除了給手機(jī)解鎖，指紋識別已經(jīng)成為安全支付的必要技術(shù)，以及家居安防的重要技術(shù)。但在紛亂的市場中，有多少假技術(shù)在忽悠著你，威脅著你的手機(jī)、帳戶、隱私，甚至家人的安全？

假技術(shù)之一，“活體指紋”

危險指數(shù)★★★★

在契約紙上按下指印是Finger “Print”這個詞的來源。為把手指上的指紋與紙上的指印做區(qū)別，就會加上Alive這個前綴。

這就是Aliveness，中文譯名“活體”本來的意思。在英語語境里，Aliveness是證明某個Fingerprint來自生物體；但在漢語語境里，經(jīng)過一些人別有用心的鼓吹，竟成了排除非生物體指紋的安全技術(shù)。這不得不說漢語真巧妙。

先來看對“活體”技術(shù)的最近一次官方打臉：央視2017年315晚會曝光了所謂的“活體”人臉識別，某人臉識別APP竟然被非人類質(zhì)感的低劣合成圖片破解。

再來看點(diǎn)高端水平，這胖墩成功扮演了前美國總統(tǒng)，要是白宮使用如此“活體”人臉識別，豈不免費(fèi)一日游？

回到“活體”指紋識別，同樣是央視，這次卻站在了對立面：

請問，這黑乎乎的一坨，到底要證明其不是“活體”，還是無法證明其是“活體”呢？

果然，打臉來得比315還快，在2017年315晚會之前就有視頻發(fā)布，如下：

該視頻中使用的是下圖所示的透明假指紋。

吃瓜群眾們恍然大悟，原來是這“活體”就是“鑒黃”啊，只排除黑的。

“活體”指紋雖然是假技術(shù)，但要是你信的話，把身家放在被這“活體”指紋技術(shù)保護(hù)的手機(jī)里，那么就“信則貧”了。明為“活體”實(shí)為“鑒黃”，對安全進(jìn)行捏造和夸大，誤導(dǎo)用戶冒更大的風(fēng)險，危險指數(shù)4星。

假技術(shù)之二，“通過率”

危險指數(shù)★★★

從字面意思看，“通過率”指使用中的成功概率。這對使用體驗(yàn)至上的消費(fèi)電子可不得了，“通過率”測試就是指紋識別的尚方寶劍，足以一票否決。

可惜道高一尺魔高一丈，有一種偏執(zhí)就會有一百種造假等著你。先看下圖：

這是同一手指在干、正常、濕三種情況下采集到的圖像，基于圖像匹配很難解決這種差異性。而消費(fèi)者真正的使用體驗(yàn)，是在任意時間任意身體狀況下使用的“通過率”，尤其在遭受拒絕后主動配合擺正姿勢時仍然被拒絕是非常惱火的。

iPhone 5S曾經(jīng)就暴露經(jīng)過一段時間后不能使用，必須重新注冊的缺陷，隨后通過版本更新消除了這一缺陷。

但不幸的是在Android手機(jī)里隨著廠商對“通過率”要求越來越苛刻，這種指紋不能用的抱怨卻越來越多。大致有以下幾個原因：

為了降低成本，指紋傳感器能夠提供的指紋圖像面積越來越小；

指紋識別和圖像識別是有本質(zhì)區(qū)別的，圖像識別不考慮指紋受壓變形、皮膚含水含油變化、起皺脫皮等生理變化；

圖像面積不足又要通過苛刻的“通過率”測試，使一些指紋識別供應(yīng)商面向“測試方法”，簡單說就是造假。

先來談?wù)劚澈蟮墓适拢�指紋識別的基本測試依據(jù)是 FAR / FRR 對比圖如下：

對每次匹配給出一個打分，不同手指的指紋圖像匹配分?jǐn)?shù)超過閾值的比率叫做誤通過率（False Accept Rate, FAR），相同手指的指紋圖像匹配分?jǐn)?shù)低于閾值的比率叫做誤拒絕率（False Reject Rate, FRR）。FAR 和 FRR 是此消彼長的關(guān)系。

但受限于測試的數(shù)據(jù)規(guī)模，F(xiàn)AR / FRR 測試基于離線圖像數(shù)據(jù)庫進(jìn)行。在學(xué)術(shù)界的測試中使用相同的數(shù)據(jù)庫，是相對公平的；但在商業(yè)測試中由于傳感器差異，圖像數(shù)據(jù)庫實(shí)際上由受測方提供。這就留下了造假的空間。

要想“通過率”高，無非讓指紋圖像非常穩(wěn)定，且總是在同一個區(qū)域。多數(shù)提供商業(yè)送檢的指紋圖像數(shù)據(jù)庫采集只包含在極短時間內(nèi)連續(xù)采集小區(qū)域的指紋圖像，以規(guī)避指紋的變化。這就是在實(shí)際使用體驗(yàn)低下的條件下大幅度提升“測試通過率”的靈丹妙藥。

隨著“大數(shù)據(jù)”測試方法的興起，“通過率”造假亂象有望解決。以50人總計超過30000次的日常使用作為統(tǒng)計依據(jù)，總能比5人1小時內(nèi)測試結(jié)論有意義。但考慮到iPhone 5S爆出不能使用的周期大于一個月，目前的“大數(shù)據(jù)”測試仍不夠。市場呼喚第三方標(biāo)準(zhǔn)化測試的建立，還市場一個公平的環(huán)境。

虛假的“通過率”，使消費(fèi)者放棄使用指紋識別，回到不安全的Pin碼，危險指數(shù)3星。

假技術(shù)之三，“誤識率”

危險指數(shù)★★★★★

指紋識別技術(shù)未建立定量安全評估，以“誤識率”來替代安全性。但“誤識率”僅是天然指紋隨機(jī)碰撞被算法判定為相同的概率，不是對主動攻擊的抵抗能力。

即便如此，在“誤識率”上的造假手段也層出不窮。從誤識率的定義“不同手指的指紋圖像匹配分?jǐn)?shù)超過閾值的比率”可引申出3種造假手段：

1.定義造假

智能手機(jī)行業(yè)的測試方法以“指 * 次”為分母，例如注冊5指，給他人使用1次就產(chǎn)生了5個“指 * 次”；1/50,000誤識率意味著注冊5指后，被他人隨機(jī)嘗試10,000次為被解開的期望值。但由于傳感器面積很小，誤識總是發(fā)生在A指紋某個局部和B指紋某個局部之間；從安全考慮我們關(guān)心的是多少人當(dāng)中存在一個人的一個指紋的一個局部能夠和我的5指的某一個局部匹配上。對10,000次進(jìn)行分解，一人10指，每指視傳感器尺寸不同可分解為10-50個獨(dú)立局部。在傳感器極小的情況下，1/50,000的誤識率竟然意味著每20個人里有一個能打開我的手機(jī)？！納尼？！

2.測試方法造假

和通過率不同，誤識率的分母往往達(dá)百萬級，只能依賴數(shù)據(jù)庫測試。這又回到送檢數(shù)據(jù)庫造假了。包括如下幾種手法：

剔圖法，把導(dǎo)致誤識的圖刪除；

集合法，調(diào)整圖像在注冊集合和匹配集合的分配，使誤識圖像不進(jìn)行匹配；

排序法，調(diào)整注冊匹配的順序，使誤識圖像不進(jìn)行匹配。

3.隱瞞缺陷

眾所周知指紋識別要進(jìn)行動態(tài)更新，一旦發(fā)生誤識，且分?jǐn)?shù)給的很高，被學(xué)習(xí)更新進(jìn)去，是不是在以后會保證發(fā)生誤識？對此進(jìn)行隱瞞有兩種做法：

在同指匹配和異指匹配中，采用不同的閾值或采用不同的判決邏輯；

異指匹配中無論分?jǐn)?shù)多高，都不允許學(xué)習(xí)更新。

這一節(jié)難以附圖解釋，讀者不妨只關(guān)注結(jié)論：由供應(yīng)商開發(fā)測試軟件是一種極端落后的做法，存在造假空間。在多年前公安部對安防產(chǎn)品的測試中就淘汰了這一落后的做法，改由供應(yīng)商提供AP以統(tǒng)一調(diào)用防止流程造假，圖像的采集也由第三方獨(dú)立進(jìn)行防止造庫造假。可惜的是至今沒有產(chǎn)生為智能手機(jī)行業(yè)服務(wù)的第三方指紋測試，談何指紋安全？

誤識率造假，徹底毀壞指紋識別技術(shù)的安全屬性，危險程度5星。