很多安适呈报说，生物识别技术会代替暗码，成为身份认证的主流方案。这件事真的靠谱吗？早在2014年，Chaos Computer Club的安适研究人员Jan Krissler给德国联邦部长随便拍了几张照——那些照片是这位部长在出席某次新闻会议时拍下的，仅是操作“普通相机”，Krissler就获取到了部长同志的指纹。
他在年末的Chaos Computer Conference大会上暗示，从差此外角度拍摄部长的手指，就能构建精确的指纹数据。随后在去年的某安适会议上，Krissler又展示了从互联网照片中获取虹膜数据的方法。这不是坑爹吗？
银行现阶段似乎就看上了生物识别技术，或者叫生物计量技术——将这种技术作为ATM取款的身份认证解决方案据说很安适，好比说指纹、虹膜。

过去针对ATM取款机的打击技术，主要就集中在ATM Skimmer之上，我们也曾颁布过不少介绍ATM Skimmer的文章，其奥义就在于伪装成ATM取款机上的某个硬件部分，不管是键盘还是摄像头，以此来获取卡片信息。直到后来芯片暗码（chip-and-pin）付出卡呈现，Skimmer进化成了“shimmer”——后者实际上就是增加从卡片芯片中获取信息的能力。
但显然专攻ATM的黑客也不是食斋的，近期他们已经在研究新一代ATM Skimmer了，完全可以搞定生物识别技术。
卡巴斯基尝试室针对ATM机打击，颁布了一份30页的呈报，里面较多提及黑客对生物识别技术在ATM机上的应用早就跃跃欲试了。一旦生物识别技术被黑客破解，那带来的麻烦可不但是用户的银行卡暗码被盗这么简单了。
生物识别认证技术已经应用到ATM机？
iPhone上的TouchID指纹识别按钮就是范例的生物识别认证方法。其实在国外，生物识别认证在银行解决方案上正逐渐有普及的趋势。生物识别可以是基于形态的、行为的，也可以是心理的。现阶段对照主流的身份识别技术包孕了：
虹膜识别；
指纹识别；
掌纹识别；
血管识别；
脸部识别；
声音识别；
其他（好比手写签名）
国外的某些ATM取款机已经开始将生物体征数据作为多重身份认证的此中一重了（好比说银行卡+PIN码+生物识别）；此外针对无卡认证方案（或者智能卡片），生物体征数据也用于在线或离线身份认证。
这里的智能卡片离线认证，也就是在无需连接到银行的生物体征数据库，就能对持卡人的身份进行认证。在此，生物体征数据（好比说指纹）是储存在智能卡芯片之上的（所谓的match-on-card技术）。

生物识别身份认证在ATM机上应用的过程
其实在ATM取款设备上引入生物识别技术，完全是为了增加交易的安适性，或者说进行所谓的“强加密”。
生物识别认证在ATM机上的应用目前大抵上有两套方案，第一种是有卡生物识别认证，还有一种是无卡的。针对后一种，银行卡用户需要前往银行，首先收罗生物体征数据，好比说指纹——通过某些特定的设备（如果扫描器）来收罗。这些生物体征数据是存储在数据库中的（这与iPhone的TouchID将指纹存储在芯片黑匣子中的方案存在素质却别），ATM机或者其他银行设备在接受用户请求的时候，首先就需要连接这个数据库进行认证。
暗盘正在筹办新版Skimmer上市
从卡巴斯基尝试室的这份呈报来看（未具名来源信息），目前的地下论坛中已经开始有不少针对生物识别认证技术的勾当正在逐步开战了。针对上述安适手法，黑客要做的主要就是制造能够收罗用户生物体征数据的设备，将这样的设备以伪装的形式安置到ATM机上（甚至制造假的ATM机）。这从素质上来说，仍属于Skimmer形态。

目前暗盘最火的就是指纹识别读取设备，因为这类设备对照简单，且本钱较低——地下暗盘已经有约莫12家制造商已经在试制伪装的指纹读取设备，此外还有3家在造掌纹和虹膜识别读取设备。之所以指纹识别对照热，是因为其他识别设备的难度本钱较高，而且指纹识别是相对更为主流的方案。
首批预售测试的生物识别Skimmer早在去年9月份就已经造出来了，目前第二批货估量很快也会抵达欧洲暗盘。据说在首批测试中，开发者们还是发明了不少BUG的。主要问题就在于早期的这些生物识别Skimmer给与GSM模块来传输数据，而生物体征数据量又对照大，所以传输起来会很慢。
部署这种Skimmer的要领和一般的Skimmer是一样的：首先找一台方针ATM机，然后将做好的Skimmer以非常隐蔽的方法笼罩在ATM机原本进行生物识另外处所。这样一来，打击者就能获取到受害者的生物体征数据。

如果说用户的生物体征数据是存储在EMV芯片银行卡上的，那么打击者也有特另外设备能够从中提取数据——不过需要首先给与社工的方法，拿到受害者的银行卡（或者也可以直接偷）。随后，打击者再操作恶意设备来获取卡片数据。如果这张卡用上了防篡改机制，似乎暂时还没有可从中获取数据的方案。
在此，卡片自己其实是不值钱的，真正值钱的是获取到的生物体征数据。这些数据的用途包孕：用来授权使用各类银行处事（好比网上银行）；进行在线欺诈交易；也可以将这些生物体征数据在暗盘出售，如下图所示：