最高76%破解成功率！GAN已经造出“万能指纹”，你的手机还安全吗

如果有一种特殊的指纹，可以和绝大多数人的指纹对上号，大概率破解身边的几乎所有的指纹锁，会发生什么？

你房门的指纹锁，滴滴，破解；

你手机的指纹锁屏，滴滴，破解；

你微信支付宝的指纹支付，滴滴，破解；

……

毛骨悚然。

然而，现在真的有研究者发现了这种“万能指纹”的制造方法，最高破解率76.67% 。

纽约大学的研究者们最近用GAN造出了一种“万能指纹” DeepMasterPrints。

在6种不同条件的实验中，DeepMasterPrints最高的破解成功率高达76.67%！几乎是一击必杀，和之前非GAN制造的“万能指纹”几乎无差别。

而提升最为明显的是第二项，用GAN生成的单个“万能指纹”破解成功的概率从6.6%提高到了22.5% （0.1%容错率）。

想象一下，如果指纹门锁大量普及，而小偷用“万能指纹”就可以挨家挨户尝试解锁，就有超过五分之一的大门被打开，简直比撬门更方便。

破解率成功率超76%

需要说明的是，为了便利性，指纹识别系统都会容忍一些“误差”，即允许一定的错误指纹通过认证，如果没有的话，可能你给女朋友剥个皮皮虾把手戳了就解不了锁了。

允许错误的概率越大，则指纹识别越不容易报错，但安全性也会随之降低。

但是容错率也不能太低，否则正确指纹被误判的概率会增大，就会导致你无法解锁自己手机的情况更容易出现。

所以指纹识别系统需要在便利性和安全性之间做出权衡。

研究人员用DeepMasterPrints生成的“万能指纹”分别在三个不同安全级别下进行测试，对不同的场景进行优化。用GAN造了6种“万能指纹”：

安全级别由容错率（false match rate，FMR）区别，分别为：

1）最高安全级别，容错率0.01%

2）中等安全级别，容错率0.1%

3）最低安全级别，容错率1%

每个安全级别下，都有油墨按压式指纹 （类似于在纸上按手印）和电容式指纹 （手机上常见的指纹识别形式）两种，最后由2个指纹数据集，共生成了6种指纹。

第一行是油墨按压式指纹，第二行是电容式指纹；从左到右容错率依次为0.01%、0.1%、1%

实际检测结果如下：

从表中可以看出，在更高的安全等级下，DeepMasterPrints对电容式指纹的破解概率更高，在系统容错率0.1%时，是油墨按压式指纹的2倍。

而我们使用的大多数手机采用的是电容式指纹识别，其中最高的破解概率达76％，这是否意味着你的手机有容易被破解呢？

实际上，任何手机指纹传感器都不太可能在如此低的安全水平下运行。在中等安全级别下，“万能指纹”能有22％的概率骗过传感器。 研究者认为，这个数字更能反映真实指纹破解攻击的情况。

从手机厂商透露的数据来看，实际上手机的安全级别比容错率0.1%的情况要高得多。

例如，苹果手机的容错率仅为五万分之一，国内手机厂商常用的汇顶科技的指纹识别技术，其容错率仅为0.002%。而“万能指纹”在在容错率为0.01%的情况下破解概率仅为1.11%。

所以，你的手机被“万能指纹”破解的概率远没有76%那么夸张。

你的手机还安全吗？

由于“万能指纹”被单个手机识别的概率并不是太高，黑客想针对你的手机进行破解很难，也不必担心手机修身后被窃取资料，因为手机往往限制使用指纹识别错误的尝试次数。

比如iPhone在多次输入错误密码后，系统会提示输入数字密码，若数字密码再错误将锁定手机。这给破解手机带来了更大的困难。

但是如果把“万能指纹”用在大规模攻击的场景时，总会有一定数量被破解的用户，对于黑客来说仍然具有吸引力，批量攻击几十万手机，总有几个“幸运儿”中奖。

不过研究者表示，GAN制造的“万能指纹”并不能给指纹识别“判死刑”。但厂商们未来需要考虑降低容错率，提高它的安全等级了。

同时，手机厂商们也在考虑用其他生物特征取代指纹用于安全认证，比如刷脸 。

去年开始，苹果推出面容ID取代指纹识别，把生物识别技术的安全性又提高了一个等级。苹果声称，他人用面部成功解锁你的iPhone的概率为100万分之一，而之前指纹识别的概率仅为5万分之一。

更像真人指纹

GAN生成的指纹不仅能骗过机器，从肉眼看上去，它也变得更像真实的人类指纹了。

从“万能指纹”图像中可以看出，生成器已经学会了人类指纹的一般结构。但仔细观察，有些区域看起来很脏。

△ 左侧是真实指纹，右侧是GAN生成的假指纹

这很可能是由于数据是从指纹的随机部分生成的，因此生成器目前还很难学习完整指纹的全局形状。

之前也有一些生成假指纹的技术，不过这些技术生成的图像会有锯齿，只能骗过机器，却难以躲过人眼的检查。

另外电容式指纹的结果比油墨按压式指纹看起来更好，图像上的污迹较少，并且脊部连接更好。从总体上来看，生成的电容指纹图像始终优于按压指纹。

“万能指纹”是怎么来的

接下来，我们进入动手操作流程，学习一下制造“万能指纹”的操作流程。

首先，找两个数据集

既然是用GAN来生成，那就需要先找一些数据集作为养料。

作者用到了两个数据集，第一个数据集的名字叫做NIST Special Database 9指纹数据集 ，这个数据集来自美国国家标准与技术研究院 （National Institute of Standards and Technology，NIST），大概相当于秦始皇统一度量衡的那个政府部门，隶属于美国商务部。

这个数据集里的指纹，是5400个人用手指蘸墨水在纸上“画押”生成的，每个人的10根手指都留了指纹，每个指纹都是8位的灰度图像。

很显然，没有人会用无名指、小拇指来解锁手机，于是作者去掉了这些用不到的手指，把剩下的指纹图像缩小到256×256像素。

不过，之后并不会把整个指纹扔进神经网络，而是随机剪成128×128大小的方格进行投喂。

不过很遗憾，量子位发现Special Database 9已经被NIST撤回了，成为了绝版数据集，不能再从官网下载了。

另一个数据集叫做FingerPass DB7 ，比前一个数据集更有现代感，是用电容传感器采集的，一共包含720个人的指纹数据，每个指纹有144×144像素、500dpi的大小。

“天选之子”万能指纹

有了数据集，我们开始生成指纹。

为了骗过指纹识别系统，大概需要三个步骤：

1）生成各种可能的指纹；

2）把每个生成的指纹去测试一下，看能不能对上号；

3）挑出那些成功匹配的了大量指纹识别器的假指纹。

看起来和海选差不多，生成无数指纹之后，需要从里面挑出那个天赋异禀的，才能晋级下一关。

△ 生成网络结构

作者提出了一个名叫潜变量进化（Latent Variable Evolution，LVE） 的方法，首先训练神经网络生成假指纹图像，之后在生成的假指纹中，寻找能匹配最多其他指纹图像的假指纹。

为了训练这个生成网络，需要先用WGAN来进行初步的勾勒。

之后，需要用到CMA-ES（Covariance Matrix Adaptation Evolution Strategy，协方差矩阵适应进化策略），可以搜索训练的神经网络的输入空间，以获得理想的指纹图像，进而完善整个指纹图像，基于古典的“墨水按指纹”方法和现代的“电容传感器”方法采集的两个数据集的生成网络训练方法都一样。

△ 潜变量生成算法

生成网络的输入变量，就是潜变量。当生成网络里已经已经汇集了数百个潜变量的时候，生成结果是百维空间里的一个点。

△ 潜变量生成原理

利用潜变量生成算法，对这百维空间里的点采样，一个点也就意味着一个指纹数据，转化之后，用AI合成的指纹出现了。

不过这些初步的指纹还不足以破解你的手机，需要对这些指纹进行评分，找到破解力MAX的那些，再结合CMA-ES技术，进行下一步的生成转化。

One More Thing

虽然上面生成指纹再破解手机的步骤非常复杂，但如果想破解你手机的指纹，可能非常简单，甚至都用不到神经网络这么高端的东西。

上个月，腾讯玄武实验室的一位名叫马卓的小哥哥就用一张普普通通的白色塑料卡片破解了屏下指纹识别。

这张白色塑料卡片像镜子一样平整，因此，当其他人隔着小卡片按压屏下指纹识别区的时候，卡片把光线反射回去，顺路经过了手机主人上一次按压时留下的指纹油脂。

指纹识别区的光线接收器觉得不错，是主人的指纹的感觉，解锁。

真是低门槛、低成本的破解方法呢。

传送门

最后，照例附上论文地址：

DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution

作者：Philip Bontrager, Aditi Roy, Julian Togelius, Nasir Memon, Arun Ross

https://arxiv.org/abs/1705.07386

— 完 —

诚挚招聘

量子位正在招募编辑/记者，工作地点在北京中关村。期待有才气、有热情的同学加入我们！相关细节，请在量子位公众号(QbitAI)对话界面，回复“招聘”两个字。

量子位 QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态

苹果最强产品祭出Optic ID，什么指纹面容都弱爆了！

2013年，苹果在iPhone 5S上带来了「Touch ID」，用户可以将手指放在集成在home键内部的指纹识别器上，实现解锁手机、支付等安全验证。

（图源：Apple）

四年后，iPhone X横空出世，取而代之的生物识别技术是「Face ID」。在刘海下，苹果放置了红外摄像头、泛光照明灯、环境光传感器、点阵投影器等多个元器件，组成了一套完整的面容识别系统。

但无论是「Touch ID」，还是「Face ID」，均没有出现在苹果刚刚发售的Vision Pro上。这台具有划时代意义的虚拟现实设备，采用了虹膜识别技术作为安全验证的方案，官方将其称之为「Optic ID」。

（图源：Apple）

虹膜识别技术并不是新鲜玩意儿，在智能手机领域，三星、诺基亚均有过示范，而在头显市场，Hololens 2也采用了类似的方案。假如你曾体验过三星Galaxy S8上的虹膜解锁，那么你一定能明白为何这项技术一直不如指纹、面容，又或是声学这类生物识别技术一样，在主流消费市场里被广泛采用。

在安全验证上，苹果可以说是一直走在前沿，但我们却没有在Vision Pro上看到更新鲜的技术登场，而是已经被市场「抛弃」的虹膜识别。这一次，苹果又在打什么小算盘？

Optic ID，有何不一样？

硬件上，Vision Pro在双眼覆盖的区域上放置了两颗朝下的摄像头与四个红外线传感器，但主要负责扫描用户虹膜的是一颗视觉摄像头。

苹果还特别标注，这种非可见光的LED红外线传感器在照亮眼部时，不会对眼睛造成伤害。

（图源：Apple）

看起来，Optic ID的硬件构成和早前微软的Hololens 2并没有很大的区别，只是Vision Pro上的传感器更多一些，有助于提升识别效率。而工作逻辑上，Optic ID则要清晰得多。

据官网解析，Optic ID默认扫描双眼，且在每次成功验证后，会根据当前的情况更新最新的信息，这与Face ID的自主学习逻辑保持一致。“辅助功能”里还为用户提供了单只眼睛解锁的选项，或许是考虑到部分特殊群体的使用体验。

（图源：9to5Mac）

至于安全性，和之前苹果的任何安全验证方案一致，官方承诺这些验证数据、学习数据只会被发送到机内的Secure Enclave和Apple M2芯片神经引擎的一部分进行处理，不会上传到iCloud。当然，任何支持Face ID/Touch ID的应用，都能启用Optic ID进行安全验证，这意味着开发者不需要重新设计应用的解锁/支付模块。

Optic ID拥有更多传感器，能够更全面地捕捉虹膜数据，这是与当前大多数采用虹膜识别技术的智能设备稍微有些差别的地方。其次，Optic ID沿用了苹果早前的生物安全验证逻辑，会不断学习用户的状态，提高解锁效率。但大体方向上看，Vision Pro的虹膜识别，远没有到「革新」的程度。

Vision Pro有不得不选虹膜识别的理由

从安全性来看，虹膜是人体所有能用于生物验证的外置器官中最安全的一个，尤其是在非病变的情况下，虹膜纹路并不容易受到自然影响而改变。

设备特性上，Vision Pro是一台混合虚拟现实设备，而Face ID无法做到每次都扫描用户的全脸确认用户身份、Touch ID很难确保用户是否需要使用这个设备。所以，在用户经过佩戴、调整后，Optic ID进行身份验证，从而进入系统，是相对自然的操作逻辑。

（图源：Apple）

另一方面，虹膜识别对于Vision Pro这类设备来说，基本没有任何学习逻辑，其机身内部设计的传感器始终锁定在眼部，假如是Touch ID，用户还需花费时间熟悉它的位置。

（图源：Microsoft）

前面我们提到，虹膜识别在微软的Hololens 2上已经率先采用，作为安全验证方案而言，它的表现也是相对出色的。既然苹果现有的两种生物识别技术都不太适合Vision Pro，而声纹、静脉解锁又不够成熟，选择虹膜识别或许也是最好的结果。

当然，Optic ID于Vision Pro而言，也可以是苹果在安全验证上的一次新尝试，未来也能将这种方案应用到其他设备上，为这些设备制造更能吸引消费者的卖点，比如MacBook、iPhone，又或是还要等待好几年的苹果汽车。

可按照「前车之鉴」，虹膜识别还真不是一个善茬。

最安全的生物识别技术，为何「濒临绝种」？

2015年，富士通发布了中端机型Arrow NX F-04G，诺基亚也推出新一代旗舰机Lumia 950，两款机型唯一的共同点是支持虹膜识别。

虹膜识别初次应用在智能手机上，体验可以说是巨大的灾难。不可否认，虹膜识别安全度非常高，但识别效率远不如指纹识别，在效率与安全两个方向上，消费者们显然更追求二者的均衡。

（图源：三星）

到了2016年，三星也推出了支持虹膜识别的Galaxy Note7，由于这款机型同时还支持指纹识别，它的安全验证部分没有遭到太多吐槽。但到了Galaxy S8系列，后置指纹+虹膜识别的生物识别方案，就引起了不小的争议。三星坚持了几年的虹膜识别，最终也止步在Galaxy Note9系列。

这种生物验证设计，最大的问题在于应用场景。以手机为例，大多数用户拿起手机时，眼睛都不会正好对准位于屏幕顶部的红外传感器，这就导致在使用虹膜解锁时，必须调整自己的视线，才能精确地解锁。另外，虹膜解锁对于外部光照环境也有有求，高照度下解锁成功的几率被大大降低。

（图源：Lumia）

但虹膜识别在笔记本电脑、虚拟现实设备上的应用还是比较有前景。比如，微软在前几年就确立了以虹膜识别、面部识别、指纹识别为Windows Hello解锁的主要安全验证方案。很可惜，由于笔记本电脑正朝着轻薄化方向发展，配备指纹识别传感器，显然要比设计专门的红外传感器要更加节省空间与成本。

如今，苹果将虹膜识别技术引进Vision Pro，或许能给市场带来一些新的刺激，促使这项技术得到发展，让生物识别技术更加多样化。

生物识别技术未来会怎么样？

目前，生物识别技术基本可以分为虹膜、指纹、手掌静脉、人脸四种，安全等级依次递减。

在过去几年时间里，我们也看到了市场对这些生物识别技术在产品上的尝试，比如LG，就曾推出过配备静脉识别技术的智能手机。不过，对于大部分产品而言，已经找到了成熟又好用的方案，例如指纹识别/人脸识别于智能手机。

（图源：LG）

可以预见，随着虹膜识别技术再一次走到大众视野里，或许会带动厂商们尝试更多新的生物识别方案，尤其是在智能手机、PC、智能家居等还在静候新一轮增长的市场领域。

不过，生物识别技术在发展的特定时期很难说是先进还是落后，就像LG当初在LG G8推出的静脉识别没能成为主流，如今却在支付领域成为焦点。这样看来，生物识别技术的应用最重要的还是要等待合适的载体出现，这是厂商们在迎接新风口到来之时需要思考的问题。

相关问答

1.打开您要设置指纹的应用,如支付宝、微信、银行应用等。2.进入应用的设置页面,找到“指纹设置”或“指纹登陆”等选项。3.在指纹识别页面点击“添加指纹...

在首次使用TouchID功能前,首选要录入指纹信息,而这个步骤是关乎到识别准确率的重要部分。指纹录入分为两个部分,首先是笼统的录入,需要多次放置手指;其次是...

苹果手机的指纹识别功能在使用过程中可能出现无法识别指纹或没有反应的情况。以下是一些可能导致这种问题的原因和解决方法:1.指纹传感器脏污:如果您长时间未...

iPhone11系列三款(含苹果11pro/max)并不支持指纹识别功能,而且我们也没在手机上看到指纹传感器。也就是说我们不能使用屏幕指纹解锁来解锁手机了。...不过i...

建议您不要使用酒精擦拭iPhone指纹识别传感器,因为酒精可能会对指纹识别传感器造成损害。如果您需要清洁指纹识别传感器,可以使用干净、柔软的布轻轻擦拭,或者...

苹果12Pro的指纹设置非常简单。首先,打开“设置”应用程序并向下滚动,找到“面容ID与密码”选项。点击进入,您会看到“指纹”选项。接下来,您需要选择“...

1:单纯的Home键问题,比如回弹效果不理想。2:Home键模块损坏,比如按了没反应、排线断裂等。3:Home键使用正常,TouchID没反应、指纹功能丧失。苹果home键...

现在除了苹果手机有手机指纹识别功能之外,很多的安卓智能手机也有了手机指纹识别功能了,现今社会手机指纹识别应用越来越广泛了,那么要怎样设置手机指纹锁呢!...

iPhone手机的指纹解锁失灵,大多数情况都是你的手指头不干净,TouchID传感器是通过手指的静电和热量来实现识别,所以,如果手指或是Home键沾上水渍或者过于潮湿...

近日,一位有着较为靠谱的爆料历史的人士(@L0vetodream)在Twitter上透露:苹果或正在开发采用屏下指纹方案的新一代iPadAir平板电脑、基于ARM处理器平...