凡「用」過(guò)必留下痕跡，談指紋識(shí)別的潛在危機(jī)！

cooper — Fri, 14 Jun 2019 06:19:33 +0000

生物識(shí)別技術(shù)在近十年已逐漸發(fā)展出多達(dá)10種面向，例如日常生活中普遍可見(jiàn)的指紋識(shí)別（fingerprint）、或科幻電影中常出現(xiàn)的視網(wǎng)膜識(shí)別（retina）與虹膜識(shí)別（iris）、再到近兩年火熱的臉部識(shí)別（face recognition）與聲紋識(shí)別（voice pattern）等。這些技術(shù)已逐漸化身為人們的分身，成為我們獨(dú)一無(wú)二的最佳「代言人」，讓我們不必再為傳統(tǒng)式的長(zhǎng)串密碼逐一記憶，以及憂于近年來(lái)頻繁的網(wǎng)絡(luò)釣魚(yú)攻擊造成的密碼破解、竊取等風(fēng)險(xiǎn)，用戶逐漸以生物特征識(shí)別代替長(zhǎng)串密碼。

我們每天其實(shí)無(wú)時(shí)無(wú)刻都離不開(kāi)「代言人」，尤以常見(jiàn)的指紋為例，早上起床時(shí)先解鎖手機(jī)看郵件看新聞、到了公司使用指紋打卡、午餐時(shí)使用指紋解鎖移動(dòng)支付APP、開(kāi)車前用指紋對(duì)車門解鎖、進(jìn)家門前使用指紋智能門鎖等，這一系列的小動(dòng)作著實(shí)改變了以往的使用習(xí)慣。

另一方面，指紋的應(yīng)用也有助于提升政府機(jī)關(guān)的辦事效率。例如出國(guó)時(shí)常使用指紋作為出入境記錄，可節(jié)省人力查驗(yàn)資源與省去大排長(zhǎng)龍的等待時(shí)間，亦或是在國(guó)內(nèi)外，刑警用嫌犯遺留的指紋來(lái)加速對(duì)嫌犯的身份確認(rèn)。

然而，我們的「代言人」也常會(huì)因?yàn)椴环ㄈ耸康母`取，例如復(fù)制裝置上的指紋痕跡便可輕易制作出相同的指紋膜，造成個(gè)人資料、企業(yè)機(jī)密外泄，輕則造成財(cái)產(chǎn)上的損失，重則可能危及人生安全等問(wèn)題。隨著愈來(lái)愈多智能手機(jī)搭載指紋識(shí)別技術(shù)，整體市場(chǎng)規(guī)模不斷提升，指紋識(shí)別將會(huì)更全面性地影響一般消費(fèi)者日常生活，百佳泰因此投入相當(dāng)?shù)娜肆εc時(shí)間，做了一系列實(shí)驗(yàn)來(lái)探討指紋識(shí)別在安全性、可用性以及便利性上會(huì)碰到的一些狀況。

圖說(shuō)：指紋識(shí)別技術(shù)的安全隱患

業(yè)界 vs. 百佳泰檢測(cè)專家

在業(yè)界，對(duì)于生物識(shí)別認(rèn)證具有一定規(guī)模的國(guó)際標(biāo)準(zhǔn)化組織-線上快速身份驗(yàn)證聯(lián)盟（FIDO，F(xiàn)ast Identity Online），針對(duì)指紋，虹膜，人聲等生物特征制訂出三大開(kāi)放認(rèn)證標(biāo)準(zhǔn)機(jī)制:

?誤識(shí)率 （False Accept Rate，F(xiàn)AR）：在指紋識(shí)別驗(yàn)證，意指不正確的指紋被裝置成功接收的出錯(cuò)概率
?拒識(shí)率 （False Reject Rate，F(xiàn)RR）：在指紋識(shí)別驗(yàn)證，意指正確的指紋被裝置拒絕的出錯(cuò)概率
?冒牌攻擊 （Impostor Attack Presentation Match Rate，IAPMR）

FIDO聯(lián)盟要求以「無(wú)密碼」身份驗(yàn)證取代傳統(tǒng)輸入密碼驗(yàn)證，采用更可靠、更安全的驗(yàn)證方式，結(jié)合裝置端與在線的身分驗(yàn)證，讓使用者可透過(guò)多種識(shí)別方式在FIDO平臺(tái)達(dá)到便利快速的安全身份驗(yàn)證，降低對(duì)傳統(tǒng)密碼的過(guò)度依賴性。

身為檢測(cè)專家的百佳泰亦認(rèn)同F(xiàn)IDO聯(lián)盟無(wú)密碼認(rèn)證的重要性及未來(lái)性，然而，無(wú)密碼身份驗(yàn)證技術(shù)因需考慮到用戶各式的生物特征以及不同的使用行為，具備一定的驗(yàn)證困難度。因此，百佳泰提出了相對(duì)應(yīng)的生物識(shí)別驗(yàn)證，以確保裝置在使用上的便利性及安全性是符合使用者需求。接下來(lái)，請(qǐng)跟著我們的實(shí)驗(yàn)一同探討指紋識(shí)別到底會(huì)存在哪些問(wèn)題吧！

百佳泰動(dòng)手實(shí)測(cè)指紋傳感器

目前時(shí)下各廠牌手機(jī)與筆記本電腦普遍使用的是電容式識(shí)別及屏下光學(xué)識(shí)別技術(shù)，百佳泰搜集了含有這兩種識(shí)別技術(shù)的10款手機(jī)與4款筆電，進(jìn)行一連串的指紋實(shí)測(cè)，首先簡(jiǎn)單介紹電容式指紋識(shí)別和屏下光學(xué)識(shí)別技術(shù)。

?電容式識(shí)別 ：包含手機(jī)與筆記本電腦上的指紋識(shí)別。指紋模塊透過(guò)人體手指的電荷變化、溫度、壓力進(jìn)行掃描，因其技術(shù)成熟、價(jià)格低廉、及易于安裝等因素成為目前主流廠商首選。
?屏下光學(xué)識(shí)別：將指紋識(shí)別模塊安裝在屏幕下，透過(guò)OLED顯示器發(fā)射出的藍(lán)綠光將指紋紋路照亮并記錄生物特征后，再透過(guò)光線反射穿透屏幕傳回至指紋識(shí)別模塊進(jìn)行解鎖。目前逐漸被用于全屏幕裝置中，但因價(jià)格與技術(shù)門坎稍高，較為不普遍。

日常生活的便利性

你的裝置能在任何角度、方向順心解鎖嗎？

當(dāng)使用者將手指放置于桌上的手機(jī)進(jìn)行解鎖時(shí)，偶爾會(huì)發(fā)現(xiàn)手機(jī)無(wú)反應(yīng)或解鎖不成功提示信息。

為了確保指紋識(shí)別功能可隨時(shí)隨地正常使用，我們透過(guò)不同使用者，并以常見(jiàn)的兩種使用習(xí)慣來(lái)測(cè)試指紋模塊是否能夠精準(zhǔn)解鎖。

1. 對(duì)著裝置進(jìn)行連續(xù)按壓的登入動(dòng)作

2. 從不同方向?qū)χb置進(jìn)行按壓登入

圖說(shuō)：各品牌手機(jī)與筆電均能達(dá)到近九成的指紋識(shí)別解鎖率

從實(shí)驗(yàn)結(jié)果中得知，不管是光學(xué)的屏下指紋識(shí)別或傳統(tǒng)的電容式指紋識(shí)別都能達(dá)到九成以上的解鎖成功率，因此可推斷出解鎖技術(shù)不論在重復(fù)登入功能、角度或方向上已趨于成熟，也滿足使用者對(duì)于解鎖方便性的期待。

日常生活的便利與安全性的兩難

用戶的直觀體驗(yàn)往往決定了產(chǎn)品的成敗關(guān)鍵！然而，為了便利性而犧牲安全性值得嗎?

當(dāng)用戶興奮地啟動(dòng)剛買到的新手機(jī)，卻被復(fù)雜的注冊(cè)指紋步驟搞的暈頭轉(zhuǎn)向；或是手指對(duì)準(zhǔn)裝置的解鎖器，卻需要長(zhǎng)時(shí)間解讀指紋造成裝置無(wú)法快速解鎖的情況。

經(jīng)由百佳泰實(shí)測(cè)分析，發(fā)現(xiàn)指紋注冊(cè)次數(shù)和解鎖反應(yīng)時(shí)間往往是用戶最關(guān)心的問(wèn)題。透過(guò)結(jié)果顯示，屏下光學(xué)識(shí)別要求較多的指紋按壓次數(shù)（平均需20次），遠(yuǎn)遠(yuǎn)大于電容式識(shí)別的按壓次數(shù),平均在12次左右(僅少數(shù)兩款需8次的指紋按壓便能完成注冊(cè))。

另一方面，我們做了關(guān)于指紋傳感器的起始時(shí)間實(shí)驗(yàn)。從數(shù)據(jù)得知，無(wú)論是屏下光學(xué)式或電容式傳感器，裝置的平均解鎖時(shí)間都能維持在816毫秒（ms）左右；等同于用戶僅需花費(fèi)不到眨一次眼的時(shí)間，便能快速解鎖。此外，在這項(xiàng)實(shí)驗(yàn)里，其中一款電容式手機(jī)的解鎖反應(yīng)時(shí)間更僅花費(fèi)262毫秒就能解鎖，表現(xiàn)相當(dāng)優(yōu)異。

然而，「注冊(cè)次數(shù)少」與「解鎖反應(yīng)時(shí)間快」真的為衡量指紋識(shí)別的最佳搭配指標(biāo)嗎？由于各廠牌有各自開(kāi)發(fā)的算法，在數(shù)據(jù)結(jié)果呈現(xiàn)也不盡相同。倘若廠商為求便利而減少注冊(cè)次數(shù)、提升反應(yīng)時(shí)間，極可能將用戶置于在不安全的加密環(huán)境中，讓不法人士將有跡可循，造成機(jī)密外泄/財(cái)產(chǎn)損失等問(wèn)題。

因此，為了提供良好的用戶體驗(yàn)，好讓使用者提高便利性的同時(shí)也能享有安全性，廠商該如何讓指紋解鎖在這雙面刃做出完美平衡，將是廠商的一大課題之一。透過(guò)百佳泰的驗(yàn)證測(cè)試，可協(xié)助您找出裝置注冊(cè)次數(shù)與解鎖反應(yīng)時(shí)間的最佳平均值，避免因繁雜的注冊(cè)次數(shù)或過(guò)長(zhǎng)的解鎖時(shí)間造成使用者的困擾、或接收客訴等問(wèn)題。

日常生活的便捷性

干擾PK賽，誰(shuí)才是阻撓消費(fèi)者方便使用的干擾之王?

以下兩種情況是否有似曾相識(shí)的感覺(jué)。

才剛洗完手，家人突然來(lái)電，嘗試對(duì)手機(jī)進(jìn)行解鎖，卻怎么也解不開(kāi)，最后電話接不到，手機(jī)也被弄得濕濕的。
媽媽打算善加利用手機(jī)食譜APP燒出一道好菜，本以為油膩的手會(huì)無(wú)法解鎖，卻發(fā)現(xiàn)油膩膩的手指也能讓手機(jī)輕松解鎖！

針對(duì)上述情境，百佳泰特別選擇了日常生活中消費(fèi)者最常見(jiàn)接觸使用的三種介質(zhì)：液體、油脂、粉末(其中每個(gè)介質(zhì)又包含了兩種不同的產(chǎn)品)，來(lái)檢視各種介質(zhì)對(duì)一般民眾的影響。

圖說(shuō)：百佳泰針對(duì)常見(jiàn)的六種物質(zhì)模擬常見(jiàn)的場(chǎng)景進(jìn)行實(shí)驗(yàn)

在下圖結(jié)果中我們發(fā)現(xiàn)，電容式傳感器(藍(lán)色圓柱)在這六種媒介上有著40%以上的解鎖率，為三種傳感器中表現(xiàn)最出色的；反之，藉由屏下指紋解鎖的光學(xué)式傳感器(橘色圓柱)除了在護(hù)手霜的實(shí)驗(yàn)勇奪第一之外，在其他介質(zhì)方面普遍都容易受到干擾。言下之意，消費(fèi)者在使用屏下光學(xué)式模塊裝置之際，遇上較差的用戶體驗(yàn)機(jī)率最高，這是廠商在模塊的設(shè)計(jì)上則需克服的能力。

此外，在六種介質(zhì)測(cè)試中我們發(fā)現(xiàn)，在廚房容易碰到的面粉，或是運(yùn)動(dòng)員使用的滑石粉，則是電容式模塊的干擾之王，解鎖率極低；肥皂水不管對(duì)電容式、光學(xué)式甚至是筆電觸控的傳感器都呈現(xiàn)較低解鎖率；而橄欖油除了對(duì)光學(xué)式產(chǎn)生較大影響外，對(duì)于電容式裝置基本都能順利解鎖。介質(zhì)測(cè)試結(jié)果除了可提供模塊廠商做參考，另更可以提供給手機(jī)品牌商，作為挑選模塊廠商的依據(jù)。

日常生活的方便性

貼心設(shè)計(jì)：指紋模塊能包容你的缺陷！

每個(gè)人手上的指紋都不一定呈現(xiàn)完整狀態(tài)，有時(shí)會(huì)因先天或外傷等因素造成指紋缺陷，這讓不少消費(fèi)者擔(dān)心自身的指紋狀況會(huì)直接影響解鎖成功率。針對(duì)此問(wèn)題，百佳泰深刻了解唯有透過(guò)日常真實(shí)使用情境模擬才可確切檢測(cè)并反應(yīng)出真正的問(wèn)題點(diǎn)。從實(shí)驗(yàn)結(jié)果得知，盡管指紋或多或少的被遮蔽了，裝置依然能被順利解鎖；然而，如指紋被遮蔽超過(guò)一半時(shí)，屏下光學(xué)識(shí)別較不能容易辨別，從而讓解鎖失敗。

這項(xiàng)測(cè)試結(jié)果對(duì)于使用者來(lái)說(shuō)無(wú)非是件可喜之事，使用者日后無(wú)需為手指上的小缺陷或是小疤痕是否能讓裝置解鎖煩惱，因?yàn)橄噍^于本文中列出的其他問(wèn)題，指紋缺陷對(duì)于裝置解鎖的影響可說(shuō)是微乎其微。

日常生活的安全性

指紋盜取好Easy，你的身份被復(fù)制了嗎？

不帶錢包出門的生活方式已逐漸被大眾接受，許多人喜歡在日常生活中使用指紋透過(guò)移動(dòng)支付APP消費(fèi)。然而，當(dāng)使用者暫時(shí)將手機(jī)放置于桌面時(shí)，不法人士可能藉此復(fù)制裝置上所殘留的指紋！輕則財(cái)產(chǎn)損失，重則你的身份可能被使用在非法途徑中。

在前三項(xiàng)實(shí)驗(yàn)中，我們研究了真實(shí)指紋對(duì)于傳感器的敏銳度及辨識(shí)度。然而，現(xiàn)今還是有不法人士透過(guò)指紋復(fù)制的詐騙手法來(lái)竊取對(duì)方的財(cái)產(chǎn)。對(duì)于這類層出不窮的詐騙手法，我們應(yīng)當(dāng)如何防范？

百佳泰透過(guò)市面上容易取得的材料，以可塑性白膠為基底再搭配其他物質(zhì)加工出4種不同類型的指紋模型，實(shí)驗(yàn)這4種指紋模型是否能成功破解傳感器。

圖說(shuō)：百佳泰實(shí)驗(yàn)四種不同材質(zhì)的指紋模型進(jìn)行破解

圖說(shuō)：4種材質(zhì)指紋模型破解情況

透過(guò)上述實(shí)驗(yàn)結(jié)果，新技術(shù)的屏下指紋光學(xué)識(shí)別在復(fù)制指膜上風(fēng)險(xiǎn)最大，除了材料3因材質(zhì)問(wèn)題所制作出的指紋紋路不明顯，無(wú)法對(duì)所有的傳感器進(jìn)行破解，其他3種材料皆可輕易對(duì)屏下指紋光學(xué)識(shí)別破解。

在制造商們尚未提升傳感器辨別假指紋的功能時(shí)，消費(fèi)者如購(gòu)買帶有屏下指紋識(shí)別的裝置，則要多注意屏幕上的指紋是否有定期擦除，如稍加不留意，不法人士便可竊取指紋，讓自己的人身財(cái)產(chǎn)處在高危的風(fēng)險(xiǎn)中。換句話說(shuō)，如廠商能提升傳感器對(duì)于假指紋的辨識(shí)度，便能作為產(chǎn)品的營(yíng)銷利器，茲以證明自家產(chǎn)品安全性優(yōu)于市面其他產(chǎn)品。

百佳泰指紋識(shí)別測(cè)試為您找出裝置的弱點(diǎn)

市面上存在著各式各樣的指紋破解法，使用者只要稍加不留心，個(gè)人信息很可能就落入到他人手中！在提升安全性的同時(shí)，廠商亦須將使用便利性納入考慮。本篇文章以屏下光學(xué)式、電容式指紋識(shí)別為例，研究使用者在日常生活中可能遇到的問(wèn)題以及該如何防范。根據(jù)百佳泰多年測(cè)試經(jīng)驗(yàn)，能針對(duì)客戶需求，省去選擇機(jī)種時(shí)間并快速找出裝置上指紋傳感器的弱點(diǎn)，逐一提供解決方案。

在FIDO強(qiáng)調(diào)裝置與在線進(jìn)行身份識(shí)別結(jié)合的同時(shí)，百佳泰也致力于幫助用戶能擺脫傳統(tǒng)先記憶、再輸入密碼的方式來(lái)進(jìn)行身份驗(yàn)證，朝向無(wú)密碼時(shí)代。當(dāng)前端裝置身分識(shí)別技術(shù)不斷推陳出新，我們亦將會(huì)持續(xù)導(dǎo)入其他生物識(shí)別的測(cè)試，例如超音波屏下指紋識(shí)別等，為您裝置上的傳感器進(jìn)行身份驗(yàn)證機(jī)制的把關(guān)！

如您有指紋識(shí)別的相關(guān)技術(shù)內(nèi)容需要咨詢，歡迎聯(lián)系：cn_service@allion.com.cn