多年以来,电容指纹传感识别技术的别名就是“活体指纹识别”,银行业更是硬性规定不可使用光学指纹识别技术,自从人类发明指纹识别以来,指纹识别方式在不断进化。如今居然有电容式指纹识别技术公司自爆电容式没有活体检测能力(而不是活体检测能力不够),把业内人士都惊呆掉了!
那么,指纹识别发展至今又有哪些重要的节点?开始的指纹识别又是什么?带着以上问题,我们一起来聊聊指纹识别的“前世今生”。
在19世纪初,科学家发现了两个指纹奥秘,一是两个不同手指的指纹纹脊式样不同,另外一个是指纹纹脊式样终生不改变。这个研究成果使得指纹在*鉴别中得以正式应用。20世纪60年代,由于计算机可以有效处理图形,人们开始着手研究利用计算机来处理指纹。半个多世纪过去,如今指纹识别应用充斥在我们生活的方方面面,移动支付、上班打卡、小区入户都离不了它。今天就让我们来了解一下指纹识别前世今生,看看这个存在于我们的指纹究竟经历了那些考验?
设备指纹的“前世今生”
早期,在一些对安全要求非常高的线上场景中,例如一些银行的网上银行,常常使用U盾这样的纯硬件技术去追踪业务主体,也就是上文所说的定位“什么人”。同时,因为业务往往都是发生在浏览器页面中,而浏览器是属于操作系统上层的应用程序,运行在其中的脚本代码受到沙盒的限制,所以用户也需要安装一个可以跳出浏览器沙盒直接跟操作系统对接的控件,来读取U盾里面的安全数据。
相对来讲,这很安全。不过随着互联网的发展,这种“控件”+“U盾”的结合方式已经越来越落伍。笔者总结了如下几点原因:
1、使用控件的用户体验非常差,需要冗长安装、更新流程,普通用户难以操作;
2、移动互联网已成为主流,而iOS,Android等移动互联网入口都不支持控件;
3、不仅仅在移动端,某些控件在pc端适用范围都很小,很多只支持PC上的IE内核浏览器。同时Chrome和Firefox等份额较大的桌面浏览器也在逐步淘汰控件的使用;
4、基于控件的本地溢出漏洞层出不穷,用户很容易中木马或者被钓鱼,反而给系统的安全造成严重危害。
基于以上几点,纯依赖js的web设备指纹技术逐渐被越来越多的厂商使用。它具有”免安装”、”动态更新”、”用户无感知”、”兼容移动和桌面端所有操作系统浏览器”的优点。此外,由于js天然受到浏览器沙盒的限制,在某些安全性要求更高的场景,内嵌于各种app的SDK设备指纹技术也得到广泛的应用。
识别鼻祖——光学指纹识别
早出现的指纹识别系统是光学指纹识别。那时指纹识别传感器都是采用玻璃表层,由于手指按在玻璃上会留下指纹,玻璃表层下面有一个荧光发光层,发光层照亮手指与玻璃接触所形成的指纹图案,这个时候玻璃下面的图像传感器便进行扫描,扫描到指纹图案与存储器中的指纹图像进行比对便完成一次鉴别。
由于光并不能透过皮肤表层(也就是死性皮肤层)所以只能扫描手指表层。如果指纹表皮上死皮或者灰尘过多。又或者有破损和染色,会直接影响扫描结果。同时由于光学指纹传感器只扫描手指与玻璃接触的二维图像,并不会检测指纹材质,类似《碟中谍》系列电影中采取他人指纹制作指纹膜,就可以轻易骗过指纹识别器。
自发现至今,光学指纹识别技术仍未被淘汰还是有其原因的,光学指纹识别环境适应性更强,同时寿命更长成本也更低。光学指纹识别模块采集窗多为钢化玻璃,抗压型强同时易清理,可在各种环境下作业。由于光学识别系统识别模块与按压模块是分开的并不会担心人们在按压时破坏识别模块,对比其他直接按压识别模块指纹识别系统,会更不易损坏。同时由于制造工艺上更加简单,光学识别系统价格更加低廉。现在大部分指纹考勤机以及部分智能锁仍采用光学指纹识别系统。
*——电容式指纹识别
后来出现了第二代指纹识别系统——电容式指纹识别系统,电容传感器技术是采用了交替命令的并排列和传感器电板,交替板形式是两个电容板,以及指纹山谷和山脊成为板之间的电介质。两者之间恒量电介质传感器检测变化来生成指纹图像。电容式指纹传感器又分为较早出现的刮擦式传感器以及后续出现现使用较为广泛的按压式传感器两种。
但是电容式指纹传感器对脏手指,湿手指等困难手指识别率低,对手指清洁度要求较高。同时由于传感器表面是使用硅材料,非常容易损坏,导致使用寿命降低。所以电容式指纹传感系统还有很长的路要走。
未来之星——射频指纹识别
指纹识别经过前两代更替又前进了一步,这两年新兴的射频指纹识别可以靠特定频率信号反射来探知指纹的具体形态的。此类指纹识别系统又分为无线电波探测与超声波探测两种,其原理都与探测海底物质的声纳类似。
如果说前两代指纹识别技术关注的是解锁速度和精度,但对于用户来说,可能面临的烦恼是,比如手指上有水或者冬天手指脱皮,指纹识别就失效了。射频指纹识别对干手指,汗手指,脏手指等困难手指通过可高达99%,防伪指纹能力强,指纹敏感器识别原理只对人类皮肤有反应,从根本上杜绝了人造指纹问题,同时它还适合特别寒冷或特别酷热的地区。由于射频传感器能产生高质量图像,因此射频技术是可靠,有力的指纹识别方案。除此之外,高质量图像还允许减小传感器,无需牺牲认证的可靠性,从而降低成本并使得射频传感器思想应用到可移动和大小不受拘束的任何领域中。但是这类指纹识别传感器现阶段造价太高,还没有推广开来。希望未来可以将这项技术广泛投入社会使用当中。
“好”的设备指纹是怎样的
很多人对设备指纹不了解,容易一开始便纠结在一些意义不大的机制和参数上。下面就让我们一起探讨下什么是“好”的设备指纹。
1、不侵犯用户隐私
这是所有设备指纹产品需要严格遵守的红线。侵犯用户隐私,基于用户敏感信息(比如用户浏览历史记录,用户输入的敏感数据等)研发的设备指纹产品,即使功能再强大,也毫无意义,这无需多言。
2.安全性和用户体验的平衡
好的设备指纹需要在安全性和用户体验之间找到平衡点;其实这个概念可以衍生到更广的层面,即“安全防护应该是在安全性和业务发展之间找到平衡点”。
对于安全从业者来说,这是我们要牢记的准则——安全永远是为业务服务的。上文提到的淘汰“硬”设备指纹(U盾)而发展“软”设备指纹(js,SDK)就是对该理念的有力印证。虽然“软”设备指纹在某些情况下功能性和安全性稍差,但在用户体验上获得了极大的提升,再通过结合其他维度的综合风险识别,实践证明”软”设备指纹机制有效且风险可控。
结语:科技不断进步使得我们生活变得更加方便安全,指纹识别作为一种对身份验证简单可靠的方法经过不断更新迭代已经变得十分成熟,并运用广泛。相信未来它还会在新的领域发掘更多使用价值。
