“指纹膜”骗过考勤机 指纹识别真的安全吗？

本报记者　天笑

本报8月20日A06版刊发《科技公司里“吃空饷”用上高科技》一文引起很多读者关注。文中提及，一嫌疑人通过网络平台购买工具制作“指纹膜”，然后与公司管理人员里应外合，利用“指纹膜”打卡考勤，两年多时间内“吃空饷”达20余万元。

“指纹膜”真能骗过考勤打卡机?如果“指纹”泄露，用它锁屏的手机是否也能被解锁，进而手机钱包被人盗取?用指纹和面部识别作为密码工作是否真的安全?带着读者们的疑问，记者进行了调查——

A

读者爆料：

网购“指纹膜”代替同事打卡

制作简易一次即可通过验证

对于“指纹膜”，读者袁女士和她的同事们并不陌生。去年下半年起，公司用指纹打卡代替了原来的卡纸打卡，同一个部门的同事商量着从淘宝网买了一套“指纹膜”制作工具。10个人的部门，除了部门经理不知道此事外，其余人都制作了一枚属于自己的“指纹膜”，以防万一上班迟到，可以由先到的同事帮忙，用“指纹膜”代替打卡。

袁女士透露，这10枚“指纹膜”统一藏在公用柜子里的一个信封里，平时的利用率不算高。袁女士在看到本报的这篇报道后有些担心，“万一遗失或者被人拿走，就怕会有想不到的麻烦”，于是她将自己的那枚“指纹膜”取走后销毁，同时也提醒了部门的其他几位同事。

袁女士回忆，当初在网上购买“指纹膜”制作工具很方便，一位同事直接在淘宝网输入关键词，就跳出很多同类型产品。其中有一种是指纹套，但需要向卖方提供指纹样本，

由商家制作好后再邮寄来。考虑到安全，最后大伙儿挑选了一家出售“指纹膜”制作工具的店铺，店主附赠教程视频，拿到工具后，用明火加热半透明硅胶材质的指纹采集器，再将手指压在采集器上两分钟，然后将肉色液体倒入其中，凝固过后即可获得一枚“指纹膜”。制作的9枚“指纹膜”，除了一两个返工制作，其余都能一次性通过指纹打卡机的验证。

B

记者调查：

商品信息隐晦

卖家称“发视频教程包教包会”

根据袁女士提供的信息，记者在淘宝网上搜索，在售类似产品的卖家并不多，而且使用关键词“指纹膜”“指纹贴”搜索并不能找到在售商品，只有用“指纹摸”等谐音词才能找到。

搜索发现的类似产品价格差异较大，从几元到数百元都有。产品的材质，除了袁女士使用的半透明硅胶外，还有一种是黑色的电容胶。记者点开一款自称“打卡帮手”的产品，卖家称产品使用的是“进口的纳米硅胶”“简单好制作，拍下后发视频教程，包教包会”“做好了可以请同事帮忙代打卡”，还特别提醒“新手建议拍1个人时候多拍1人份，以防制作失败”。点击采购数量时会发现，19元1人份的商品标注“不建议、实话”，27元2人份的则标注“有备无患”，48元电容材质的商品标注“钉钉、银行、驾校、手机专拍”。

查询使用电容胶的同类产品，会发现价格都比硅胶材料贵一些。虽然不同于硅胶材料会在商品介绍的标题中写出“指纹”，但有买家在商品评论中介绍“解锁手机指纹锁一下就通过”，也有人说“可以在驾校学时机上打卡使用”。

C

陌生人要复制指纹制膜

几乎不可能

自制指纹膜一定要小心保管

据了解，从2012年起，指纹信息与其他个人信息被要求一并录入二代居民身份证，作为验证信息之一，与身份证号对应。作为具备高度辨识功能的个人敏感信息，指纹的重要性不言而喻。但是从目前的法律规定来看，制作“指纹膜”的材料并非是禁止销售的产品，买卖“指纹膜”材料本身不违法。但如果购买了材料并复制了个人的指纹信息，那就可能存在安全隐患了。

除了文中提到的利用“指纹膜”吃空饷”的案“例外，国内其他城市近年来也发生过类似作案手段的案件。其中，重庆曾有一公司员工利用他人“指纹膜”，伪造材料骗取三名同事公积金13.7万余元，后被法院以诈骗罪判处有期徒刑三年六个月;扬州也曾发生过因“指纹膜”引发的敲诈勒索案，嫌疑人拿着帮同事代为签到的“指纹膜”打完卡后，以此解开对方的笔记本电脑上的指纹识别锁，并用电脑里的“艳照”威胁同事。

参与本文案件处理的相城公安分局民警郭斐斐告诉记者，制作自己的“指纹膜”属于对自己权利的处置，不违反法律规定，而且在现实生活中，的确会存在合法使用“指纹膜”的用途，例如有的人因为磨损等原因导致指纹消失或者不清晰，保存自己的指纹来解锁手机。但复制了自己的指纹后，对于“指纹膜”的保管就要格外当心。“因为指纹具有极高的私密性，在防伪、鉴别等方面拥有显著的功能，属于个人信息的保护范围。”

对于一些读者担心的指纹是否会被窃取的问题，记者也咨询了公安部门相关技术人员。据介绍，指纹被获取的难度很高，在触碰物体的过程中留下的指纹很快就会消失，变成肉眼不可见。即便物体上的指纹被提取，也只是指纹的纹路印记，想要用此做成“指纹膜”，几乎不可能。

D

人脸识别与指纹验证

似乎并不比字符密码安全

从目前警方已掌握的案例来看，发生涉及“指纹膜”的案件几乎都是熟人间作案。陌生人如果想要窃取账号或者电子钱包，多以攻破密码的方式。因此在这里也要提醒广大读者，平时生活中要注意保管好自己的手机支付密码等信息。

公安部门技术专家也指出，从技术角度来看的话，当前不少人认为的比字符密码更安全的人脸识别和指纹验证，其实反而没有字符密码安全。因为这种唯一性且不能改变的信息，在安全识别通道中转化为唯一代码的数字信息用来解密，而且人脸和指纹都是暴露在外的，不同于铭记在心的字符密码，除非自己泄露，否则旁人无法获知。与此同时，相对于字符密码的多样性，基于指纹识别的验证，还能有10个手指轮替，但基于人脸识别的验证，一旦人脸的特征数据被掌握，似乎不存在可快速替代的有效规避手段。换言之，字符密码可以任意更换，但指纹密码也就10个，而人脸识别的绝对唯一性，反而成了最不靠谱的验证，因为人脸的特征数据是固定的，除了整容，没有可供替代的手段。