譯者 | 劉濤

審校 | 重樓

生物特征識別技術(shù)被廣泛應(yīng)用于訪問控制、身份識別和認(rèn)證等領(lǐng)域。作為基于指紋、人臉和虹膜等人體生物特征的識別，它被公認(rèn)為是一種比較安全的身份認(rèn)證技術(shù)。

但和其他技術(shù)一樣，生物特征識別技術(shù)也不是完全可靠的，有時候也會失敗。這些失敗不僅對系統(tǒng)和數(shù)據(jù)的完整性構(gòu)成了威脅，也給系統(tǒng)帶來了嚴(yán)重的安全隱患。

本文結(jié)合實(shí)際案例，討論了生物特征識別系統(tǒng)失敗對安全方面造成的影響。

生物特征識別失效的類型

生物特征識別失敗可大致分為誤通過和誤拒絕兩類。

誤通過

系統(tǒng)把未經(jīng)授權(quán)的用戶識別成了授權(quán)用戶。造成這些錯誤的原因有很多，如生物特征數(shù)據(jù)質(zhì)量不高，安全機(jī)制不完善等。誤通過可能會導(dǎo)致用戶未經(jīng)授權(quán)就可以訪問安全區(qū)域、信息和系統(tǒng)。

誤拒絕

這個問題經(jīng)常發(fā)生在識別系統(tǒng)不能確認(rèn)合法用戶而拒絕其訪問的時候。造成這種錯誤的原因有很多，包括生物特征數(shù)據(jù)質(zhì)量不高、個體生物特征數(shù)據(jù)隨時間而改變，或者系統(tǒng)程序錯誤等。誤拒絕會導(dǎo)致已授權(quán)的用戶不能訪問安全區(qū)域或系統(tǒng)，從而降低工作效率。

生物特征識別的失敗案例

讓我們看一下生物特征識別失敗的案例，并分析由此帶來的安全問題。

人臉識別中的誤通過

2019年，美國民權(quán)聯(lián)盟 (ACLU) 對亞馬遜的人臉識別軟件Rekognition進(jìn)行了測試，將國會議員的照片和25000名被公開逮捕的囚犯的照片進(jìn)行了對比。測試結(jié)果令人失望，有28位國會議員被系統(tǒng)誤識別成與犯罪活動有關(guān)的在押人員。這件事顯示人臉識別技術(shù)有很高的誤判率，會把無辜群眾誤認(rèn)為是罪犯。

人臉識別系統(tǒng)的誤拒絕

近幾年來，人臉識別已被廣泛應(yīng)用于安防、監(jiān)控、身份認(rèn)證等領(lǐng)域。但是，由于多種因素的影響，有時會導(dǎo)致該技術(shù)失效。舉個例子，在2020年有一篇新聞報道稱，底特律警局所用的人臉識別系統(tǒng)，由于其很高的拒絕率，錯誤地把一個無辜的人當(dāng)成了嫌疑犯。這種失敗凸顯出驗(yàn)證人臉識別算法準(zhǔn)確度的重要性，以及需要確保它們對特定人群不應(yīng)存在偏見。

語音識別系統(tǒng)的誤通過

還有一些應(yīng)用程序，如虛擬助手和銀行系統(tǒng)，采用了語音識別技術(shù)。但這種技術(shù)也并非十全十美，由于各種原因有時也會失敗。舉例來說，在2017年，有一則新聞詳細(xì)報道了英國一家銀行發(fā)現(xiàn)語音識別系統(tǒng)被騙子利用賬戶持有者的語音錄音進(jìn)行欺詐而得到了通過，銀行不得不終止了語音識別技術(shù)的使用。語音識別系統(tǒng)被欺詐而授權(quán)通過的概率很高，使其他人未經(jīng)授權(quán)就輕松進(jìn)入持有者的資金賬戶。

指紋識別系統(tǒng)的誤拒絕

指紋識別作為最流行的生物特征識別技術(shù)之一，在各種應(yīng)用中廣泛使用。然而，這項(xiàng)技術(shù)并非萬無一失，偶爾也會由于各種不同的原因而失敗。例如，臟手或干手可以降低指紋的質(zhì)量，從而導(dǎo)致指紋被誤認(rèn)為無效。2013年的一項(xiàng)馬來西亞研究發(fā)現(xiàn)大多數(shù)人在使用基于指紋的生物識別技術(shù)時都會遇到麻煩。由于皮膚干燥，許多人的指紋很容易被識別系統(tǒng)拒絕，從而導(dǎo)致身份驗(yàn)證失敗。

簽名驗(yàn)證系統(tǒng)的誤通過

簽名驗(yàn)證系統(tǒng)是指使用人的簽名來驗(yàn)證其身份的系統(tǒng)。但這種技術(shù)也并非滴水不漏，因?yàn)楦鞣N原因，有時也會失敗。舉例來說，2018年的一篇新聞報道詳述了印度一家銀行因?yàn)殂y行簽名驗(yàn)證系統(tǒng)出錯而被要求賠償客戶損失。系統(tǒng)通過了一個虛假簽名，允許其他人非法進(jìn)入了客戶賬戶。

語音識別系統(tǒng)的誤拒絕

虛擬助手和認(rèn)證系統(tǒng)僅僅是聲音識別技術(shù)應(yīng)用中的兩個例子。但技術(shù)偶爾會由于多種原因而失敗。據(jù)新聞報道，以一家英國銀行為例，其聲音識別系統(tǒng)在2020年出現(xiàn)了明顯的錯誤拒絕率，從而使被授權(quán)的用戶無法訪問自己的賬戶。據(jù)說失敗的原因是客戶聲音受到諸如背景噪音和健康狀況變化的影響而發(fā)生了改變。

虹膜識別系統(tǒng)的誤通過

虹膜識別是一種利用虹膜上特有的圖案對用戶進(jìn)行身份驗(yàn)證的技術(shù)。但是，這種技術(shù)也不太可靠，有時會因?yàn)楦鞣N各樣的原因而失敗，這和人臉識別失敗是一樣的。例如，在2018年，巴塞羅那大學(xué)的研究人員通過制作假冒的虹膜圖像來欺騙該系統(tǒng)把一個人當(dāng)成了其他人，從而誤導(dǎo)了虹膜識別系統(tǒng)。這種失敗表明可能存在針對虹膜識別系統(tǒng)的欺詐攻擊。

結(jié)論

生物特征識別技術(shù)的失敗將給用戶的身份認(rèn)證帶來嚴(yán)重的安全問題，從而導(dǎo)致未授權(quán)訪問、數(shù)據(jù)泄露等一系列不良后果。采取有力的安全措施，確保生物識別系統(tǒng)的精確性和可靠性，以及解決任何可能出現(xiàn)的錯誤或漏洞，都是非常重要的。這樣做，我們才能確保生物特征識別系統(tǒng)的安全性和可靠性。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人。

原文標(biāo)題：The Impact of Biometric Recognition Failures on Security，作者：Muhammad Sannan Ali Bhatti