近日有安全研究机构宣称,至少在14家厂商的PC和平板类产品上预装的指纹识别软件存在一个严重缺陷,能让黑客(在接触到PC的情况下)轻易破解并登录PC。
存在这一缺陷的软件是UPEK Protector Suite,该软件允许用户以自己的指纹作为登录系统密码,比传统登录密码更便捷也更安全。但实际上它并没有看起来那么美好,据悉,当这款软件激活后会把登录帐户密码写到注册表,然后用密钥加密。而这个密钥的强度很一般,一旦被人获取,用不了几秒钟就可以解密。
这款软件存在重大漏洞
如果这个问题属实,那么对于用户来说,使用指纹密码不见得比使用传统复杂密码的用户安全多少,甚至有可能更低。比如Windows的加密文件系统EFS,该系统受帐户密码控制,一旦帐户密码被破解,那么采用EFS加密的数据也将很容易被解密。
相关人员进一步研究后发现,一旦使用过UPEK后,即使关闭它,之前的密码信息仍然会保存在注册表里,除非用户手动删除它。不过目前该加密密码的准确保存路径暂未被公布。