生物识别技术在近十年已逐渐发展出多达10种面向,例如日常生活中普遍可见的指纹识别(fingerprint)、或科幻电影中常出现的视网膜识别(retina)与虹膜识别(iris)、再到近两年火热的脸部识别(face recognition)与声纹识别(voice pattern)等。这些技术已逐渐化身为人们的分身,成为我们独一无二的最佳「代言人」,让我们不必再为传统式的长串密码逐一记忆,以及忧于近年来频繁的网络钓鱼攻击造成的密码破解、窃取等风险,用户逐渐以生物特征识别代替长串密码。
我们每天其实无时无刻都离不开「代言人」,尤以常见的指纹为例,早上起床时先解锁手机看邮件看新闻、到了公司使用指纹打卡、午餐时使用指纹解锁移动支付APP、开车前用指纹对车门解锁、进家门前使用指纹智能门锁等,这一系列的小动作着实改变了以往的使用习惯。
另一方面,指纹的应用也有助于提升政府机关的办事效率。例如出国时常使用指纹作为出入境记录,可节省人力查验资源与省去大排长龙的等待时间,亦或是在国内外,刑警用嫌犯遗留的指纹来加速对嫌犯的身份确认。
然而,我们的「代言人」也常会因为不法人士的窃取,例如复制装置上的指纹痕迹便可轻易制作出相同的指纹膜,造成个人资料、企业机密外泄,轻则造成财产上的损失,重则可能危及人生安全等问题。随着愈来愈多智能手机搭载指纹识别技术,整体市场规模不断提升,指纹识别将会更全面性地影响一般消费者日常生活,百佳泰因此投入相当的人力与时间,做了一系列实验来探讨指纹识别在安全性、可用性以及便利性上会碰到的一些状况。
图说:指纹识别技术的安全隐患
业界 vs. 百佳泰检测专家
在业界,对于生物识别认证具有一定规模的国际标准化组织-线上快速身份验证联盟(FIDO,Fast Identity Online),针对指纹,虹膜,人声等生物特征制订出三大开放认证标准机制:
- 误识率 (False Accept Rate,FAR):在指纹识别验证,意指不正确的指纹被装置成功接收的出错概率
- 拒识率 (False Reject Rate,FRR):在指纹识别验证,意指正确的指纹被装置拒绝的出错概率
- 冒牌攻击 (Impostor Attack Presentation Match Rate,IAPMR)
FIDO联盟要求以「无密码」身份验证取代传统输入密码验证,采用更可靠、更安全的验证方式,结合装置端与在线的身分验证,让使用者可透过多种识别方式在FIDO平台达到便利快速的安全身份验证,降低对传统密码的过度依赖性。
身为检测专家的百佳泰亦认同FIDO联盟无密码认证的重要性及未来性,然而,无密码身份验证技术因需考虑到用户各式的生物特征以及不同的使用行为,具备一定的验证困难度。因此,百佳泰提出了相对应的生物识别验证,以确保装置在使用上的便利性及安全性是符合使用者需求。接下来,请跟着我们的实验一同探讨指纹识别到底会存在哪些问题吧!
百佳泰动手实测指纹传感器
目前时下各厂牌手机与笔记本电脑普遍使用的是电容式识别及屏下光学识别技术,百佳泰搜集了含有这两种识别技术的10款手机与4款笔电,进行一连串的指纹实测,首先简单介绍电容式指纹识别和屏下光学识别技术。
- 电容式识别 :包含手机与笔记本电脑上的指纹识别。指纹模块透过人体手指的电荷变化、温度、压力进行扫描,因其技术成熟、价格低廉、及易于安装等因素成为目前主流厂商首选。
- 屏下光学识别 :将指纹识别模块安装在屏幕下,透过OLED显示器发射出的蓝绿光将指纹纹路照亮并记录生物特征后,再透过光线反射穿透屏幕传回至指纹识别模块进行解锁。目前逐渐被用于全屏幕装置中,但因价格与技术门坎稍高,较为不普遍。
日常生活的便利性
- 当使用者将手指放置于桌上的手机进行解锁时,偶尔会发现手机无反应或解锁不成功提示信息。
为了确保指纹识别功能可随时随地正常使用,我们透过不同使用者,并以常见的两种使用习惯来测试指纹模块是否能够精准解锁。
1. 对着装置进行连续按压的登入动作
2. 从不同方向对着装置进行按压登入
图说:各品牌手机与笔电均能达到近九成的指纹识别解锁率
从实验结果中得知,不管是光学的屏下指纹识别或传统的电容式指纹识别都能达到九成以上的解锁成功率,因此可推断出解锁技术不论在重复登入功能、角度或方向上已趋于成熟,也满足使用者对于解锁方便性的期待。
日常生活的便利与安全性的两难
- 当用户兴奋地启动刚买到的新手机,却被复杂的注册指纹步骤搞的晕头转向;或是手指对准装置的解锁器,却需要长时间解读指纹造成装置无法快速解锁的情况。
经由百佳泰实测分析,发现指纹注册次数和解锁反应时间往往是用户最关心的问题。透过结果显示,屏下光学识别要求较多的指纹按压次数(平均需20次),远远大于电容式识别的按压次数,平均在12次左右(仅少数两款需8次的指纹按压便能完成注册)。
另一方面,我们做了关于指纹传感器的起始时间实验。从数据得知,无论是屏下光学式或电容式传感器,装置的平均解锁时间都能维持在816毫秒(ms)左右;等同于用户仅需花费不到眨一次眼的时间,便能快速解锁。此外,在这项实验里,其中一款电容式手机的解锁反应时间更仅花费262毫秒就能解锁,表现相当优异。
然而,「注册次数少」与「解锁反应时间快」真的为衡量指纹识别的最佳搭配指标吗?由于各厂牌有各自开发的算法,在数据结果呈现也不尽相同。倘若厂商为求便利而减少注册次数、提升反应时间,极可能将用户置于在不安全的加密环境中,让不法人士将有迹可循,造成机密外泄/财产损失等问题。
因此,为了提供良好的用户体验,好让使用者提高便利性的同时也能享有安全性,厂商该如何让指纹解锁在这双面刃做出完美平衡,将是厂商的一大课题之一。透过百佳泰的验证测试,可协助您找出装置注册次数与解锁反应时间的最佳平均值,避免因繁杂的注册次数或过长的解锁时间造成使用者的困扰、或接收客诉等问题。
日常生活的便捷性
以下两种情况是否有似曾相识的感觉。
- 才刚洗完手,家人突然来电,尝试对手机进行解锁,却怎么也解不开,最后电话接不到,手机也被弄得湿湿的。
- 妈妈打算善加利用手机食谱APP烧出一道好菜,本以为油腻的手会无法解锁,却发现油腻腻的手指也能让手机轻松解锁!
针对上述情境,百佳泰特别选择了日常生活中消费者最常见接触使用的三种介质:液体、油脂、粉末(其中每个介质又包含了两种不同的产品),来检视各种介质对一般民众的影响。
图说:百佳泰针对常见的六种物质模拟常见的场景进行实验
在下图结果中我们发现,电容式传感器(蓝色圆柱)在这六种媒介上有着40%以上的解锁率,为三种传感器中表现最出色的;反之,藉由屏下指纹解锁的光学式传感器(橘色圆柱)除了在护手霜的实验勇夺第一之外,在其他介质方面普遍都容易受到干扰。言下之意,消费者在使用屏下光学式模块装置之际,遇上较差的用户体验机率最高,这是厂商在模块的设计上则需克服的能力。
此外,在六种介质测试中我们发现,在厨房容易碰到的面粉,或是运动员使用的滑石粉,则是电容式模块的干扰之王,解锁率极低;肥皂水不管对电容式、光学式甚至是笔电触控的传感器都呈现较低解锁率;而橄榄油除了对光学式产生较大影响外,对于电容式装置基本都能顺利解锁。介质测试结果除了可提供模块厂商做参考,另更可以提供给手机品牌商,作为挑选模块厂商的依据。
日常生活的方便性
每个人手上的指纹都不一定呈现完整状态,有时会因先天或外伤等因素造成指纹缺陷,这让不少消费者担心自身的指纹状况会直接影响解锁成功率。针对此问题,百佳泰深刻了解唯有透过日常真实使用情境模拟才可确切检测并反应出真正的问题点。从实验结果得知,尽管指纹或多或少的被遮蔽了,装置依然能被顺利解锁;然而,如指纹被遮蔽超过一半时,屏下光学识别较不能容易辨别,从而让解锁失败。
这项测试结果对于使用者来说无非是件可喜之事,使用者日后无需为手指上的小缺陷或是小疤痕是否能让装置解锁烦恼,因为相较于本文中列出的其他问题,指纹缺陷对于装置解锁的影响可说是微乎其微。
日常生活的安全性
- 不带钱包出门的生活方式已逐渐被大众接受,许多人喜欢在日常生活中使用指纹透过移动支付APP消费。然而,当使用者暂时将手机放置于桌面时,不法人士可能藉此复制装置上所残留的指纹!轻则财产损失,重则你的身份可能被使用在非法途径中。
在前三项实验中,我们研究了真实指纹对于传感器的敏锐度及辨识度。然而,现今还是有不法人士透过指纹复制的诈骗手法来窃取对方的财产。对于这类层出不穷的诈骗手法,我们应当如何防范?
百佳泰透过市面上容易取得的材料,以可塑性白胶为基底再搭配其他物质加工出4种不同类型的指纹模型,实验这4种指纹模型是否能成功破解传感器。
图说:百佳泰实验四种不同材质的指纹模型进行破解
图说:4种材质指纹模型破解情況
透过上述实验结果,新技术的屏下指纹光学识别在复制指膜上风险最大,除了材料3因材质问题所制作出的指纹纹路不明显,无法对所有的传感器进行破解,其他3种材料皆可轻易对屏下指纹光学识别破解。
在制造商们尚未提升传感器辨别假指纹的功能时,消费者如购买带有屏下指纹识别的装置,则要多注意屏幕上的指纹是否有定期擦除,如稍加不留意,不法人士便可窃取指纹,让自己的人身财产处在高危的风险中。换句话说,如厂商能提升传感器对于假指纹的辨识度,便能作为产品的营销利器,兹以证明自家产品安全性优于市面其他产品。
百佳泰指纹识别测试为您找出装置的弱点
市面上存在着各式各样的指纹破解法,使用者只要稍加不留心,个人信息很可能就落入到他人手中!在提升安全性的同时,厂商亦须将使用便利性纳入考虑。本篇文章以屏下光学式、电容式指纹识别为例,研究使用者在日常生活中可能遇到的问题以及该如何防范。根据百佳泰多年测试经验,能针对客户需求,省去选择机种时间并快速找出装置上指纹传感器的弱点,逐一提供解决方案。
在FIDO强调装置与在线进行身份识别结合的同时,百佳泰也致力于帮助用户能摆脱传统先记忆、再输入密码的方式来进行身份验证,朝向无密码时代。当前端装置身分识别技术不断推陈出新,我们亦将会持续导入其他生物识别的测试,例如超音波屏下指纹识别等,为您装置上的传感器进行身份验证机制的把关!
如您有指纹识别的相关技术内容需要咨询,欢迎联系:cn_service@allion.com.cn