拍照時不要比「V」不然會被竊取指紋，是真的嗎？

重點摘要

• 若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋，在實驗室環境下有足夠光源、特殊材料和設備等各種條件配合時才有機會達成，但一般環境很難實現。
• 實際計算距離三公尺且比V手勢拍照，目測3.5cmｘ5cm的照片，相機規格必須至少四億個像素，才有可能拍攝出美國FBI定義的生物識別等級指紋。
• 目前要在三公尺拍攝到個人手指上生物識別資訊等級的指紋，硬體技術離實際還有一段距離，大家應該不用擔心。

議題背景

日本國立情報學研究所（National Institute of Informatics）2017年發布一篇研究，摘要中提到隨著指紋驗證技術的發展，數位相機可以用來拍攝指紋影像，指紋可能被利用於違法登入或竊取身分。因此研究主旨包含，透過照片可能做違法的指紋驗證，並提出一個方法可以避免使用者的指紋從照片中被複製，且不會影響接觸型指紋感應器的感應。

研究方法是先用感應器掃描右手拇指的指紋影像並建檔，再用數位相機依序拍攝一至五公尺內右手拇指的照片，和感應器掃描的影像比對，發現在拍攝距離三公尺時，有些照片中的指紋可以被正確比對。最後在拇指上貼上研究團隊研發的薄膜再拍照，測試薄膜是否可以干擾照片和掃描影像的指紋比對。

台灣的媒體在引用日本《產經新聞》報導此篇研究時，敘述拍照片時不能比V字手勢、指紋外洩比密碼外洩更無法補救等。但真的可以從照片中輕易取得完整的指紋嗎？該如何看待這樣的研究，和拍照時指紋資料洩漏的疑慮？我們邀請專家釋疑。

新聞中引用的研究文獻：

• Ogane, Tateo, and Isao Echizen.（2017, October）. "Biometric Jammer: Preventing surreptitious fingerprint photography without inconveniencing users." In 2017 IEEE International Joint Conference on Biometrics（IJCB）（pp. 253-260）. IEEE.

較完整的相關新聞可參考：

• 紀品志2017。〈以後拍照不能比Ya了？日本研究機構證實指尖距離鏡頭三公尺內可竊取指紋！〉，數位時代，1月11日。
• 陳俊村（2017）。〈為了安全起見 拍照時不要比V字手勢〉，大紀元，1月11日。

一起來看看專家怎麼說。

林韋丞（長庚大學電機工程學系助理教授）

2021年02月22日

代表個人身分資料的生物特徵，包含眼睛虹膜、指紋、掌紋、臉部特徵、聲紋等，最不容易隨生物成長與環境變化而改變的，就是指紋。

判斷個人特徵的指紋，須包含有三大特徵點，即是斷點、交叉點、孤點（註1）。每一個人的10個手指指紋，都會包含上述三種特徵點，而身分資料被竊取，就是指這三個特徵點被複製。

若以金融辨識的安全等級來定義指紋，世界通用的定義是美國聯邦調查局（FBI）從圖像辨識指紋的規格（註2），分為兩種：

1. 像素規格：定義指紋的像素必須超過508 dpi。所謂dpi（dot per inch）是指，每英吋必須有508個像素（piｘel），換算成實際大小就是每一個像素的邊長必須為50 μm以下，才可以構成有生物識別等級意義的指紋。
2. 圖像深度：指紋圖像中灰階的數目須至少150個（註3）。若要從圖像複製指紋，只達到像素規格是不夠的，還須達到足夠灰階數。

新聞指出，距離三公尺拍照，若被拍照者手指比「耶」或「V字型」，指紋可能會被截取，造成個人身份的指紋外洩。我們來實際計算，距離三公尺拍照且人的手指比V字型時，我目測3.5cmｘ5cm的照片，被拍攝者手指尖端的邊長約占整張照片的1％。

我們假設實際手指尖端的邊長是10mm，依照美國FBI定義，辨識這個指尖的單邊長需要10ｘ10³（μm）/50（μm）＝200個像素，把這個像素大小佈滿到整個照片，如此照片的單邊長需要200ｘ100＝2萬個像素。轉換成面積，佈滿整張照片需要20,000ｘ20,000＝4億個像素。

換言之，相機規格必須至少4億個像素，才有可能拍攝出被拍照者手指的指紋，以滿足美國FBI定義圖像中的生物識別等級指紋。

我調查目前市場相機的解析度，蘋果iPhone 12 maｘ pro手機是1200萬個像素，為目前的主流規格，即使目前最高像素的三星Galaｘy S20 Ulra，宣稱採用1億800萬個像素，距離4億像素尚有一段距離。因此，若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋，硬體技術離實際還有一段距離，大家應該不用擔心。大家拍照時候，還是可以快樂的比出「耶」。

周兆龍（國防大學資訊工程學系助理教授）

2021年02月23日

關於這個議題，網路上已有不少資訊曾經討論過（註4），《蘋果日報》還有記者做深入實驗（註5）。

我個人意見是，理論上確實可行，不能算是謠言。但要達成這種攻擊，需要高解析相機、清晰影像、電容式或光學式的影像處理指紋機、足夠光源，再加上特殊材料例如黏土、矽膠、石墨和製作指紋模型需要的設備等各種條件的配合。在實驗室環境下是有機會達成，但一般環境很難實現。

2013年蘋果iPhone 5手機剛推出時，內建的Touch ID指紋辨識模組，即遭到德國的駭客破解；2019年上海騰訊公司也展示了最新的指紋破解技術（註6）。上述兩種破解指紋的共同方式，都是先擷取使用者的2D指紋影像，再透過黏土、矽膠、石墨等特殊材料或設備，將2D指紋影像轉換成3D的指紋模型，再按壓於指紋感測器上。

而這篇日本的論文主要是假設，可以從一般照片中擷取指紋並遠距離的辨識，再提出一個安全的指紋保護技術「Biometric Jammer」。因此「遠距離拍攝照片可以辨識指紋」此說法，只是該論文的假設前提，不是結論。

該論文中實驗所使用的兩款指紋機Digital Persona EikonTouch 710跟Digital Persona U.are.U 4500，也都是屬於接觸式的感測器，需要手指按壓才能順利辨識。因此，合理推測論文作者應該是將遠距離拍攝的指紋，轉換成黑白的2D指紋影像，但並未再透過特殊材料或設備將其轉換成3D指紋模型，而是省略指紋按壓的動作，直接傳送處理好的2D指紋影像給指紋機的軟體進行辨識，才達成論文中的「遠距離」指紋辨識效果（註7）。

實務上，人臉照片的隱私反而比指紋更加危險，相關學術論文發表的更多。目前一般民眾其實不用太恐慌，因為無論密碼或生物辨識技術，都沒有辦法保證絕對的安全，反而要提升保護個人隱私的意識。

註釋與參考資料

1. 編註：指紋的特徵點有分很多種，其中，用斷點、交叉點和孤點此三者辨識指紋的速度較快，是目前辨識指紋時最通用的，各別的定義請參考〈Fingerprint recognition〉。
2. 編註：美國FBI規定辨識指紋的規格，請參考FBI官方網站〈FAQs Vendor Questions〉、〈Biometric Specifications〉，以及文件〈Personal Identity Verification （PIV） Image Quality Specifications for Single Finger Capture Devices〉。
3. 編註：同註[2]所述，規格要求150灰階是指由黑、白兩色構成的圖像中，必須有連續性色階的變化，依照灰色深淺程度分為150個層次，才是合格的FBI 影像品質。
4. 蘋果日報（2020）。〈【隱私風暴1】拍照比V比讚都不行 1.5公尺內洩隱私〉，1月15日。
5. 蘋果日報（2020）。〈【隱私風暴2】《蘋果》實測複製指紋 糗！開不了門、解不開手機〉，1月15日。
6. Davey Winder （2019）.“Hackers Claim ‘Any’ Smartphone Fingerprint Lock Can Be Broken In 20 Minutes.”Forbes, 2019/11/2.
7. 請參考論文中4.2的第（2）點所述：（2） Take a picture of the same finger with a digital camera, and match this photograph against the image registered at step （1） （Figure 18（a））.

本文經新興科技媒體中心授權刊登，原文刊載於此

責任編輯：朱家儀
核稿編輯：翁世航