暗網潛航——人面識別

  最近內地有大學團隊透過一副具「眼部區域的特殊花紋干擾圖案」的眼鏡框,破解19台不同品牌的Android手機「人面識別」認證,以及10多款金融及政府手機軟件認證授權機制。筆者在此跟大家討論一下,「人面識別」這個機制在信息安全裏的運用。

  「人面識別」是信息安全內多因子驗證的其中一個部份所使用的其中一個技術,其基礎規矩是同時利用單因子、雙因子及三因子互相配合,構成信息系統上的安全授權機制。這三個不同因子每一個疊加配合使用,安全保證系數便會上升。

  「人面識別」便是第三因子使用的「生物識別認證」技術的其中一種,除了人面外還包括指紋、聲紋及瞳孔等。如果這三個因子互相配合使用,基本上可以大大提升非授權使用系統機會。但如果單獨倚賴其中一個因子,它們都是有弱點而且不全面。

  生物特徵獨一無二的,但使用「生物識別認證」技術及成本預算卻有局限性。「人面識別」一般會透過感應或掃描器,對目標人物整過頭部包括眼睛、面形、頭骨及面骨分佈特徵作出立體掃描,當認證時會對複數特徵進行錯誤拒絕率、錯誤接受率及交叉錯誤率互相對抗比較而作出判斷。然而如果特徵範圍收窄如只是眼睛部份,那獲取的對照範本便會相對較少或使用的感應或掃描鏡頭質素比較差,被擾亂碼錯誤引導機率相對較高。

  這個測試不是「人面識別」技術或Android系統問題,而是手機製造商使用比較便宜的感應或掃描鏡頭,以至認證檢查的演算法範圍收窄。所以各位如果有敏感和重要資訊要處理,便要買一部質素有保證的手機,以及開始習慣使用多因子認證,如使用智能手錶配合密碼及生物認證混合使用確保安全。

TOZ聯合創辦人

龐博文


hd