Smartphone biasanya menangkap bagian terbatas dari sidik jari penuh menggunakan sensor kecil. Beberapa sidik jari parsial ditangkap untuk jari yang sama saat mendaftar. Angka tersebut menunjukkan satu set sidik jari parsial (b) yang diambil dari sidik jari penuh (a).
Kredit: Gambar milik NYU Tandon School of Engineering
Tidak ada dua orang yang diyakini memiliki sidik jari yang sama, namun para periset di New York University Tandon School of Engineering dan Michigan State University College of Engineering telah menemukan bahwa kesamaan sebagian antara cetakan cukup umum bahwa sistem keamanan berbasis sidik jari yang digunakan pada ponsel dan Perangkat elektronik lainnya bisa lebih rentan dari yang diperkirakan sebelumnya.
Kerentanannya terletak pada kenyataan bahwa sistem otentikasi berbasis sidik jari memiliki sensor kecil yang tidak menangkap sidik jari lengkap pengguna. Sebagai gantinya, mereka memindai dan menyimpan sebagian sidik jari, dan banyak telepon memungkinkan pengguna mendaftarkan beberapa jari berbeda dalam sistem autentikasi mereka. Identitas dikonfirmasi saat sidik jari pengguna cocok dengan cetakan sebagian yang tersimpan. Para peneliti berhipotesis bahwa ada cukup banyak kesamaan di antara cetakan sebagian orang yang berbeda sehingga seseorang dapat menciptakan “MasterPrint”.
Nasir Memon, seorang profesor ilmu komputer dan teknik di NYU Tandon dan pemimpin tim peneliti, menjelaskan bahwa konsep MasterPrint mengandung beberapa kesamaan dengan seorang hacker yang mencoba untuk memecahkan sistem berbasis PIN menggunakan kata kunci yang umum digunakan seperti 1234. “About 4 persen dari waktu, password 1234 akan benar, yang merupakan probabilitas yang relatif tinggi saat Anda hanya menebak, “kata Memon. Tim peneliti menetapkan untuk melihat apakah mereka dapat menemukan MasterPrint yang bisa mengungkapkan tingkat kerentanan yang serupa. Memang, mereka menemukan bahwa atribut tertentu dalam pola sidik jari manusia cukup umum untuk menimbulkan masalah keamanan.
Memon dan rekan-rekannya, NYU Tandon Postdoctoral Fellow Aditi Roy dan Profesor Universitas Ilmu Pengetahuan Alam dan Teknik Michigan State Arun Ross, melakukan analisis mereka dengan menggunakan 8.200.000 sidik jari parsial. Dengan menggunakan perangkat lunak verifikasi sidik jari komersial, mereka menemukan rata-rata 92 MasterPrints potensial untuk setiap batch sampel secara acak dari 800 cetakan parsial. (Mereka mendefinisikan MasterPrint sebagai salah satu yang cocok dengan setidaknya 4 persen cetakan lainnya dalam batch sampel secara acak.)
Namun, mereka menemukan satu MasterPrint full-sidik jari dengan sampel 800 cetakan penuh. “Tidak mengherankan, ada kemungkinan lebih besar untuk salah mencetak sebagian cetak dari yang utuh, dan kebanyakan perangkat hanya bergantung pada parsial untuk identifikasi,” kata Memon.
Tim menganalisis atribut MasterPrint yang diambil dari gambar sidik jari sebenarnya, dan kemudian membangun sebuah algoritma untuk menciptakan MasterPrints parsial sintetis. Percobaan menunjukkan bahwa cetakan sebagian sintetis memiliki potensi pencocokan yang lebih luas lagi, membuat mereka lebih cenderung mengelabui sistem keamanan biometrik daripada sidik jari parsial sebenarnya. Dengan MasterPrints yang disimulasikan secara digital, tim melaporkan berhasil mencocokkan antara 26 dan 65 persen pengguna, bergantung pada berapa banyak jejak sebagian sidik jari yang tersimpan untuk setiap pengguna dan dengan asumsi jumlah maksimum lima percobaan per autentikasi. Sidik jari yang lebih parsial pada toko smartphone yang diberikan untuk setiap pengguna, semakin rentan.
Roy menekankan bahwa pekerjaan mereka dilakukan di lingkungan simulasi. Dia mencatat, bagaimanapun, bahwa perbaikan dalam menciptakan cetakan dan teknik sintetis untuk mentransfer MasterPrint digital ke artefak fisik agar spoof perangkat menimbulkan masalah keamanan yang signifikan. Kemampuan pencocokan MasterShatch yang tinggi menunjukkan tantangan dalam merancang sistem otentikasi berbasis sidik jari yang dapat dipercaya dan memperkuat kebutuhan akan skema otentikasi multi-faktor. Dia mengatakan bahwa karya ini bisa memberi tahu desain masa depan.
“Karena sensor sidik jari menjadi lebih kecil, sangat penting bagi resolusi sensor agar ditingkatkan secara signifikan agar mereka dapat menangkap fitur sidik jari tambahan,” kata Ross. “Jika resolusi tidak membaik, kekhasan sidik jari pengguna secara pasti akan terganggu. Analisis empiris yang dilakukan dalam penelitian ini dengan jelas mendukung hal ini.”
Memon mencatat bahwa hasil penelitian tim didasarkan pada pencocokan berbasis minutiae, yang mungkin atau mungkin tidak digunakan oleh vendor tertentu. Meskipun demikian, selama sidik jari parsial digunakan untuk membuka perangkat dan beberapa tayangan parsial per jari disimpan, kemungkinan menemukan MasterPrints meningkat secara signifikan, katanya.
“Investasi NSF dalam penelitian keamanan dunia maya membangun basis pengetahuan dasar yang dibutuhkan untuk melindungi kita di dunia maya,” kata Nina Amla, direktur program di Divisi Komputasi dan Yayasan Komunikasi di National Science Foundation. “Sama seperti penelitian yang didanai NSF lainnya telah membantu mengidentifikasi kerentanan dalam teknologi sehari-hari, seperti mobil atau peralatan medis, menyelidiki kerentanan sistem otentikasi berbasis sidik jari yang menginformasikan kemajuan keamanan secara terus-menerus, memastikan perlindungan yang lebih dapat diandalkan bagi pengguna.”