译者 | 刘涛
审校 | 重楼
生物特征识别技术被广泛应用于访问控制、身份识别和认证等领域。作为基于指纹、人脸和虹膜等人体生物特征的识别,它被公认为是一种比较安全的身份认证技术。
但和其他技术一样,生物特征识别技术也不是完全可靠的,有时候也会失败。这些失败不仅对系统和数据的完整性构成了威胁,也给系统带来了严重的安全隐患。
本文结合实际案例,讨论了生物特征识别系统失败对安全方面造成的影响。
生物特征识别失效的类型
生物特征识别失败可大致分为误通过和误拒绝两类。
误通过
系统把未经授权的用户识别成了授权用户。造成这些错误的原因有很多,如生物特征数据质量不高,安全机制不完善等。误通过可能会导致用户未经授权就可以访问安全区域、信息和系统。
误拒绝
这个问题经常发生在识别系统不能确认合法用户而拒绝其访问的时候。造成这种错误的原因有很多,包括生物特征数据质量不高、个体生物特征数据随时间而改变,或者系统程序错误等。误拒绝会导致已授权的用户不能访问安全区域或系统,从而降低工作效率。
生物特征识别的失败案例
让我们看一下生物特征识别失败的案例,并分析由此带来的安全问题。
人脸识别中的误通过
2019年,美国民权联盟 (ACLU) 对亚马逊的人脸识别软件Rekognition进行了测试,将国会议员的照片和25000名被公开逮捕的囚犯的照片进行了对比。测试结果令人失望,有28位国会议员被系统误识别成与犯罪活动有关的在押人员。这件事显示人脸识别技术有很高的误判率,会把无辜群众误认为是罪犯。
人脸识别系统的误拒绝
近几年来,人脸识别已被广泛应用于安防、监控、身份认证等领域。但是,由于多种因素的影响,有时会导致该技术失效。举个例子,在2020年有一篇新闻报道称,底特律警局所用的人脸识别系统,由于其很高的拒绝率,错误地把一个无辜的人当成了嫌疑犯。这种失败凸显出验证人脸识别算法准确度的重要性,以及需要确保它们对特定人群不应存在偏见。
语音识别系统的误通过
还有一些应用程序,如虚拟助手和银行系统,采用了语音识别技术。但这种技术也并非十全十美,由于各种原因有时也会失败。举例来说,在2017年,有一则新闻详细报道了英国一家银行发现语音识别系统被骗子利用账户持有者的语音录音进行欺诈而得到了通过,银行不得不终止了语音识别技术的使用。语音识别系统被欺诈而授权通过的概率很高,使其他人未经授权就轻松进入持有者的资金账户。
指纹识别系统的误拒绝
指纹识别作为最流行的生物特征识别技术之一,在各种应用中广泛使用。然而,这项技术并非万无一失,偶尔也会由于各种不同的原因而失败。例如,脏手或干手可以降低指纹的质量,从而导致指纹被误认为无效。2013年的一项马来西亚研究发现大多数人在使用基于指纹的生物识别技术时都会遇到麻烦。由于皮肤干燥,许多人的指纹很容易被识别系统拒绝,从而导致身份验证失败。
签名验证系统的误通过
签名验证系统是指使用人的签名来验证其身份的系统。但这种技术也并非滴水不漏,因为各种原因,有时也会失败。举例来说,2018年的一篇新闻报道详述了印度一家银行因为银行签名验证系统出错而被要求赔偿客户损失。系统通过了一个虚假签名,允许其他人非法进入了客户账户。
语音识别系统的误拒绝
虚拟助手和认证系统仅仅是声音识别技术应用中的两个例子。但技术偶尔会由于多种原因而失败。据新闻报道,以一家英国银行为例,其声音识别系统在2020年出现了明显的错误拒绝率,从而使被授权的用户无法访问自己的账户。据说失败的原因是客户声音受到诸如背景噪音和健康状况变化的影响而发生了改变。
虹膜识别系统的误通过
虹膜识别是一种利用虹膜上特有的图案对用户进行身份验证的技术。但是,这种技术也不太可靠,有时会因为各种各样的原因而失败,这和人脸识别失败是一样的。例如,在2018年,巴塞罗那大学的研究人员通过制作假冒的虹膜图像来欺骗该系统把一个人当成了其他人,从而误导了虹膜识别系统。这种失败表明可能存在针对虹膜识别系统的欺诈攻击。
结论
生物特征识别技术的失败将给用户的身份认证带来严重的安全问题,从而导致未授权访问、数据泄露等一系列不良后果。采取有力的安全措施,确保生物识别系统的精确性和可靠性,以及解决任何可能出现的错误或漏洞,都是非常重要的。这样做,我们才能确保生物特征识别系统的安全性和可靠性。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。
原文标题:The Impact of Biometric Recognition Failures on Security,作者:Muhammad Sannan Ali Bhatti