击空间，只要获取到指纹的照片，通过算法增强、AI提取特征，就可能攻破指纹识别验证。

而且现在的手机摄像头分辨率越来越高，像某些品牌的高端手机摄像头分辨率已经到了4000万，普通手机摄像头的分辨率也有1000多万，如果是图片原图的话，分辨率已经足够清楚（从剪刀手提取指纹特征）。

这也就是张威主任所说的，“1.5米拍摄，100%还原指纹”所表达的意思。

指纹伪造有前提：美图美颜有干扰

但是，伪造指纹并不像简要新闻里说的那么容易，比如从各种场景中提取指纹，就是伪造指纹的重要一环。如果这都无法提取，后续的指纹伪造攻击就无从谈起。

所以，有些网友开玩笑的说，“美颜手机是保护隐私的利器，美颜之后别说指纹，连酒窝都没了”

（美颜之后的黄晓明和网红阿纯）

而且专家提醒说，要想从图片中提取剪刀手的指纹特征，最好是分辨率较高的图片原图（一张图片十几兆那种），从网上随便找的图因为可能有美颜、压缩等操作干扰，从中提取指纹特征难度较高。

根据百度安全实验室的测试文章，提取指纹特征更多的场景，其实是从按指纹的合同中提取，或者从手机壳、玻璃等光滑表面拍摄的汗污指纹，“剪刀手图片”仅仅是各种场景中较不常见的一种。

（从上图的手机壳上翻拍处理过的指纹图，来自百度安全实验室）

指纹识别：需要加入生物识别特征

每次当手机厂商发布有关生物特征识别的产品时，总会有人有各种担心，比如iPhone中加入face id，就有人发布破解方案，这些都给普通读者带来恐慌。

因为，生物特征一旦识别无法改变。每个人的指纹都是独一无二的，相同概率大概只有150亿分之一。而指纹识别的成本又相对较低，从而迅速成为手机保证安全的基础模块之一。

但是，单一的生物识别必然存在种种问题，比如虹膜和指纹识别，很容易被欺骗或绕过。因此，百度安全实验室专家在文章中呼吁“指纹方案厂商、手机厂商增强指纹防攻击方面的能力，让每一个人可以安全、便捷的使用指纹识别。”

翻译成普通人能明白的话说，就是：指纹识别厂商，你们所谓的“生物识别技术，别老存在于PR文章中，也需要变成实际产品落地”；

手机厂商，你们要考虑用户的安全需求，别为了省几块钱的成本，就选择更便宜的指纹识别方案。安全上不出事还好，出事就是大事，让用户倾家荡产的那种；

对于普通用户，你们别觉得指纹识别很高科技很厉害，要破解他，五毛钱就够了。如果转账或其他场景要用，最好别光依赖指纹，还要加上密码验证、生物识别和行为风控判断。

专家建议：普通用户要学会这三招

安全专家提醒用户：

1、尽量不要在朋友圈、各种群等公开场合发布自拍照，如果要发，最好要去掉图片特征（抹掉GPS坐标、拍照设备型号等等），经过压缩、美颜等处理后再发。（自拍照可以泄露很多隐私）

2、在使用指纹、虹膜等作为认证的时候，最好叠加其他认证，比如在iPhone账号上，开启手机账号双重验证，大额银行转账不要依赖单一认证因素。

3、注意保护自己的生物特征信息，比如，按指纹的合同文本，在执行完毕之后要收回；手机壳、手机屏幕上的汗污指纹，要及时清除；从单位离职时，指纹打卡机上的面容识别要清除等等。

（这个合同指纹就很容易被人翻拍，来源：百度安全实验室）