揭秘 | 防不胜防，揭秘指纹识别中的 “假技术”

假技术之一，“活体指纹”

危险指数★★★★

在契约纸上按下指印是 Finger “Print” 这个词的来源。为把手指上的指纹与纸上的指印做区别，就会加上 Alive 这个前缀。这就是 Aliveness，中文译名 “活体” 本来的意思。在英语语境里，Aliveness 是证明某个 Fingerprint 来自生物体；但在汉语语境里，经过一些人别有用心的鼓吹，竟成了排除非生物体指纹的安全技术。这不得不说汉语真巧妙。

先来看对 “活体” 技术的最近一次官方打脸：央视 2017 年 315 晚会曝光了所谓的 “活体” 人脸识别，某人脸识别 APP 竟然被非人类质感的低劣合成图片破解。

再来看点高端水平，这胖墩成功扮演了前美国总统，要是白宫使用如此 “活体” 人脸识别，岂不免费一日游？

回到 “活体” 指纹识别，同样是央视，这次却站在了对立面：

请问，这黑乎乎的一坨，到底要证明其不是 “活体”，还是无法证明其是 “活体” 呢？

果然，打脸来得比 315 还快，在 2017 年 315 晚会之前就有视频发布，如下：

该视频中使用的是下图所示的透明假指纹。

吃瓜群众们恍然大悟，原来是这 “活体” 就是 “鉴黄” 啊，只排除黑的。

“活体” 指纹虽然是假技术，但要是你信的话，把身家放在被这 “活体” 指纹技术保护的手机里，那么就 “信则贫” 了。明为 “活体” 实为 “鉴黄”，对安全进行捏造和夸大，误导用户冒更大的风险，危险指数 4 星。

假技术之二，“通过率”

危险指数★★★

从字面意思看，“通过率” 指使用中的成功概率。这对使用体验至上的消费电子可不得了，“通过率” 测试就是指纹识别的尚方宝剑，足以一票否决。

可惜道高一尺魔高一丈，有一种偏执就会有一百种造假等着你。先看下图：

这是同一手指在干、正常、湿三种情况下采集到的图像，基于图像匹配很难解决这种差异性。而消费者真正的使用体验，是在任意时间任意身体状况下使用的 “通过率”，尤其在遭受拒绝后主动配合摆正姿势时仍然被拒绝是非常恼火的。iPhone 5S 曾经就暴露经过一段时间后不能使用，必须重新注册的缺陷，随后通过版本更新消除了这一缺陷。

但不幸的是在 Android 手机里随着厂商对 “通过率” 要求越来越苛刻，这种指纹不能用的抱怨却越来越多。大致有以下几个原因：

为了降低成本，指纹传感器能够提供的指纹图像面积越来越小；

指纹识别和图像识别是有本质区别的，图像识别不考虑指纹受压变形、皮肤含水含油变化、起皱脱皮等生理变化；

图像面积不足又要通过苛刻的 “通过率” 测试，使一些指纹识别供应商面向 “测试方法”，简单说就是造假。

先来谈谈背后的故事，指纹识别的基本测试依据是 FAR / FRR 对比图如下：

对每次匹配给出一个打分，不同手指的指纹图像匹配分数超过阈值的比率叫做误通过率（False Accept Rate, FAR），相同手指的指纹图像匹配分数低于阈值的比率叫做误拒绝率（False Reject Rate, FRR）。FAR 和 FRR 是此消彼长的关系。但受限于测试的数据规模，FAR / FRR 测试基于离线图像数据库进行。在学术界的测试中使用相同的数据库，是相对公平的；但在商业测试中由于传感器差异，图像数据库实际上由受测方提供。这就留下了造假的空间。

要想 “通过率” 高，无非让指纹图像非常稳定，且总是在同一个区域。多数提供商业送检的指纹图像数据库采集只包含在极短时间内连续采集小区域的指纹图像，以规避指纹的变化。这就是在实际使用体验低下的条件下大幅度提升 “测试通过率” 的灵丹妙药。

随着 “大数据” 测试方法的兴起，“通过率” 造假乱象有望解决。以 50 人总计超过 30000 次的日常使用作为统计依据，总能比 5 人 1 小时内测试结论有意义。但考虑到 iPhone 5S 爆出不能使用的周期大于一个月，目前的 “大数据” 测试仍不够。市场呼唤第三方标准化测试的建立，还市场一个公平的环境。

虚假的 “通过率”，使消费者放弃使用指纹识别，回到不安全的 Pin 码，危险指数 3 星。

假技术之三，“误识率”

危险指数★★★★★

指纹识别技术未建立定量安全评估，以 “误识率” 来替代安全性。但 “误识率” 仅是天然指纹随机碰撞被算法判定为相同的概率，不是对主动攻击的抵抗能力。