防不胜防,揭秘指纹识别中的“假技术”(2)
假技术之二,“通过率”危险指数★★★ 从字面意思看,“通过率”指使用中的成功概率。这对使用体验至上的消费电子可不得了,“通过率”测试就是指纹识别的尚方宝剑,足以一票否决。 可惜道高一尺魔高一丈,有一种偏执就会有一百种造假等着你。先看下图: 这是同一手指在干、正常、湿三种情况下采集到的图像,基于图像匹配很难解决这种差异性。而消费者真正的使用体验,是在任意时间任意身体状况下使用的“通过率”,尤其在遭受拒绝后主动配合摆正姿势时仍然被拒绝是非常恼火的。iPhone 5S曾经就暴露经过一段时间后不能使用,必须重新注册的缺陷,随后通过版本更新消除了这一缺陷。 但不幸的是在Android手机里随着厂商对“通过率”要求越来越苛刻,这种指纹不能用的抱怨却越来越多。大致有以下几个原因:
先来谈谈背后的故事,指纹识别的基本测试依据是 FAR / FRR 对比图如下: 对每次匹配给出一个打分,不同手指的指纹图像匹配分数超过阈值的比率叫做误通过率(False Accept Rate, FAR),相同手指的指纹图像匹配分数低于阈值的比率叫做误拒绝率(False Reject Rate, FRR)。FAR 和 FRR 是此消彼长的关系。但受限于测试的数据规模,FAR / FRR 测试基于离线图像数据库进行。在学术界的测试中使用相同的数据库,是相对公平的;但在商业测试中由于传感器差异,图像数据库实际上由受测方提供。这就留下了造假的空间。 要想“通过率”高,无非让指纹图像非常稳定,且总是在同一个区域。多数提供商业送检的指纹图像数据库采集只包含在极短时间内连续采集小区域的指纹图像,以规避指纹的变化。这就是在实际使用体验低下的条件下大幅度提升“测试通过率”的灵丹妙药。 随着“大数据”测试方法的兴起,“通过率”造假乱象有望解决。以 50 人总计超过 30000 次的日常使用作为统计依据,总能比 5 人 1 小时内测试结论有意义。但考虑到iPhone 5S爆出不能使用的周期大于一个月,目前的“大数据”测试仍不够。市场呼唤第三方标准化测试的建立,还市场一个公平的环境。 虚假的“通过率”,使消费者放弃使用指纹识别,回到不安全的Pin码,危险指数 3 星。 假技术之三,“误识率”危险指数★★★★★指纹识别技术未建立定量安全评估,以“误识率”来替代安全性。但“误识率”仅是天然指纹随机碰撞被算法判定为相同的概率,不是对主动攻击的抵抗能力。 即便如此,在“误识率”上的造假手段也层出不穷。从误识率的定义“不同手指的指纹图像匹配分数超过阈值的比率”可引申出 3 种造假手段: 1.定义造假 智能手机行业的测试方法以“指 * 次”为分母,例如注册 5 指,给他人使用 1 次就产生了 5 个“指 * 次”;1/50, 000 误识率意味着注册 5 指后,被他人随机尝试10, 000 次为被解开的期望值。但由于传感器面积很小,误识总是发生在A指纹某个局部和B指纹某个局部之间;从安全考虑我们关心的是多少人当中存在一个人的一个指纹的一个局部能够和我的 5 指的某一个局部匹配上。对10, 000 次进行分解,一人 10 指,每指视传感器尺寸不同可分解为10- 50 个独立局部。在传感器极小的情况下,1/50, 000 的误识率竟然意味着每 20 个人里有一个能打开我的手机?!纳尼?! 2.测试方法造假 和通过率不同,误识率的分母往往达百万级,只能依赖数据库测试。这又回到送检数据库造假了。包括如下几种手法:
3.隐瞒缺陷 众所周知指纹识别要进行动态更新,一旦发生误识,且分数给的很高,被学习更新进去,是不是在以后会保证发生误识?对此进行隐瞒有两种做法:
(编辑:ASP站长网) |