凡「用」過必留下痕跡,談指紋辨識的潛在危機!

生物辨識技術在近十年已逐漸發展出多達10種面向,例如日常生活中普遍可見的指紋辨識(fingerprint)、或科幻電影中常出現的視網膜辨識(retina)與虹膜辨識(iris)、再到近兩年火熱的臉部辨識(face recognition)與聲紋辨識(voice pattern)等。這些技術已逐漸化身為人們的分身,成為我們獨一無二的最佳「代言人」,讓我們不必再為傳統式的長串密碼逐一記憶,以及憂於近年來頻繁的網路釣魚攻擊造成的密碼破解、竊取等風險,使用者逐漸以生物特徵辨識代替長串密碼。

我們每天其實無時無刻都離不開「代言人」,尤以常見的指紋為例,早上起床時先解鎖手機看郵件看新聞、到了公司使用指紋打卡、午餐時使用指紋解鎖行動支付APP、開車前用指紋對車門解鎖、進家門前使用指紋智慧門鎖等,這一系列的小動作著實改變了以往的使用習慣。

另一方面,指紋的應用也有助於提升政府機關的辦事效率。例如出國時常使用指紋作為出入境記錄,可節省人力查驗資源與省去大排長龍的等待時間,亦或是在國內外,刑警用嫌犯遺留的指紋來加速對嫌犯的身份確認。

然而,我們的「代言人」也常會因為不肖人士的竊取,例如複製裝置上的指紋痕跡便可輕易製作出相同的指紋膜,造成個資、企業機密外洩,輕則造成財產上的損失,重則可能危系到人生安全等問題。隨著愈來愈多智慧手機搭載指紋辨識技術,整體市場規模不斷提升,指紋辨識將會更全面性地影響一般消費者日常生活,百佳泰因此投入相當的人力與時間,做了一系列實驗來探討指紋辨識在安全性、可用性以及便利性上會碰到的一些狀況。

圖說:指紋辨識技術的安全隱

業界 vs. 百佳泰檢測專家

在業界,對於生物辨識認證具有一定規模的國際標準組織-FIDO(Fast IDentity Online)協會,針對指紋,虹膜,人聲等生物特徵制訂出三大開放認證標準機制:

  • 誤識率(False Accept Rate,FAR):在指紋辨識驗證,意指不正確的指紋被裝置成功接收的比率
  • 拒識率(False Reject Rate,FRR):在指紋辨識驗證,意指正確的指紋被裝置拒絕的比率
  • 冒牌攻擊(Impostor Attack Presentation Match Rate,IAPMR)

FIDO協會訴求以「無密碼」身份驗證取代傳統輸入密碼驗證,採用更可靠、更安全的驗證方式,結合裝置端與線上的身分驗證,讓使用者可透過多種辨識方式在FIDO平台達到便利快速的安全身份驗證,降低對傳統密碼的過度依賴性。

身為檢測專家的百佳泰亦認同FIDO協會無密碼認證的重要性及未來性,然無密碼身分驗證技術因需考量到使用者各式的生物特徵以及不同的使用行為,具備一定的驗證困難度。因此,百佳泰提出了相對應的生物辨識驗證,以確保裝置在使用上的便利性及安全性是符合使用者需求。接下來,請跟著我們的實驗一同探討指紋辨識到底會存在哪些問題吧!

百佳泰動手實測指紋感測器

目前時下各廠牌手機與筆電普遍使用的是電容式辨識及屏下光學式辨識技術,

百佳泰蒐集了含有這兩種辨識技術的10款手機4款筆電,進行一連串的指紋實測,首先簡單介紹電容式指紋辨識和屏下光學辨識技術。

  • 電容式辨識:包含手機與筆電上的指紋辨識。指紋模組透過人體手指的電荷變化、溫度、壓力進行掃描,因其技術成熟、價格低廉、及易於安裝等因素成為目前主流廠商首選。
  • 屏下光學辨識:將指紋辨識模組安裝在屏幕下,透過OLED顯示器發射出的藍綠光將指紋紋路照亮並記錄生物特徵後,再透過光線反射穿透屏幕傳回至指紋辨識模組進行解鎖。目前逐漸被用於全螢幕裝置中,但因價格與技術門檻稍高,較為不普遍。

日常生活的便利性

你的裝置能在任何角度、方向順心解鎖嗎?

  • 當使用者將手指放置於桌上的手機進行解鎖時,偶爾會發現手機無反應或解鎖不成功提示信息。

為了確保指紋辨識功能可隨時隨地正常使用,我們透過不同使用者,並以常見的兩種使用習慣來測試指紋模組是否能夠精準解鎖。

1. 對著裝置進行連續按壓的登入動作

2. 從不同方向對著裝置進行按壓登入

圖說:各品牌手機與筆電均能達到近九成的指紋辨識解鎖率

從實驗結果中得知,不管是光學的屏下指紋辨識或傳統的電容式指紋辨識都能達到九成以上的解鎖成功率,因此可推斷出解鎖技術不論在重複登入功能、角度或方向上已趨於成熟,也滿足使用者對於解鎖方便性的期待。

日常生活的便利與安全性的兩難

使用者的直觀體驗往往決定了產品的成敗關鍵!然為了便利性而犧牲安全性值得嗎?

  • 當使用者興奮地啟動剛買到的新手機,卻被複雜的註冊指紋步驟搞的暈頭轉向;或是手指對準裝置的解鎖器,卻需要長時間解讀指紋造成裝置無法快速解鎖的情況。

經由百佳泰實測分析,發現指紋註冊次數解鎖反應時間往往是使用者最關心的問題。透過結果顯示,屏下光學辨識要求較多的指紋按壓次數(平均需20次),遠遠大於電容式辨識的按壓次數平均在12次左右(僅少數兩款需8次的指紋按壓便能完成註冊)。

另一方面,我們做了關於指紋感測器的起始時間實驗。從數據得知,無論是屏下光學式或電容式感測器,裝置的平均解鎖時間都能維持在816毫秒(ms)左右;等同於使用者僅需花費不到眨一次眼的時間,便能快速解鎖。此外,在這項實驗裡,其中一款電容式手機的解鎖反應時間更僅花費262毫秒就能解鎖,表現相當優異。

然而,「註冊次數少」與「解鎖反應時間快」真的為衡量指紋辨識的最佳搭配指標嗎?由於各廠牌有各自開發的演算法,在數據結果呈現也不盡相同。倘若廠商為求便利而減少註冊次數、提升反應時間,極可能將使用者置於在不安全的加密環境中,讓不法人士將有跡可循,造成機密外洩/財產損失等問題。

因此,為了提供良好的使用者體驗,好讓使用者提高便利性的同時也能享有安全性,廠商該如何讓指紋解鎖在這兩面刃做出完美平衡,將是廠商的一大課題之一。透過百佳泰的驗證測試,可協助您找出裝置註冊次數與解鎖反應時間的最佳平均值,避免因繁雜的註冊次數或過長的解鎖時間造成使用者的困擾、或接收客訴等問題。

日常生活的便捷性

干擾PK賽,誰才是阻撓消費者方便使用的干擾之王?

以下兩種情況是否有似曾相識的感覺。

  • 才剛洗完手,家人突然來電,嘗試對手機進行解鎖,卻怎麼也解不開,最後電話接不到,手機也被弄得濕濕的。
  • 媽媽打算善加利用手機食譜APP燒出一道好菜,本以為油膩的手會無法解鎖,卻發現油膩膩的手指也能讓手機輕鬆解鎖!

針對上述情境,百佳泰特別選擇了日常生活中消費者最常見接觸使用的三種介質:液體油脂粉末(其中每個介質又包含了兩種不同的產品),來檢視各種介質對一般民眾的影響。

圖說:百佳泰針對常見的六種物質模擬常見的場景進行實驗

在下圖結果中我們發現,電容式感測器(藍色圓柱)在這六種媒介上有著40%以上的解鎖率,為三種感應器中表現最出色的;反之,藉由屏下指紋解鎖的光學式感測器(橘色圓柱)除了在護手霜的實驗勇奪第一之外,在其他介質方面普遍都容易受到干擾。言下之意,消費者在使用屏下光學式模組裝置之際,遇上較差的使用者體驗機率最高,這是廠商在模組的設計上則需克服的辨識能力。

此外,在六種介質測試中我們發現,在廚房容易碰到的麵粉,或是運動員使用的滑石粉,則是電容式模組的干擾之王,解鎖率極低;肥皂水不管對電容式、光學式甚至式筆電觸控的感測器都呈現較低解鎖率;而橄欖油除了對光學式產生較大影響外,對於電容式裝置基本都能順利解鎖。介質測試結果除了可提供模組廠商做參考,另更可以提供給手機品牌商,作為挑選模組廠商的依據。

日常生活方便性

貼心設計:指紋模組能包容你的缺陷!

每個人手上的指紋都不一定呈現完整狀態,有時會因先天或外傷等因素造成指紋缺陷,這讓不少消費者擔心自身的指紋狀況會直接影響解鎖成功率。針對此問題,百佳泰深刻了解唯有透過日常真實使用情境模擬才可確切檢測並反應出真正的問題點。從實驗結果得知,儘管指紋或多或少的被遮蔽了,裝置依然能被順利解鎖;然而,如指紋被遮蔽超過一半時,屏下光學辨識較不能容易辨別,從而讓解鎖失敗。

這項測試結果對於使用者來說無非是件可喜之事,使用者日後無需為手指上的小缺陷或是小疤痕是否能讓裝置解鎖煩惱,因為相較於本文中列出的其他問題,指紋缺陷對於裝置解鎖的影響可說是微乎其微。

日常生活的安全性

紋盜取好Easy,你的身份被複製了嗎?

  • 不帶錢包出門的生活方式已逐漸被大眾接受,許多人喜歡在日常生活中使用指紋透過行動支付APP消費。然而,當使用者暫時將手機放置於桌面時,不法人士可能藉此複製裝置上所殘留的指紋!輕則財產損失,重則你的身份可能被使用在非法途徑中。

在前三項實驗中,我們研究了真實指紋對於感測器的敏銳度及辨識度。然而,現今還是有不法人士透過指紋複製的詐騙手法來竊取對方的財產。對於這類層出不窮的詐騙手法,我們應當如何防範?

百佳泰透過市面上容易取得的材料,以可塑性白膠為基底再搭配其他物質加工出4種不同類型的指紋模型,實驗這4種指紋模型是否能成功破解感測器。

圖說:百佳泰實驗四種不同材質的指紋模型進行破解

透過上述實驗結果,新技術的屏下指紋光學辨識在複製指膜上風險最大,除了材料3因材質問題所製作出的指紋紋路不明顯,無法對所有的感測器進行破解,其他3種材料皆可輕易對屏下指紋光學辨識破解。

在製造商們尚未提升感測器辨別假指紋的功能時,消費者如購買帶有屏下指紋辨識的裝置,則要多注意屏幕上的指紋是否有定期擦除,如稍加不留意,不肖人士便可竊取指紋,讓自己的人身財產處在高危的風險中。換句話說,如廠商能提升感測器對於假指紋的辨識度,便能作為產品的行銷利器,茲以證明自家產品安全性優於市面其他產品。

百佳泰指紋辨識測試為您找出裝置的弱點

市面上存在著各式各樣的指紋破解法,使用者只要稍加不留心,個人資訊很可能就落入到他人手中!在提升安全性的同時,廠商亦須將使用便利性納入考量。本篇文章以屏下光學式、電容式指紋辨識為例,研究使用者在日常生活中可能遇到的問題以及該如何防範。根據百佳泰多年測試經驗,能針對客戶需求,省去選擇機種時間並快速找出裝置上指紋感測器的弱點,逐一提供解決方案。

在FIDO強調裝置與線上進行身分辨識結合的同時,百佳泰也致力於幫助使用者能擺脫傳統先記憶、再輸入密碼的方式來進行身份驗證,朝向無密碼時代。當前端裝置身分辨識技術不斷推陳出新,我們亦將會持續導入其他生物辨識的測試,例如超音波屏下指紋辨識等,為您裝置上的感測器進行身份驗證機制的把關!

如您有指紋辨識的相關技術內容需要諮詢,歡迎逕恰:service@allion.com