當你看到指紋手機又被破解的視頻,你是否感到恐慌或是認為只是危言聳聽?當你假期旅行、周遊列國的時候,是否考慮過海關係統指紋驗證的必要性?被列入黑名單的嫌疑人,破壞自己的指紋就可以通過系統檢測嗎?你聽說過“指紋丟失”嗎……你的指紋還好嗎?中國科學院自動化研究所副研究員臧亞麗帶來演講《嘿!你的指紋還好嗎?》。
臧亞麗演講視頻:
以下為臧亞麗演講實錄:
我是臧亞麗,來自中國科學院自動化研究所。
我本科畢業於西安交通大學,然後中國科學院大學碩博連讀,後來在中科院自動化所做副研究員。
在我整個學習和工作的過程中,一共涉及到以下幾個指紋的課題——
形變指紋的匹配。在採集的時候,手指可能會變形,比如會不自覺地擰一下,會影響識別的效率。
現場指紋識別。它主要應用在公安上,是關於怎樣能將指紋有效地從背景裡找出來,然後跟正常的指紋做匹配。
假指紋甄別。主要研究各種材料的假手指跟真正的皮膚採集的圖像有什麼區別。
小面積的指紋識別。我們有一個橫向的項目,跟公司合作來做指紋識別的芯片。
更安全:密碼,還是指紋?
大家覺得,指紋和密碼,哪一個更安全?指紋現在應用得這麼廣泛,是因為密碼不安全嗎?
一個八位數字組成的隨機密碼,一共會有10^8(1億)種方案。也就是說,隨便生成一個八位數字的密碼,另外一個人隨機猜到的可能性是一億分之一。如果夾雜大小寫字母和符號,就會有94^8(6千萬億)種。
這就是說,當選擇的範圍越寬時,密碼的不確定性就越高,相對安全性也就會越高。
信息學和密碼學的領域裡有一個“熵”的概念,用來評測密碼的安全性。密碼熵裡邊有兩個關鍵變量L和N,表示在N個符號的範圍內,去隨機選擇長度為L的密碼,得到的值是52.7。
而指紋只要採集的位置、面積、形變角度等存在不一致,收到的信息就會不一樣。正因如此,很難定量判斷指紋的唯一性和不確定性有多高。全世界六十億個人,每個人十個手指,一共有六百億個手指。而指紋又是唯一的,算下來是六百億分之一——這樣說起來好像是絕對安全的,但其實不是這樣的。
很難定量判斷指紋的唯一性和不確定性有多高|Pixabay
目前商用的指紋算法(比如手機解鎖),在誤識率為五萬分之一的情況下,拒識率小於百分之三。也就是說,在別人的手指試五萬次,會有一次能夠非法通過認證的前提下,自己的手指每試一百次,有三次會被拒絕掉。
這是一個博弈的過程:誤識率和拒識率,一個高,另外一個就會低。目前的數值,是從用戶反饋中得出的。
這個性能,對小面積而言是1:小N——系統裡可能會註冊不止一兩個手指;對大面積而言(刑偵公安或者大數據庫)而言是1:大N。所以,指紋系統的安全性(指紋識別出錯的概率)大致是五萬分之一,大面積的可能會達到十萬分之一或者二十萬分之一,但目前的技術也就到此為止了。
指紋系統和密碼系統的安全性完全不是一個量級的,但是也不能就此認為後者就是安全的。
為什麼?
大家想想:我們設置的密碼,真的是隨機的嗎?即便是隨機的密碼(而且要所有的系統都不一樣),記得住嗎?
所以有兩個概念,一個叫“預測熵”,一個叫“最小熵”,它們是用來衡量考慮了各種實際情況以後可能達到的安全性的測度。
預測熵,就是任意的一個8位字符。在有組合要求(有大小寫、有符號、不能是一個英文單詞、不能是連續的數字等等)的情況下,數值可以達到30,也就十億分之一的概率會被猜中。
十億分之一,聽起來還可以;但是,我的密碼絕對是自己慣用的幾個組合,因此也存在較壞情況下的判斷,而這就與最小熵(即認為他人達到最優狀態,如對主體密碼設置習慣有一定了解)有關。
一般來說,一個密碼系統的最小熵達到是10(即在隨機一千分之一的概率被猜中),我們才能認為它是安全的。在系統本身不做限制或者安全增強技術的情況下,密碼要有15位才能保證一千分之一。15位的密碼,大家有嗎?反正我沒設過這麼長的密碼。所以密碼的安全性其實並不高的,容易被人破解。
通過上述討論,我們可以得到一個大概的結論:指紋系統的安全性往往是由它系統本身(硬件、算法)決定的,而密碼系統幾乎完全依賴於用戶的使用習慣。因此,對於特別認真謹慎
關鍵字: 指紋 中國科學院自動化研究所 密碼
