譯者 | 劉濤

審校 | 重樓

生物特征識別技術被廣泛應用于訪問控制、身份識別和認證等領域。作為基于指紋、人臉和虹膜等人體生物特征的識別，它被公認為是一種比較安全的身份認證技術。

但和其他技術一樣，生物特征識別技術也不是完全可靠的，有時候也會失敗。這些失敗不僅對系統和數據的完整性構成了威脅，也給系統帶來了嚴重的安全隱患。

本文結合實際案例，討論了生物特征識別系統失敗對安全方面造成的影響。

生物特征識別失效的類型

生物特征識別失敗可大致分為誤通過和誤拒絕兩類。

誤通過

系統把未經授權的用戶識別成了授權用戶。造成這些錯誤的原因有很多，如生物特征數據質量不高，安全機制不完善等。誤通過可能會導致用戶未經授權就可以訪問安全區域、信息和系統。

誤拒絕

這個問題經常發生在識別系統不能確認合法用戶而拒絕其訪問的時候。造成這種錯誤的原因有很多，包括生物特征數據質量不高、個體生物特征數據隨時間而改變，或者系統程序錯誤等。誤拒絕會導致已授權的用戶不能訪問安全區域或系統，從而降低工作效率。

生物特征識別的失敗案例

讓我們看一下生物特征識別失敗的案例，并分析由此帶來的安全問題。

人臉識別中的誤通過

2019年，美國民權聯盟 (ACLU) 對亞馬遜的人臉識別軟件Rekognition進行了測試，將國會議員的照片和25000名被公開逮捕的囚犯的照片進行了對比。測試結果令人失望，有28位國會議員被系統誤識別成與犯罪活動有關的在押人員。這件事顯示人臉識別技術有很高的誤判率，會把無辜群眾誤認為是罪犯。

人臉識別系統的誤拒絕

近幾年來，人臉識別已被廣泛應用于安防、監控、身份認證等領域。但是，由于多種因素的影響，有時會導致該技術失效。舉個例子，在2020年有一篇新聞報道稱，底特律警局所用的人臉識別系統，由于其很高的拒絕率，錯誤地把一個無辜的人當成了嫌疑犯。這種失敗凸顯出驗證人臉識別算法準確度的重要性，以及需要確保它們對特定人群不應存在偏見。

語音識別系統的誤通過

還有一些應用程序，如虛擬助手和銀行系統，采用了語音識別技術。但這種技術也并非十全十美，由于各種原因有時也會失敗。舉例來說，在2017年，有一則新聞詳細報道了英國一家銀行發現語音識別系統被騙子利用賬戶持有者的語音錄音進行欺詐而得到了通過，銀行不得不終止了語音識別技術的使用。語音識別系統被欺詐而授權通過的概率很高，使其他人未經授權就輕松進入持有者的資金賬戶。

指紋識別系統的誤拒絕

指紋識別作為最流行的生物特征識別技術之一，在各種應用中廣泛使用。然而，這項技術并非萬無一失，偶爾也會由于各種不同的原因而失敗。例如，臟手或干手可以降低指紋的質量，從而導致指紋被誤認為無效。2013年的一項馬來西亞研究發現大多數人在使用基于指紋的生物識別技術時都會遇到麻煩。由于皮膚干燥，許多人的指紋很容易被識別系統拒絕，從而導致身份驗證失敗。

簽名驗證系統的誤通過

簽名驗證系統是指使用人的簽名來驗證其身份的系統。但這種技術也并非滴水不漏，因為各種原因，有時也會失敗。舉例來說，2018年的一篇新聞報道詳述了印度一家銀行因為銀行簽名驗證系統出錯而被要求賠償客戶損失。系統通過了一個虛假簽名，允許其他人非法進入了客戶賬戶。

語音識別系統的誤拒絕

虛擬助手和認證系統僅僅是聲音識別技術應用中的兩個例子。但技術偶爾會由于多種原因而失敗。據新聞報道，以一家英國銀行為例，其聲音識別系統在2020年出現了明顯的錯誤拒絕率，從而使被授權的用戶無法訪問自己的賬戶。據說失敗的原因是客戶聲音受到諸如背景噪音和健康狀況變化的影響而發生了改變。

虹膜識別系統的誤通過

虹膜識別是一種利用虹膜上特有的圖案對用戶進行身份驗證的技術。但是，這種技術也不太可靠，有時會因為各種各樣的原因而失敗，這和人臉識別失敗是一樣的。例如，在2018年，巴塞羅那大學的研究人員通過制作假冒的虹膜圖像來欺騙該系統把一個人當成了其他人，從而誤導了虹膜識別系統。這種失敗表明可能存在針對虹膜識別系統的欺詐攻擊。

結論

生物特征識別技術的失敗將給用戶的身份認證帶來嚴重的安全問題，從而導致未授權訪問、數據泄露等一系列不良后果。采取有力的安全措施，確保生物識別系統的精確性和可靠性，以及解決任何可能出現的錯誤或漏洞，都是非常重要的。這樣做，我們才能確保生物特征識別系統的安全性和可靠性。

譯者介紹

劉濤，51CTO社區編輯，某大型央企系統上線檢測管控負責人。

原文標題：The Impact of Biometric Recognition Failures on Security，作者：Muhammad Sannan Ali Bhatti