根据思科Talos的最新研究，指纹认证通常仅对普通用户有效，但对于身份更为重要的用户或包含敏感数据的设备而言，指纹认证并没有用。

在4月8日发布的博客文章《指纹克隆：神话还是现实？》中，思科Talos研究员Paul Rascagneres以及技术主管兼安全研究员Vitor Ventura得出结论，“3D打印技术可以欺骗电话和计算机指纹扫描仪。”他们收集了真实人物的真实指纹-包括臭名昭著的黑帮成员Al Capone，然后用3D打印机创建了指纹模具。

根据这项研究现实，在使用假指纹的过程中，Rascagneres和Ventura的平均成功率约为80%。在视网膜扫描和面部识别技术之前，指纹扫描是最常见的生物识别方式。

Ventura说：“我们想看看指纹认证是否安全。”

通过利用Rascagneres作为3D艺术家的特长，这两位研究人员测试了不同品牌和设备模型，并开发了与实际情况相匹配的威胁模型。

Rascagneres说：“随着最近生物特征信息的泄漏以及3D打印技术的进步，以及指纹认证的大量使用，我们想知道创建伪造指纹的难度有多大。我们有两个主要目标：尽可能接近现实世界的体验，并与世界分享我们的过程，并说明在低预算的情况下完成这项工作的难度。”

研究人员在博客中写道，他们以“预算限制为前提，看看这是否可以在低预算情况下完成，还是需要由国家资助的参与者完成。”

Rascagneres说：“在我们的预算情况下，这很耗时。每次尝试都需要花费数小时。而资金雄厚的攻击者可以获得更好更昂贵的打印设备，例如医疗设备。通过更大的预算，我们认为这个过程将得到改善和更加准确。”

在进行研究时，他们发现他们的3D打印方法无法攻破Windows Hello生物特征认证。

Rascagneres说：“我们认为微软算法更严格。指纹认证需要控制指纹上的多个点，我们认为Microsoft Windows比其他设备需要验证更多的点。”

该博客还提到了苹果公司，并指出“除了苹果以外，大多数传感器都是由第三方开发的”，这是一个优势。

Rascagneres说：“从实现的角度来看，更容易成为整个协议栈的所有者。”

这并不是研究人员第一次质疑生物识别认证的有效性。例如，2018年，纽约大学丹顿分校和密歇根州立大学的研究人员开发了DeepMasterPrints，这是AI生成的伪造指纹图像，可能蒙骗生物识别传感器。

而在两年后， Rascagneres和Ventura发现，指纹技术仍未发展到足以应对所有提议的威胁模型。

现在，攻击者可以从由机器学习生成的高级攻击（例如DeepMasterPrints）转移到低级的廉价的打印攻击。

Rascagneres和Ventura在博客中写道：“3-D打印技术使任何人都可以创建伪造的指纹。不仅如此，还可以利用适当的资源大规模地进行伪造。”