防不胜防，揭秘指纹识别中的“假技术”

假技术之二，“通过率”

危险指数★★★

从字面意思看，“通过率”指使用中的成功概率。这对使用体验至上的消费电子可不得了，“通过率”测试就是指纹识别的尚方宝剑，足以一票否决。

可惜道高一尺魔高一丈，有一种偏执就会有一百种造假等着你。先看下图：

这是同一手指在干、正常、湿三种情况下采集到的图像，基于图像匹配很难解决这种差异性。而消费者真正的使用体验，是在任意时间任意身体状况下使用的“通过率”，尤其在遭受拒绝后主动配合摆正姿势时仍然被拒绝是非常恼火的。iPhone 5S曾经就暴露经过一段时间后不能使用，必须重新注册的缺陷，随后通过版本更新消除了这一缺陷。

但不幸的是在Android手机里随着厂商对“通过率”要求越来越苛刻，这种指纹不能用的抱怨却越来越多。大致有以下几个原因：

为了降低成本，指纹传感器能够提供的指纹图像面积越来越小;

指纹识别和图像识别是有本质区别的，图像识别不考虑指纹受压变形、皮肤含水含油变化、起皱脱皮等生理变化;

图像面积不足又要通过苛刻的“通过率”测试，使一些指纹识别供应商面向“测试方法”，简单说就是造假。

先来谈谈背后的故事，指纹识别的基本测试依据是 FAR / FRR 对比图如下：

对每次匹配给出一个打分，不同手指的指纹图像匹配分数超过阈值的比率叫做误通过率(False Accept Rate， FAR)，相同手指的指纹图像匹配分数低于阈值的比率叫做误拒绝率(False Reject Rate， FRR)。FAR 和 FRR 是此消彼长的关系。但受限于测试的数据规模，FAR / FRR 测试基于离线图像数据库进行。在学术界的测试中使用相同的数据库，是相对公平的;但在商业测试中由于传感器差异，图像数据库实际上由受测方提供。这就留下了造假的空间。

要想“通过率”高，无非让指纹图像非常稳定，且总是在同一个区域。多数提供商业送检的指纹图像数据库采集只包含在极短时间内连续采集小区域的指纹图像，以规避指纹的变化。这就是在实际使用体验低下的条件下大幅度提升“测试通过率”的灵丹妙药。

随着“大数据”测试方法的兴起，“通过率”造假乱象有望解决。以 50 人总计超过 30000 次的日常使用作为统计依据，总能比 5 人 1 小时内测试结论有意义。但考虑到iPhone 5S爆出不能使用的周期大于一个月，目前的“大数据”测试仍不够。市场呼唤第三方标准化测试的建立，还市场一个公平的环境。

虚假的“通过率”，使消费者放弃使用指纹识别，回到不安全的Pin码，危险指数 3 星。

假技术之三，“误识率”

危险指数★★★★★

指纹识别技术未建立定量安全评估，以“误识率”来替代安全性。但“误识率”仅是天然指纹随机碰撞被算法判定为相同的概率，不是对主动攻击的抵抗能力。

即便如此，在“误识率”上的造假手段也层出不穷。从误识率的定义“不同手指的指纹图像匹配分数超过阈值的比率”可引申出 3 种造假手段：

1.定义造假

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!