生物識別技術:你的身體就是你的密碼
短短几年時間,生物識別(biometrics)從原本的利基安全技術,變成了每一款現代智能手機機型都會部署的功能。這其中有一部份可歸功於蘋果(Apple)的Touch ID將指紋驗證引進大眾市場,促成了現在這一波將生物識別用於主流設備安全功能的潮流。
Apple最新推出的iPhone X採用了全新的臉部識別功能,這項功能以紅外線(IR)感測器為基礎。那麼,臉部識別究竟是不是生物識別安全技術的未來?亦或這項技術要運用到大眾市場仍嫌太早呢?另外,反過來說,指紋驗證機制再過一段時間後是否仍會與這個領域相關?
輕鬆便利的安全驗證
密碼使用在計算機系統的驗證作業上已有幾十年時間,何以要改用生物識別?最簡單的答案,就是為了便利。無論是採用指紋、虹膜掃描或臉部識別的生物識別系統,都要比密碼來得方便許多,而且實際來說更有助於提升安全性。
儘管組成元素完整的密碼——即包含了隨機字元和數字的長字元串,能夠建構出極為安全的驗證形式,但實際上,這類的安全密碼除了設定困難,也難以記住。因此,人們經常設定像「abc123」這樣容易被猜出的密碼,或是將密碼儲存在方便取得的位置,這等於是違背了設定密碼的原意。
iPhone X的Face ID可用來解鎖手機
生物識別安全技術使用人類的遺傳特徵作為識別方式,換句話說,這個密碼是一輩子都不會丟掉或忘記的。生物識別不會要求我們輸入一長串的字元,只需要透過簡單的掃描,就能送出身體上獨一無二的特徵(眼睛、指紋或臉孔)。目前,智能手機預設使用的上鎖方式就是生物識別。
不過,生物識別並不具備防呆(fool-proof)特性,要竊取某人的指紋實際上比取得他們記憶中的密碼要簡單許多。但它所帶來的便利性,讓使用生物識別驗證的設備和系統更容易達成用戶需求,進而也更能提升整體平均的安全性。
指紋與臉部識別
目前最常見的兩種生物識別系統為指紋掃描和臉部識別,各有其優缺點,並分別在最新款的智能手機和消費設備中發揮絕佳作用。指紋掃描儀——Apple在2013年推出iPhone 5s時,引進了以指紋為基礎、簡單易用的Touch ID生物識別系統,但當時許多人並不在智能手機上使用密碼。就算是使用密碼,很多人也只是使用簡單的圖案,或最多使用簡短的4位數字PIN碼。自從Apple引進快速易用且默認開啟的指紋掃描後,便展開了一場生物識別的革命。
指紋掃描儀最常使用光學或電容組件。光學指紋感測器基本上是將指紋拍成照片,然後與檔案中的指紋作比對。方便整合是其優點,但這項技術容易因灰塵、油污和污染物而造成識別困難,而且也比電容式感測器更容易被誤導(像是使用指紋的影像)。
電容式指紋掃描是透過測量電流,來找出指紋的凹紋和凸紋。由於其必須實際放上手指,因此不容易矇混過關。此外,這類感測器耐受灰塵和污染物的能力更好,不過水也會阻礙識別流程。我們必須承認,電容式觸控感測器比非接觸型的光學感測器更容易因長時間使用而磨損,除非採取一些特殊措施(像是保護鍍膜等)。大多數的智能手機等手持設備,包括Apple iPhone在內,皆使用電容式觸控感測器來識別指紋。
指紋到底有多特別?答案比表面上看起來更複雜。指紋上的每一個凸紋和凹紋構成獨一無二的組合。但3D形狀一旦傳送到2D平面後,便可能出錯。
尤其對指紋掃描儀來說,錯誤更可能被放大。將手指擠到小面積的2D平面上時,可能使指紋嚴重變形。此外,消費設備上的指紋掃描儀必須加入容許誤差的功能,如此帶有些微手汗或按壓角度偏離的手指才能讓設備解鎖。Apple預估,iPhone指紋驗證與他人發生錯誤匹配的機率有五萬分之一。
此外,蓄意犯罪的罪犯很可能竊取指紋,像是直接從智能手機上竊取,作成手指的硅膠模型,然後再用模型進入指紋加密系統。儘管存在這項漏洞,使指紋掃描儀無法作為企業、工業或關鍵任務系統的安全驗證方法,但指紋驗證的便利性仍足夠適用於多數的消費應用。此外,也可將指紋掃描儀與密碼等其他方法結合,創造出高度安全性的雙因素或三因素驗證系統,以使用在企業系統和其他需要高安全等級的應用中。
臉部識別:Apple在新發表的iPhone X中引進了新型的臉部識別系統,其採用IR感測器,安全性更高。新系統採用深度感測技術,目標是克服以往存在於臉部識別的挑戰,像是用相片偽裝成人臉的問題等。
事實上,Android智能手機採用臉部識別作為其中一種驗證選項也已經有一段時間了,但由於安全問題,始終未能將它當作一項重點功能來大肆宣傳。Android臉部識別使用前置(front-facing)相機拍下使用者臉部的相片,再搭配Google的臉部識別演算法,來判斷是否匹配。
三星電子(Samsung)在較新型的Android智能手機中加入了虹膜掃描,改善臉部識別的不足,這進一步提升了臉部識別的特殊性,因為即使是基因完全相同的雙胞胎,兩人的虹膜圖案也不會相同。與臉部不同,虹膜即使過了很長一段時間也不會因年齡或健康因素而改變,也不會受頭髮或化妝的影響。
臉部和虹膜具有唯一性,但影像式的生物識別則會被高解析度的相片所矇騙,而且也會受環境光線條件影響。不過,它仍可以使用在像是機場通關櫃檯這類環境照明受控制、且使用者受到監控無法進行偽造的環境,但就不適合用在像智能手機等移動設備上。
Intel RealSense 400(來源:Intel)
為了克服多數難題,最新iPhone X的Face ID使用了IR深度感測技術,與英特爾(Intel) RealSense相機中所用的技術類似。最新iPhone的臉部識別使用IR感測器和光線來取得臉孔的3D影像,一開始先用IR泛光照在臉上,接著IR點陣投影器會在主體的臉上投射30,000個點,再由IR相機擷取IR影像,然後再與設備上儲存的臉部識別數據作比對。
相較於單純的外觀型臉部識別系統,這類使用IR深度感測的臉部識別系統更準確。系統使用深度感測,因此不會被相片矇騙,另外,Apple聲稱,Touch ID的人臉誤判率為50,000分之一,Face ID更低至1百萬分之一。加上IR光線並不在可見光頻譜內,因此不會受低光源或明亮日光等突發的環境光線條件影響。
Face ID真的防呆嗎?雖然Face ID不會被相片矇混過關,甚至好萊塢(Hollywood)等電影特效等級製作出的人臉面罩也騙不了它,但是,根據越南的研究人員聲稱,他們已利用結合3D列印和真人仿造的精密流程,做出了能夠騙過系統的面具。
就算這個系統不是絕對無法騙過,但從偽造Face ID所牽涉到的精密作業和手法可看出,採用IR深度感測技術的臉部識別確實是一項有效的生物識別驗證方法,能為消費應用帶來均衡的便利性與安全性。
生物識別系統設計
要打造安全的生物識別系統,除了選擇安全的生物識別方法,生物識別信息的儲存與擷取也必須經過加密,而且最好與系統的其他組件隔離。
Apple Touch ID的作法是透過其所謂的「安全圍境」(Secure Enclave)——內建專有快閃記憶體儲存空間,並以ARM為基礎的協同處理器來達成此目標。指紋信息經過單向的哈希函數處理,然後將指紋哈希儲存在與系統其他組件隔離的內存內。指紋經過哈希後,就幾乎不可能從內存中對指紋進行反向工程。此外,將指紋信息的儲存與處理作業進行隔離後,即使智能手機遭駭,除了指紋數據不會外泄,指紋型驗證系統也不會遭到侵入。
同樣地,支持Android的手持設備將經過加密的指紋數據儲存在系統內一個稱為「可信賴執行環境」(Trusted Execution Environment;TEE) 的安全位置。TEE與系統其他組件隔離,並不與用戶安裝的應用程序直接互動。
選擇合適的生物識別技術
新款智能手機產品所搭載的指紋和臉部識別功能,讓這些技術的使用率大為提升,推動其於其他消費性設備中的實作應用。尤其對於可穿戴設備和移動/手持設備來說,生物識別更是一種只要運用方便易用的驗證方式便能快速便利提升安全性的作法。
生物識別在單獨使用時,雖然從安全性來說仍無法超越組成元素完整的密碼,但其便利性在實際應用下確實能提升整體的安全性。此外,也能用於改善現有安全系統的雙因素或三因素驗證。
TAG:EET電子工程專輯 |