譯者 | 劉濤

審校 | 重樓

生物特征識(shí)別技術(shù)被廣泛應(yīng)用于訪問(wèn)控制、身份識(shí)別和認(rèn)證等領(lǐng)域。作為基于指紋、人臉和虹膜等人體生物特征的識(shí)別，它被公認(rèn)為是一種比較安全的身份認(rèn)證技術(shù)。

但和其他技術(shù)一樣，生物特征識(shí)別技術(shù)也不是完全可靠的，有時(shí)候也會(huì)失敗。這些失敗不僅對(duì)系統(tǒng)和數(shù)據(jù)的完整性構(gòu)成了威脅，也給系統(tǒng)帶來(lái)了嚴(yán)重的安全隱患。

本文結(jié)合實(shí)際案例，討論了生物特征識(shí)別系統(tǒng)失敗對(duì)安全方面造成的影響。

生物特征識(shí)別失效的類(lèi)型

生物特征識(shí)別失敗可大致分為誤通過(guò)和誤拒絕兩類(lèi)。

誤通過(guò)

系統(tǒng)把未經(jīng)授權(quán)的用戶(hù)識(shí)別成了授權(quán)用戶(hù)。造成這些錯(cuò)誤的原因有很多，如生物特征數(shù)據(jù)質(zhì)量不高，安全機(jī)制不完善等。誤通過(guò)可能會(huì)導(dǎo)致用戶(hù)未經(jīng)授權(quán)就可以訪問(wèn)安全區(qū)域、信息和系統(tǒng)。

誤拒絕

這個(gè)問(wèn)題經(jīng)常發(fā)生在識(shí)別系統(tǒng)不能確認(rèn)合法用戶(hù)而拒絕其訪問(wèn)的時(shí)候。造成這種錯(cuò)誤的原因有很多，包括生物特征數(shù)據(jù)質(zhì)量不高、個(gè)體生物特征數(shù)據(jù)隨時(shí)間而改變，或者系統(tǒng)程序錯(cuò)誤等。誤拒絕會(huì)導(dǎo)致已授權(quán)的用戶(hù)不能訪問(wèn)安全區(qū)域或系統(tǒng)，從而降低工作效率。

生物特征識(shí)別的失敗案例

讓我們看一下生物特征識(shí)別失敗的案例，并分析由此帶來(lái)的安全問(wèn)題。

人臉識(shí)別中的誤通過(guò)

2019年，美國(guó)民權(quán)聯(lián)盟 (ACLU) 對(duì)亞馬遜的人臉識(shí)別軟件Rekognition進(jìn)行了測(cè)試，將國(guó)會(huì)議員的照片和25000名被公開(kāi)逮捕的囚犯的照片進(jìn)行了對(duì)比。測(cè)試結(jié)果令人失望，有28位國(guó)會(huì)議員被系統(tǒng)誤識(shí)別成與犯罪活動(dòng)有關(guān)的在押人員。這件事顯示人臉識(shí)別技術(shù)有很高的誤判率，會(huì)把無(wú)辜群眾誤認(rèn)為是罪犯。

人臉識(shí)別系統(tǒng)的誤拒絕

近幾年來(lái)，人臉識(shí)別已被廣泛應(yīng)用于安防、監(jiān)控、身份認(rèn)證等領(lǐng)域。但是，由于多種因素的影響，有時(shí)會(huì)導(dǎo)致該技術(shù)失效。舉個(gè)例子，在2020年有一篇新聞報(bào)道稱(chēng)，底特律警局所用的人臉識(shí)別系統(tǒng)，由于其很高的拒絕率，錯(cuò)誤地把一個(gè)無(wú)辜的人當(dāng)成了嫌疑犯。這種失敗凸顯出驗(yàn)證人臉識(shí)別算法準(zhǔn)確度的重要性，以及需要確保它們對(duì)特定人群不應(yīng)存在偏見(jiàn)。

語(yǔ)音識(shí)別系統(tǒng)的誤通過(guò)

還有一些應(yīng)用程序，如虛擬助手和銀行系統(tǒng)，采用了語(yǔ)音識(shí)別技術(shù)。但這種技術(shù)也并非十全十美，由于各種原因有時(shí)也會(huì)失敗。舉例來(lái)說(shuō)，在2017年，有一則新聞詳細(xì)報(bào)道了英國(guó)一家銀行發(fā)現(xiàn)語(yǔ)音識(shí)別系統(tǒng)被騙子利用賬戶(hù)持有者的語(yǔ)音錄音進(jìn)行欺詐而得到了通過(guò)，銀行不得不終止了語(yǔ)音識(shí)別技術(shù)的使用。語(yǔ)音識(shí)別系統(tǒng)被欺詐而授權(quán)通過(guò)的概率很高，使其他人未經(jīng)授權(quán)就輕松進(jìn)入持有者的資金賬戶(hù)。

指紋識(shí)別系統(tǒng)的誤拒絕

指紋識(shí)別作為最流行的生物特征識(shí)別技術(shù)之一，在各種應(yīng)用中廣泛使用。然而，這項(xiàng)技術(shù)并非萬(wàn)無(wú)一失，偶爾也會(huì)由于各種不同的原因而失敗。例如，臟手或干手可以降低指紋的質(zhì)量，從而導(dǎo)致指紋被誤認(rèn)為無(wú)效。2013年的一項(xiàng)馬來(lái)西亞研究發(fā)現(xiàn)大多數(shù)人在使用基于指紋的生物識(shí)別技術(shù)時(shí)都會(huì)遇到麻煩。由于皮膚干燥，許多人的指紋很容易被識(shí)別系統(tǒng)拒絕，從而導(dǎo)致身份驗(yàn)證失敗。

簽名驗(yàn)證系統(tǒng)的誤通過(guò)

簽名驗(yàn)證系統(tǒng)是指使用人的簽名來(lái)驗(yàn)證其身份的系統(tǒng)。但這種技術(shù)也并非滴水不漏，因?yàn)楦鞣N原因，有時(shí)也會(huì)失敗。舉例來(lái)說(shuō)，2018年的一篇新聞報(bào)道詳述了印度一家銀行因?yàn)殂y行簽名驗(yàn)證系統(tǒng)出錯(cuò)而被要求賠償客戶(hù)損失。系統(tǒng)通過(guò)了一個(gè)虛假簽名，允許其他人非法進(jìn)入了客戶(hù)賬戶(hù)。

語(yǔ)音識(shí)別系統(tǒng)的誤拒絕

虛擬助手和認(rèn)證系統(tǒng)僅僅是聲音識(shí)別技術(shù)應(yīng)用中的兩個(gè)例子。但技術(shù)偶爾會(huì)由于多種原因而失敗。據(jù)新聞報(bào)道，以一家英國(guó)銀行為例，其聲音識(shí)別系統(tǒng)在2020年出現(xiàn)了明顯的錯(cuò)誤拒絕率，從而使被授權(quán)的用戶(hù)無(wú)法訪問(wèn)自己的賬戶(hù)。據(jù)說(shuō)失敗的原因是客戶(hù)聲音受到諸如背景噪音和健康狀況變化的影響而發(fā)生了改變。

虹膜識(shí)別系統(tǒng)的誤通過(guò)

虹膜識(shí)別是一種利用虹膜上特有的圖案對(duì)用戶(hù)進(jìn)行身份驗(yàn)證的技術(shù)。但是，這種技術(shù)也不太可靠，有時(shí)會(huì)因?yàn)楦鞣N各樣的原因而失敗，這和人臉識(shí)別失敗是一樣的。例如，在2018年，巴塞羅那大學(xué)的研究人員通過(guò)制作假冒的虹膜圖像來(lái)欺騙該系統(tǒng)把一個(gè)人當(dāng)成了其他人，從而誤導(dǎo)了虹膜識(shí)別系統(tǒng)。這種失敗表明可能存在針對(duì)虹膜識(shí)別系統(tǒng)的欺詐攻擊。

結(jié)論

生物特征識(shí)別技術(shù)的失敗將給用戶(hù)的身份認(rèn)證帶來(lái)嚴(yán)重的安全問(wèn)題，從而導(dǎo)致未授權(quán)訪問(wèn)、數(shù)據(jù)泄露等一系列不良后果。采取有力的安全措施，確保生物識(shí)別系統(tǒng)的精確性和可靠性，以及解決任何可能出現(xiàn)的錯(cuò)誤或漏洞，都是非常重要的。這樣做，我們才能確保生物特征識(shí)別系統(tǒng)的安全性和可靠性。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人。

原文標(biāo)題：The Impact of Biometric Recognition Failures on Security，作者：Muhammad Sannan Ali Bhatti