拍照時不要比「V」不然會被竊取指紋,是真的嗎?

拍照時不要比「V」不然會被竊取指紋,是真的嗎?
Photo Credit: iStock

我們想讓你知道的是

真的可以從照片中輕易取得完整的指紋嗎?該如何看待這樣的研究,和拍照時指紋資料洩漏的疑慮?我們邀請專家釋疑。

重點摘要

  • 若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,在實驗室環境下有足夠光源、特殊材料和設備等各種條件配合時才有機會達成,但一般環境很難實現。
  • 實際計算距離三公尺且比V手勢拍照,目測3.5cmx5cm的照片,相機規格必須至少四億個像素,才有可能拍攝出美國FBI定義的生物識別等級指紋。
  • 目前要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,硬體技術離實際還有一段距離,大家應該不用擔心。

議題背景

日本國立情報學研究所(National Institute of Informatics)2017年發布一篇研究,摘要中提到隨著指紋驗證技術的發展,數位相機可以用來拍攝指紋影像,指紋可能被利用於違法登入或竊取身分。因此研究主旨包含,透過照片可能做違法的指紋驗證,並提出一個方法可以避免使用者的指紋從照片中被複製,且不會影響接觸型指紋感應器的感應。

研究方法是先用感應器掃描右手拇指的指紋影像並建檔,再用數位相機依序拍攝一至五公尺內右手拇指的照片,和感應器掃描的影像比對,發現在拍攝距離三公尺時,有些照片中的指紋可以被正確比對。最後在拇指上貼上研究團隊研發的薄膜再拍照,測試薄膜是否可以干擾照片和掃描影像的指紋比對。

台灣的媒體在引用日本《產經新聞》報導此篇研究時,敘述拍照片時不能比V字手勢、指紋外洩比密碼外洩更無法補救等。但真的可以從照片中輕易取得完整的指紋嗎?該如何看待這樣的研究,和拍照時指紋資料洩漏的疑慮?我們邀請專家釋疑。

新聞中引用的研究文獻:

較完整的相關新聞可參考:

一起來看看專家怎麼說。

林韋丞(長庚大學電機工程學系助理教授)

2021年02月22日

代表個人身分資料的生物特徵,包含眼睛虹膜、指紋、掌紋、臉部特徵、聲紋等,最不容易隨生物成長與環境變化而改變的,就是指紋。

判斷個人特徵的指紋,須包含有三大特徵點,即是斷點、交叉點、孤點(註1)。每一個人的10個手指指紋,都會包含上述三種特徵點,而身分資料被竊取,就是指這三個特徵點被複製。

若以金融辨識的安全等級來定義指紋,世界通用的定義是美國聯邦調查局(FBI)從圖像辨識指紋的規格(註2),分為兩種:

  1. 像素規格:定義指紋的像素必須超過508 dpi。所謂dpi(dot per inch)是指,每英吋必須有508個像素(pixel),換算成實際大小就是每一個像素的邊長必須為50 μm以下,才可以構成有生物識別等級意義的指紋。
  2. 圖像深度:指紋圖像中灰階的數目須至少150個(註3)。若要從圖像複製指紋,只達到像素規格是不夠的,還須達到足夠灰階數。

新聞指出,距離三公尺拍照,若被拍照者手指比「耶」或「V字型」,指紋可能會被截取,造成個人身份的指紋外洩。我們來實際計算,距離三公尺拍照且人的手指比V字型時,我目測3.5cmx5cm的照片,被拍攝者手指尖端的邊長約占整張照片的1%。

我們假設實際手指尖端的邊長是10mm,依照美國FBI定義,辨識這個指尖的單邊長需要10x103(μm)/50(μm)=200個像素,把這個像素大小佈滿到整個照片,如此照片的單邊長需要200x100=2萬個像素。轉換成面積,佈滿整張照片需要20,000x20,000=4億個像素。

換言之,相機規格必須至少4億個像素,才有可能拍攝出被拍照者手指的指紋,以滿足美國FBI定義圖像中的生物識別等級指紋。

我調查目前市場相機的解析度,蘋果iPhone 12 max pro手機是1200萬個像素,為目前的主流規格,即使目前最高像素的三星Galaxy S20 Ulra,宣稱採用1億800萬個像素,距離4億像素尚有一段距離。因此,若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,硬體技術離實際還有一段距離,大家應該不用擔心。大家拍照時候,還是可以快樂的比出「耶」。

周兆龍(國防大學資訊工程學系助理教授)

2021年02月23日

關於這個議題,網路上已有不少資訊曾經討論過(註4),《蘋果日報》還有記者做深入實驗(註5)。

我個人意見是,理論上確實可行,不能算是謠言。但要達成這種攻擊,需要高解析相機、清晰影像、電容式或光學式的影像處理指紋機、足夠光源,再加上特殊材料例如黏土、矽膠、石墨和製作指紋模型需要的設備等各種條件的配合。在實驗室環境下是有機會達成,但一般環境很難實現。

2013年蘋果iPhone 5手機剛推出時,內建的Touch ID指紋辨識模組,即遭到德國的駭客破解;2019年上海騰訊公司也展示了最新的指紋破解技術(註6)。上述兩種破解指紋的共同方式,都是先擷取使用者的2D指紋影像,再透過黏土、矽膠、石墨等特殊材料或設備,將2D指紋影像轉換成3D的指紋模型,再按壓於指紋感測器上。

而這篇日本的論文主要是假設,可以從一般照片中擷取指紋並遠距離的辨識,再提出一個安全的指紋保護技術「Biometric Jammer」。因此「遠距離拍攝照片可以辨識指紋」此說法,只是該論文的假設前提,不是結論。

該論文中實驗所使用的兩款指紋機Digital Persona EikonTouch 710跟Digital Persona U.are.U 4500,也都是屬於接觸式的感測器,需要手指按壓才能順利辨識。因此,合理推測論文作者應該是將遠距離拍攝的指紋,轉換成黑白的2D指紋影像,但並未再透過特殊材料或設備將其轉換成3D指紋模型,而是省略指紋按壓的動作,直接傳送處理好的2D指紋影像給指紋機的軟體進行辨識,才達成論文中的「遠距離」指紋辨識效果(註7)。

實務上,人臉照片的隱私反而比指紋更加危險,相關學術論文發表的更多。目前一般民眾其實不用太恐慌,因為無論密碼或生物辨識技術,都沒有辦法保證絕對的安全,反而要提升保護個人隱私的意識。

註釋與參考資料

  1. 編註:指紋的特徵點有分很多種,其中,用斷點、交叉點和孤點此三者辨識指紋的速度較快,是目前辨識指紋時最通用的,各別的定義請參考〈Fingerprint recognition〉。
  2. 編註:美國FBI規定辨識指紋的規格,請參考FBI官方網站〈FAQs Vendor Questions〉、〈Biometric Specifications〉,以及文件〈Personal Identity Verification (PIV) Image Quality Specifications for Single Finger Capture Devices〉。
  3. 編註:同註[2]所述,規格要求150灰階是指由黑、白兩色構成的圖像中,必須有連續性色階的變化,依照灰色深淺程度分為150個層次,才是合格的FBI 影像品質。
  4. 蘋果日報(2020)。〈【隱私風暴1】拍照比V比讚都不行 1.5公尺內洩隱私〉,1月15日。
  5. 蘋果日報(2020)。〈【隱私風暴2】《蘋果》實測複製指紋 糗!開不了門、解不開手機〉,1月15日。
  6. Davey Winder (2019).“Hackers Claim ‘Any’ Smartphone Fingerprint Lock Can Be Broken In 20 Minutes.”Forbes, 2019/11/2.
  7. 請參考論文中4.2的第(2)點所述:(2) Take a picture of the same finger with a digital camera, and match this photograph against the image registered at step (1) (Figure 18(a)).

本文經新興科技媒體中心授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:翁世航