五分钟内，一个人伪造了指纹，闯入了我的**。这很简单，这是生物识别公司Vkansee几个月来一直在贸易展上玩的把戏。只需要一些牙模来做铸模，一些橡皮泥来填充，然后一点点的尝试和错误就可以把橡皮泥放在指纹阅读器上。我们用同样的印刷品做了两次：一次是iphone6，一次是Galaxy S6。就黑客而言，它的排名只是比热气腾腾地打开一封信难一点。

当然，这种特殊的方法只有在你需要指纹的人的帮助下才有效——即便如此，它也不是一个万无一失的系统。幸运的是，我自己的指尖太光滑了，无法留下印象，所以我们只能依靠导演菲尔·埃斯波西托，他成功地塑造了拇指，并用它来解锁两部**。

德国国防部长指纹的工作模型

这也是绕过指纹扫描仪的最原始的方法之一。我见过CITER的研究人员用3D打印的模具完成了类似的工作，这种模具是由存储的图像而不是真实的手指开发出来的。如果模子里装满了橡胶，你就可以永久地戴着它，愚弄任何小到可以装在智能**上的阅读器。在2014年的CCC会议上，一位名为Starbug的安全研究人员利用这些技术，根据德国国防部长手部的高分辨率照片，构建了一个德国国防部长指纹的工作模型。

这是个好把戏，应该会让我们有点紧张。指纹阅读器现在是现代智能**的重要组成部分，在大多数情况下，它们使应用程序更加安全。大多数生物识别阅读器使用的是隔离硬件和零知识证明，因此捕获传输中的数据不足以欺骗登录。如果你要闯入，你需要指纹本身。坏消息是，指纹仍然可能被盗——而且与密码不同的是，你不能更改你的指纹，因此一次凭证被盗就会造成终生的漏洞。看起来像是安全升级的东西，其实要复杂得多。

西特**的橡胶指纹尖

在圣贝纳迪诺事件发生后，情况尤其如此，**特工正努力解锁一部与一起大规模枪击案有关的iPhone。碰巧的是，被质疑的iPhone是5C——这是最后一款没有指纹读取器的iPhone。但如果最近的一部**是按法鲁克的指纹输入的，那么调查人员破门而入就微不足道了。正如当时一些病态评论员指出的那样，FBI掌握了法鲁克的尸体，因此他们可以简单地把电话拿到停尸房，把他的手指放在TouchID键盘上。

甚至在受试者还活着且不合作的情况下，这也是可能的。最近在洛杉矶发生的一个案件中，一名法官在一名女子因身份盗窃被定罪后，签发了一份搜查令，强迫她将手指放在被扣押的**上，以便解锁**。

将某人的手指按在被扣押的电话上的搜查令

如果那个女人在联邦**不断增长的数据库中，逮捕令可能就没有必要了。3D打印模型可以将任何指纹图像转换成指纹的工作模型，警察可以从中选择的图像越来越多。国土安全部的政策是在14岁至79岁的非美国公民入境时收集他们的指纹，同时，越来越多的指纹是从海关和边境巡逻队逮捕的无证移民身上提取的。联邦调查局有一个独立的IAFIS数据库，有超过1亿个指纹记录，包括3400万个与犯罪档案无关的“民事指纹”。国防部拥有第三个数据库，其中有更多的指纹是由世界各地的军官收集的。这些记录通常用于验证，但一旦收集到，就没有理由不能用来触发指纹读取器。

随着收集变得越来越普遍，指纹可能成为另一种容易泄露的数据形式，与密码、信用卡和社会安全号码并列。我们已经看到了，当OPM泄露泄露了1400万联邦工作人员的指纹时。当犯罪分子从家具上甚至从高分辨率照片上提取指纹时，同样的**盗窃也可能发生在较小的范围内。对于一个意志坚定的攻击者来说，指纹比密码更容易被窃取：它在你的身体上随时可见，你每次碰到一个平坦的表面都会把它泄露出去。对于罪犯来说，找那么多麻烦还是很少见的，但如果我们依靠指纹登录的话，这种情况可能会变得更普遍。一旦有人有了印刷品的图像，**模型就变得微不足道了。3D打印机很容易找到，一些安全专家已经找到了伪造打印的其他方法。

即使大多数**上都安装了指纹阅读器，生物识别技术仍远未成为进入我们设备的主要方式。分析人士估计，只有不到15%的iPhone用户是通过TouchID传感器登录的，而且许多**上根本没有用户的指纹。对于那些**来说，**储存的指纹实际上是无用的。但对于记录了指纹的用户来说，这给警方提供了一个方便的进入途径。洛杉矶的案例表明，**正开始充分利用这一机会。

这不仅是犯罪分子的问题，也是生物特征识别的问题。只要联邦机构大量收集指纹，它们就永远不会是私人的，这意味着它们永远不会真正安全。一旦它被收集起来，它就可以被泄露，正如OPM黑客所显示的那样。对于任何一个希望指纹阅读器能开创移动安全新纪元的人来说，这是个可怕的消息。对圣贝纳迪诺和锁屏保护的新关注只会让人明白这一点。指纹可以是个人密码，也可以是**身份证，但不能两者兼而有之。在这种情况下，**可能已经为我们做出了选择。