隨著智慧型手機普及,拍照已成為日常生活的一部分,然而近期中國大陸網路流傳訊息指出,拍照時若手指露出,指紋恐遭擷取複製,引發民眾擔憂。對此,指紋辨識系統產品經理陳佩青及工研院資訊與通訊研究所副所長黃維中等專家均表示,現行生物特徵驗證技術已具備多重防護機制,單憑照片複製指紋解鎖裝置的難度極高,真正需要警惕的反而是生物特徵上傳雲端後的資安風險。

自從生物辨識開始流行以來,中國大陸網路上都不斷流傳一則訊息,聲稱拍照時若手指對著鏡頭,指紋資訊可能被完整擷取。中國大陸金融專家李暢在影片中提到,如果拍照時完全對著鏡頭,系統可以百分之百收集所有資訊,連最常見的比「ya」手勢,指紋都可能被完整擷取,甚至可以被複製用於解鎖指紋辨識系統。這樣的說法在網路上不斷流傳,讓不少民眾感到擔憂。
針對這項疑慮,指紋辨識系統產品經理陳佩青解釋,若以平面方式取得指紋圖像,該圖像本身是2D的,但人體指紋實際上具有紋路和深度。她進一步說明,在進行指紋辨識時,金鑰在擷取指紋特徵的過程中,除了需要讀取X軸和Y軸之外,還需要讀取Z軸的部分,必須抓到深度的特徵。因此,僅憑照片中的圖像就能竊取指紋這件事,實際上難度非常高。
指紋有深度.電容質!2D照 難重建3D紋路
現行電容式生物特徵指紋驗證技術,透過辨識板不僅記錄每條紋路的深淺,甚至能偵測手指上的電容質,藉此分辨是否為活體。工研院資訊與通訊研究所副所長黃維中表示,生物特徵在裝置裡面進行一對一或一對二的比對,因此速度很快且非常方便。他指出,比對完成後,後續流程就與生物特徵沒有關係,主要是證明使用者擁有該裝置並可以解鎖,接下來的操作是由裝置裡面的安全晶片與遠端伺服器進行溝通,不會再使用生物特徵。
黃維中強調,在這種情況下,生物特徵的風險其實更低,因為就算有人擁有使用者的生物特徵指紋,接下來還要取得裝置,而取得裝置後要解鎖,後面還有很多關卡。由於驗證後傳輸出去的不是生物特徵,而是一組無法還原複製的金鑰,這樣的變革發展讓國際間認為這才是真正的身份辨識方式。
目前生物特徵辨識技術包括指紋、人臉辨識、虹膜、視網膜以及靜脈紋理等。其中最難被偽造且準確性最高的是虹膜辨識,而隱私性最高的則是靜脈辨識,因為靜脈隱藏在皮膚下,無法從外部取得。不過靜脈辨識雖然穩定性高,但驗證時間通常較久,與虹膜辨識一樣,設備成本相對較高。指紋和人臉辨識則是目前最普及的方式,其安全性依賴3D掃描和活體檢測技術。

FIDO聯盟台灣分會會長張心玲表示,基本上希望安全保障能夠多重化,而不只是現在慣用的單一密碼驗證。她提到所謂的雙因子或多因子驗證,美國方面也相當重視多因子驗證這件事。因此除了密碼之外,還可以加上生物特徵及其他驗證方式,現在又有AI技術可以更加強化安全防護,層層保護措施越來越多,也能更加保護使用者的隱私和安全。
專家指出,生物特徵驗證雖然沒有絕對安全,但比起密碼確實難以遭到破解,尤其若有雙重驗證,幾乎必須本人才可能解鎖。至於像電影「乘客任務」中演出的情節,透過照片或重新描繪指紋再復刻解鎖載具,確實有些誇大。不過黃維中也提到,以目前AI科技和半導體的蓬勃發展,未來或許還是可能發生。





