生物识别的五大缺陷与两大应用场景

仅依赖生物特征识别的身份验证既不准确又容易被黑，还远不是万无一失的。

忽然之间，好像全世界都爱上了生物特征识别——不仅仅是高端智能手机和笔记本的用户，甚至负责引领全球身份验证解决方案未来的资深安全专家都沉迷此道。最近召开的一个专注未来身份验证安全标准确立的业界讨论会上，众多与会者都认定生物特征识别是终极安全身份验证解决方案。但实际情况可能并非如此。

生物识别的缺陷

生物特征识别在验证人们身份上远不是人们所想的那么精确可靠，理由如下：

1. 生物特征识别不准确

大多数人认为生物特征识别非常准确，因为宣传广告就是这么说的：“你的指纹、虹膜、视网膜、掌纹独一无二，其他人都没有。”虽然这种说法可能接近真实，但生物特征属性的存储方式却远没有真正的生物特征因子那么细致和独特。

指纹确实有可能近乎全球唯一，但保存下来供后续验证比对的指纹副本可未必唯一。指纹(或者虹膜、视网膜、人脸等等)从测量到存储都不是完全还原的高清图片，只是该生物信息身份的几个确定性特征(“点”)的测量值。

举个例子，指纹就被调整为一系列反应主要谷线、脊线和转折的点。这些大的个体差异以点位来标记，整个保存下来的指纹看上去更像是星座图而不是真正的指纹。

记录原始生物特征属性的设备和软件也就只能做到这种精细程度了。某些时候，读取器/扫描器不做模糊处理就看不清细节，但大多数情况下它们是能看到很多没用的细节的。每个人的指纹都有些非常微小的改变，有时候也可能是指纹的一部分发生了变化，但更多的是些临时的划伤、擦伤和磨损。

如果指纹读取器忠实记录下指纹的每一点细节，那很有可能今天录入的指纹明天就识别不了了。人脸、虹膜、视网膜等其他生物特征属性也一样。所以生物特征读取器和验证器都会反向调谐自身，让自己别那么精确。事实上，这种反向调谐往往实现得过于深入，真正生物特征因子所谓的唯一性最终却会与其他多个毫不相关的存储值相匹配。

一家700人规模的公司都会出现指纹匹配重复现象，录指纹时被弹出“您的指纹已有记录”的员工不得不换一个指头录入自己的生物特征信息以确保指纹的“唯一性”。

如果指纹读取器精细到能看清所有真正的差异，就会出现太多的误报。有意反向调谐的情况下都已经存在太多的假性拒绝现象了。相信大家都体验过公司上班指纹打卡按无数次才验证通过的情况。指纹机也不过是尽忠职守，已经尽可能快地扫描呈现在自己面前的生物特征信息以确定是放行还是拒绝了。如果人们知道自己每次提交的生物特征身份要被对比和否定多少次，他们可能就会真正理解生物特征系统到底有多不准确了。

2. 生物特征识别不是每个人都适用

如果你运营过大型生物特征识别系统，那种数万到数十万用户级别的，你就会了解到总会有人永远用不了特定生物特征识别属性进行身份验证的各种原因。这还不是说装有义眼或天生没有指纹的极个别现象，而是有些人不知道为什么录入指纹后总是匹配不上。

或许是他们的身体有些特殊，生物特征属性变化太快，让他们总是无法成功通过特定生物特征识别验证。这些人只能作为例外被排除在生物特征识别身份验证系统之外，用其他的方法验证身份。

3. 生物特征不是秘密

生物特征与口令或私钥类似，都不算秘密。你的生物特征随处可见，指纹到处按，人脸到处刷，你周围的任何人都能捕获到。再没有其他任何一种身份验证是这么明目张胆、触手可及了。这会引发另外一些问题。

4. 生物特征识别数据很容易被复制

非秘密身份验证因子的最大问题在于它们很容易被复制来做坏事。指纹和人脸都是很容易被捕捉、复制和重用的。一旦被别人捕获，依赖这些生物特征属性的系统还怎么信任你声称的身份?

比如说，2015年6月，560万美国公民的指纹记录被某APT组织窃取。曾经申请美国安全许可的人都被偷了指纹。在FBI、CIA和NSA工作的人员也被偷取了指纹，美国的间谍如今都能被自己的指纹出卖了。

但是生活中又有很多情况必须要用到指纹，比如上班打卡、签购房合同、申请政府工程项目等等。我们的指纹早已在自己知情或不知情的情况下进入了多个数据库，比如征信系统和司法机构的指纹数据库。只要这些机构的数据库有一个被黑，指纹被盗就是板上钉钉的事。