Mide la seguridad del desbloqueo biométrico

Para que se consideren compatibles con Android, las implementaciones del dispositivo deben cumplir con los requisitos que se presentan en el Documento de definición de compatibilidad de Android (CDD). El CDD de Android evalúa la seguridad de una implementación biométrica con seguridad arquitectónica y falsificación.

  • Seguridad arquitectónica: la resiliencia de un sistema biométrico de la canalización con el compromiso de la plataforma o el kernel. Una canalización se considera segura si los compromisos del kernel y la plataforma no otorgan la capacidad de leer datos biométricos sin procesar o insertar datos sintéticos en la canalización para influir en la decisión de autenticación.
  • Rendimiento de la seguridad biométrica: El rendimiento de la seguridad biométrica se mide mediante el índice de aceptación de falsificación de identidad (SAR), el índice de aceptación falsa (FAR) y, cuando corresponda, el índice de aceptación de impostores (IAR) de la biométrica. La SAR es una métrica que se introdujo en Android 9 para medir la capacidad de recuperación de una biométrica contra un ataque de presentación física. Cuando midas los datos biométricos, debes seguir los protocolos que se describen a continuación.

Android usa tres tipos de métricas para medir la seguridad biométrica rendimiento.

  • Tasa de aceptación de falsificación de identidad (SAR): define la métrica del probabilidad de que un modelo biométrico acepte una buena muestra conocida y registrada previamente. Por ejemplo, con el desbloqueo por voz, esto mediría las posibilidades de desbloquear un teléfono de un usuario con una muestra grabada del mismo nombre que dice: “Hey Google”. Los llamamos ataques de falsificación de identidad. También se conoce como tasa de coincidencia de presentación de ataques de impostor (IAPMR).
  • Índice de aceptación de impostores (IAR): Define la métrica de la probabilidad de que un modelo biométrico acepte una entrada que está destinada a imitar un ejemplo conocido como bueno. Por ejemplo, en el mecanismo de voz de confianza (desbloqueo por voz) de Smart Lock, se mediría la frecuencia con la que alguien que intenta imitar la voz de un usuario (con un tono y un acento similares) puede desbloquear su dispositivo. A estos ataques los llamamos ataques de impostor.
  • Tasa de aceptación falsa (FAR): Define las métricas de la frecuencia con la que un modelo acepta de forma incorrecta una entrada incorrecta elegida al azar. Si bien esta es una medida útil, no proporciona información suficiente para evaluar qué tan bien el modelo resiste los ataques dirigidos.

Agentes de confianza

Android 10 cambia el comportamiento de los agentes de confianza. Los agentes de confianza no pueden desbloquear un solo pueden extender la duración de desbloqueo desbloqueado. El rostro conocido dejó de estar disponible en Android 10.

Clases biométricas

La seguridad biométrica se clasifica según los resultados de las pruebas de seguridad arquitectónica y falsificación. Una implementación biométrica se puede clasificar como Clase 3 (anteriormente Strong) Clase 2, (anteriormente Débil) o Clase 1 (anteriormente Conveniencia). En la siguiente tabla, se describen los requisitos generales de cada clase de datos biométricos.

Para obtener más información, consulta la página CDD.

Clase biométrica Métricas Canalización biométrica Restricciones
Clase 3
(anteriormente Sólida)		 SAR de todas las especies de PAI: 0-7%

SAR de las especies de PAI de nivel A:
<=7%

SAR de las especies de PAI de nivel B:
<=20%

SAR de cualquier especie de PAI individual <= 40% (recomendado <= 7%)

FAR: 1/50,000

FRR: 10%		 Seguro
  • Hasta 72 horas antes de que se revierta a la autenticación principal (como un PIN, un patrón o una contraseña)
  • Puede exponer una API a las apps (por ejemplo, a través de la integración con las APIs de BiometricPrompt o FIDO2).
  • Se debe enviar la BCR
Clase 2
(anteriormente conocido como Débil)		 SAR de todas las especies de PAI: 7-20%

SAR de las especies de PAI de nivel A:
<= 20%

SAR de las especies de PAI de nivel B:
<= 30%

SAR de cualquier especie individual de PAI <= 40% (muy recomendado) 20% o menos)

LEJACIÓN: 1/50,000

FRR: 10%		 Seguro
  • Hasta 24 horas antes de recurrir a la autenticación principal
  • Tiempo de espera de inactividad de 4 horas O 3 intentos incorrectos antes de que se revierta a la autenticación principal
  • Se puede integrar con BiometricPrompt, pero no con el almacén de claves (p. ej., para liberar claves vinculadas a la autenticación de la app).
  • Se debe enviar la BCR
Clase 1
(anteriormente Conveniencia)		 SAR de todas las especies de PAI: 20-30%

SAR de las especies de PAI de nivel A:
<= 30%

SAR de las especies de PAI de nivel B:
<= 40%

SAR de cualquier especie individual de PAI <= 40% (muy recomendado) <= 30%)

LEJACIÓN: 1/50,000

FRR: 10%		 Inseguro o seguro
  • Hasta 24 horas antes de recurrir a la autenticación principal
  • Tiempo de espera de inactividad de 4 horas O 3 intentos incorrectos antes del resguardo autenticación principal
  • No se puede exponer una API a las apps.
  • Se debe enviar el BCR a partir de Android 11
  • Se debe probar la SAR a partir de Android 13
  • La clase temporal podría desaparecer en el futuro

Modalidades de clase 3, clase 2 y clase 1

Las clases de seguridad biométrica se asignan en función de la presencia de un y las tres tasas de aceptación (FAR, IAR y SAR). En los casos en los que no existe un ataque de impostor, solo consideramos la FAR y la SAR.

Consulta el Documento de definición de compatibilidad de Android (CDD) para conocer las medidas que se deben tomar para todas las modalidades de desbloqueo.

Autenticación facial y del iris

Proceso de evaluación

El proceso de evaluación consta de dos fases. El La fase de calibración determina la mejor de presentación para una solución de autenticación determinada (es decir, el ataque de posición). La fase de prueba usa el termostato calibrado para realizar múltiples ataques y evalúa la cantidad de veces que su éxito fue exitoso. Los fabricantes de dispositivos Android y sistemas biométricos deben enviar este formulario para obtener la guía de prueba más actualizada.

Es importante determinar primero la posición calibrada, ya que el SAR solo debe medirse con ataques contra el punto más débil del sistema.

Fase de calibración

Existen tres parámetros para la autenticación facial y del iris que se deben optimizar durante la fase de calibración para garantizar valores óptimos para la fase de prueba: el instrumento de ataque de presentación (PAI), el formato de presentación y el rendimiento en la diversidad de sujetos.

CARA
  • El instrumento de ataque de presentación (PAI) es la falsificación física. Actualmente, están dentro del alcance las siguientes especies de PAI: Independientemente de la tecnología biométrica:
    • Especies de PAI 2D
      • Fotos impresas
      • Fotos en un monitor o en la pantalla de un teléfono
      • Videos en un monitor o la pantalla de un teléfono
    • Especies de PAI en 3D
      • Mascarillas impresas en 3D
  • El formato de presentación se relaciona con manipulación de la PAI o del entorno, de una forma que facilite la falsificación de identidad. Estos son algunos ejemplos de manipulaciones que puedes probar:
    • Doblar ligeramente las fotos impresas para que se curvan a las mejillas (por lo tanto, imitar un poco la profundidad) a veces puede ayudar mucho a romper la cara en 2D. de autenticación de Google Cloud.
    • Las condiciones de iluminación variables son un ejemplo de modificación del entorno para facilitar la falsificación.
    • Manchar o ensuciar ligeramente la lente
    • Cambiar la orientación del teléfono entre los modos vertical y horizontal para ver si eso afecta la falsificación
  • el rendimiento en la diversidad de temas (o la falta de especialmente para la autenticación basada en el aprendizaje automático de Google Cloud. Probar el flujo de calibración con personas de distintos géneros, edades y razas o etnias a menudo revelan un rendimiento mucho peor para segmentos de la población mundial y es un parámetro importante para debes calibrarlo en esta fase.
Las pruebas de falsificación de identidad tienen como objetivo comprobar si un sistema acepta o no un un ataque de reinyección o presentación. La especie de PAI debe ser suficiente para pasar como un reclamo biométrico válido durante un proceso de verificación biométrica si no se implementó o se inhabilitó la detección de ataques de falsificación o presentación (PAD). Un PAI que no puede aprobar un proceso de verificación biométrica sin la funcionalidad de prevención de falsificaciones o PAD no es válido como PAI, y todas las pruebas que usan esa especie de PAI no son válidas. Los conductores de pruebas de falsificación deben demostrar que las especies de PAI que se usan en sus pruebas cumplen con este criterio.
IRIS
  • El instrumento de ataque de presentación (PAI) es la falsificación física. Actualmente, se incluyen las siguientes especies de PAI:
    • Fotos impresas de rostros que muestren claramente el iris
    • Fotos o videos de rostros en un monitor o teléfono que se muestren con claridad el iris
    • Ojos protésicos
  • El formato de presentación se relaciona con una mayor manipulación del PAI o del entorno, de una manera que ayuda a la falsificación. Por ejemplo, colocar una lente de contacto sobre una foto impresa o sobre el mostrar una foto o un video del ojo ayuda a engañar a la clasificación de iris y pueden ayudar a mejorar la tasa de omisión de la autenticación con iris y sistemas.
  • El rendimiento en la diversidad de temas es especialmente para las soluciones de autenticación basadas en el aprendizaje automático. Con iris basada en la autenticación, los diferentes colores de iris pueden tener distintos colores espectrales características y pruebas de diferentes colores pueden destacar problemas de rendimiento en segmentos de la población global.

Prueba de diversidad

Es posible que los modelos de rostro y de iris tengan un rendimiento diferente según el género grupos etarios y razas o etnias. Calibra los ataques de presentación en una variedad de rostros para maximizar las posibilidades de descubrir brechas en el rendimiento.

Fase de prueba

La fase de prueba es cuando el rendimiento de la seguridad biométrica se mide con el ataque de presentación optimizado de la fase anterior.

Contar los intentos en la fase de prueba

Un solo intento se cuenta como el período entre presentar un rostro (real o falsificado) y recibir algunos comentarios del teléfono (un evento de desbloqueo o un mensaje visible para el usuario). Cualquier intento en el que el teléfono no pueda obtener suficientes datos para intentar una coincidencia no se deben incluir en la cantidad total de intentos utilizados para calcular la SAR.

Protocolo de evaluación

Inscripción

Antes de iniciar la fase de calibración de la autenticación facial o del iris, navega a la configuración del dispositivo y quita todos los perfiles biométricos existentes. Después de quitar todos los perfiles existentes, inscribe un perfil nuevo con el iris o el rostro objetivo que se usará para la calibración y las pruebas. Es importante estar en un entorno bien iluminado cuando se agrega un rostro o un perfil de iris nuevos, y que el dispositivo esté ubicado correctamente frente al rostro objetivo, a una distancia de 20 a 80 cm.

Fase de calibración

Realiza la fase de calibración para cada una de las especies de PAI porque distintas especies tienen diferentes tamaños y otras características que pueden afectar las condiciones óptimas para realizar pruebas. Prepara la PAI.

CARA
  • Toma una foto o graba un video de alta calidad del rostro inscrito debajo del las mismas condiciones de iluminación, ángulos y distancias que durante el proceso de inscripción.
  • Para impresiones físicas:
    • Corta a lo largo del contorno del rostro para crear una especie de máscara de papel.
    • Dobla la máscara en ambas mejillas para imitar la curvatura del rostro objetivo.
    • Hagan agujeros en la máscara para ver los ojos del verificador (esto es útil). soluciones que buscan parpadear como medio de detección de funcionamiento.
  • Prueba las manipulaciones sugeridas del formato de presentación para ver si afectan las probabilidades de éxito durante la fase de calibración.
IRIS
  • Toma una foto o graba un video en alta resolución del rostro registrado. mostrar claramente el iris bajo las mismas condiciones de iluminación, ángulos y del flujo de inscripción.
  • Prueba con y sin lentes de contacto sobre los ojos para ver con qué método aumenta la falsificación de identidad

Realiza la fase de calibración

Posiciones de referencia
  • Posición de referencia: La posición de referencia se determina colocando el PAI a una distancia adecuada (de 20 a 80 cm) frente al dispositivo de modo que el PAI se vea claramente en la vista del dispositivo, pero no se vea nada más que se esté usando (como un soporte para el PAI).
  • Plano de referencia horizontal: Mientras la PAI se encuentra en el posición de referencia; el plano horizontal entre el dispositivo y la PAI es la horizontal de referencia.
  • Plano de referencia vertical: Mientras el PAI está en la referencia. posicionar el plano vertical entre el dispositivo y el PAI es el plano de referencia.
Planos de referencia

Figura 1: Planos de referencia

Arco vertical

Determina la posición de referencia y, luego, prueba el PAI en un arco vertical manteniendo la misma distancia del dispositivo que la posición de referencia. Destacar PAI en el mismo plano vertical, lo que crea un ángulo de 10 grados entre el de referencia horizontal y el plano de referencia horizontal, y prueba el desbloqueo facial.

Sigue aumentando y probando la PAI en incrementos de 10 grados hasta que se alcance ya no se muestra en el campo visual de los dispositivos. Registra los puestos que se desbloqueó correctamente el dispositivo. Repite este proceso, pero traslada la PAI de manera arco descendente, debajo del plano de referencia horizontal. Consulta la figura 3 a continuación para ver un de las pruebas de arco.

Arco horizontal

Regresa el PAI a la posición de referencia y, luego, muévelo por la posición horizontal. para crear un ángulo de 10 grados con el plano de referencia vertical. Realiza el de arco vertical con el PAI en esta nueva posición. Mueve el PAI a lo largo del plano horizontal en incrementos de 10 grados y realiza la prueba del arco vertical en cada posición nueva.

Prueba a lo largo del arco horizontal

Figura 1: Pruebas a lo largo del arco vertical y horizontal.

Las pruebas de arco deben repetirse en incrementos de 10 grados para el lado izquierdo y derecho del dispositivo, así como arriba y debajo del dispositivo.

La posición que genera los resultados de desbloqueo más confiables es la posición calibrada para el tipo de especie de PAI (por ejemplo, especies de PAI 2D o 3D).

Fase de prueba

Al final de la fase de calibración, debe haber uno calibrado promedio por especie de PAI. Si no se puede establecer una posición calibrada se debe usar la posición de referencia. La metodología de prueba es común para probar especies de PAI en 2D y 3D.

  • En todos los rostros inscritos, donde E>= 10 y, también, incluye al menos 10 usuarios únicos rostros.
    • Inscribir rostro o iris
    • Con la posición calibrada de la fase anterior, Realiza U intentos de desbloqueo, contando los intentos según se describe en sección anterior, y donde U >= 10. Registrar el número de desbloqueos exitosos V
    • Luego, el SAR se puede medir de la siguiente manera:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

donde:

  • E = la cantidad de inscripciones
  • U = la cantidad de intentos de desbloqueo por inscripción
  • Si = la cantidad de desbloqueos correctos para la inscripción i

Iteraciones necesarias para obtener muestras con validez estadística de las tasas de error: 95% de confianza para todos los siguientes, N alto

Margen de error Iteraciones de prueba requeridas por tema
1% 9595
2% 2401
3% 1067
5% 385
10% 97

Tiempo requerido (30 s por intento, 10 sujetos)

Margen de error Tiempo total
1% 799.6 horas
2% 200.1 horas
3% 88.9 horas
5% 32.1 horas
10% 8.1 horas

Recomendamos establecer un objetivo de margen de error del 5%, lo que proporciona una tasa de error real en la población del 2% al 12%.

Alcance

La fase de prueba mide principalmente la resiliencia de la autenticación facial con imitaciones del rostro del usuario objetivo. No aborda los ataques que no se basan en facsímiles, como el uso de LED o patrones que actúan como impresiones principales. Mientras que aún no se ha demostrado que son eficaces contra los ataques basados en la profundidad sistemas de autenticación de usuarios, no hay nada que es cierto. Es posible y plausible que las investigaciones futuras muestren que este sea el caso. En ese momento, el protocolo se revisará para incluir para medir la resiliencia frente a estos ataques.

Autenticación con huella digital

En Android 9, la barra se estableció en una resiliencia mínima a los PAI, medida por una tasa de aceptación de falsificación (SAR) inferior o igual al 7%. Puedes encontrar una breve explicación de por qué el 7% específicamente en esta entrada de blog.

Proceso de evaluación

El proceso de evaluación consta de dos fases. La fase de calibración determina el ataque de presentación óptimo para una solución de autenticación de huellas dactilares determinada (es decir, la posición calibrada). La fase de prueba usa la posición calibrada para realizar varios ataques y evalúa la cantidad de veces que el ataque fue exitoso. Los fabricantes de dispositivos y sistemas biométricos Android deben enviar este formulario para obtener la guía de prueba más actualizada.

Fase de calibración

Existen tres parámetros para la autenticación de huellas dactilares que se deben optimizar para garantizar valores óptimos para la fase de prueba: el instrumento de ataque de presentación (PAI), el formato de presentación y el rendimiento en la diversidad de sujetos.

  • El PAI es la falsificación física, como las huellas dactilares impresas o una réplica moldeada, que son ejemplos de medios de presentación. Se recomiendan los siguientes materiales de falsificación:
    • Sensores ópticos de huellas dactilares (FPS)
      • Papel de copia/transparencia con tinta no conductora
      • Gelatina Knox
      • Pintura de látex
      • Pegamento de Elmer
    • FPS capacitivos
      • Gelatina Knox
      • Pegamento para madera interior de carpintero de Elmer
      • Pegamento de Elmer
      • Pintura de látex
    • FPS ultrasónicos
      • Gelatina Knox
      • Pegamento para madera interior de carpintero de Elmer
      • Pegamento de Elmer
      • Pintura de látex
  • El formato de presentación se relaciona con una mayor manipulación del PAI o del entorno, de una manera que ayuda a la falsificación. Por ejemplo, retocar o editar una imagen de alta resolución de una huella dactilar antes de crear la réplica 3D.
  • El rendimiento en la diversidad de temas es especialmente relevante para ajustar el algoritmo. Probar el flujo de calibración en los géneros, los grupos etarios y las razas o etnias de los sujetos a menudo puede revelar un rendimiento mucho peor para los segmentos de la población mundial y es un parámetro importante para calibrar en esta fase.
Prueba la diversidad

Es posible que los lectores de huellas dactilares tengan un rendimiento diferente según el género, los grupos etarios y las etnias. Un pequeño porcentaje de la población tiene huellas digitales difíciles de reconocer, por lo que se deberían usar para determinar los parámetros óptimos para el reconocimiento y la falsificación de identidad y pruebas.

Fase de prueba

La fase de prueba es cuando se mide el rendimiento de la seguridad biométrica. Como mínimo, las pruebas deben realizarse de forma no cooperativa, lo que significa que las huellas dactilares que se recopilen se deben levantar de otra superficie, en lugar de que la persona objetivo participe activamente en la recopilación de su huella dactilar, como hacer un molde cooperativo del dedo del sujeto. El Esta última está permitida, pero no es obligatoria.

Cuenta los intentos en la fase de prueba

Un solo intento se cuenta como el período entre la presentación de una huella digital. (real o falsificada) en el sensor y recibir comentarios del teléfono (ya sea un evento de desbloqueo o un mensaje visible para el usuario).

Los intentos en los que el teléfono no puede obtener suficientes datos para intentar una coincidencia no deben incluirse en la cantidad total de intentos que se usan para calcular el SAR.

Protocolo de evaluación

Inscripción

Antes de iniciar la fase de calibración de la autenticación con huellas dactilares, navega a la configuración del dispositivo y quita todos los perfiles biométricos existentes. Después de quitar todos los perfiles existentes, inscribe un perfil nuevo con la huella dactilar objetivo que se usará para la calibración y las pruebas. Sigue todos los las instrucciones en pantalla hasta que el perfil se haya inscrito correctamente.

Fase de calibración

FPS ópticos

Esto es similar a las fases de calibración de los sistemas ultrasónicos y capacitivos, pero con especies de PAI 2D y 2.5D de la huella dactilar del usuario objetivo.

  • Levanta una copia latente de la huella dactilar de una superficie.
  • Realiza pruebas con especies de PAI 2D
    • Coloca la huella dactilar levantada en el sensor
  • Realiza pruebas con especies de PAI 2.5D.
    • Crea un PAI de la huella dactilar
    • Coloca el PAI en el sensor
FPS ultrasónico

La calibración con ultrasónico implica levantar una copia latente del objetivo huella dactilar. Por ejemplo, esto puede hacerse con huellas dactilares levantadas con polvos de huella dactilar o copias impresas de una huella digital y pueden incluir polvos o retoque de la imagen de la huella dactilar para falsificarla mejor.

Una vez que se obtiene la copia latente de la huella digital de destino, se en la nube.

FPS capacitivo

La calibración capacitiva implica los mismos pasos que se describieron anteriormente para la calibración ultrasónica.

Fase de prueba

  • Haz que al menos 10 personas únicas se inscriban con los mismos parámetros que se usan cuando se calcula el FRR/FAR.
  • Crea PAI para cada persona
  • Luego, el SAR se puede medir de la siguiente manera:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

Iteraciones necesarias para obtener muestras estadísticamente válidas de los porcentajes de error: Suposición de confianza del 95% para todos los valores que se indican a continuación, N grande

Margen de error Iteraciones de prueba requeridas por tema
1% 9595
2% 2401
3% 1067
5% 385
10% 97

Tiempo requerido (30 segundos por intento, 10 sujetos)

Margen de error Tiempo total
1% 799.6 horas
2% 200.1 horas
3% 88.9 horas
5% 32.1 horas
10% 8.1 horas

Recomendamos establecer un objetivo de margen de error del 5%, lo que proporciona una tasa de error real en la población del 2% al 12%.

Alcance

Este proceso se configura para probar la capacidad de recuperación de la autenticación de huellas dactilares, principalmente contra facsímiles de la huella dactilar del usuario objetivo. Las pruebas se basa en los costos de materiales, disponibilidad y tecnología actuales. Este protocolo se revisará para incluir la medición de la resiliencia frente a los nuevos materiales y técnicas a medida que se vuelven prácticas de ejecutar.

Consideraciones comunes

Si bien cada modalidad requiere una configuración de prueba diferente, hay algunas opciones aspectos que se aplican a todos.

Prueba el hardware real

Las métricas de SAR o IAR recopiladas pueden ser imprecisas cuando los modelos biométricos se prueban en condiciones ideales y en hardware diferente del que realmente aparece en un dispositivo móvil. Por ejemplo, los modelos de desbloqueo por voz que están calibrados En una cámara anecoica mediante una configuración de varios micrófonos, se comportan de manera muy diferente cuando se usan en un solo dispositivo con micrófono en un entorno ruidoso. Con el fin de para capturar métricas precisas, las pruebas deben realizarse en un dispositivo real con el hardware instalado, y si falla eso con el hardware como aparecería el dispositivo.

Usa ataques conocidos

La mayoría de las modalidades biométricas que se usan actualmente se falsificaron con éxito, y existe documentación pública de la metodología de ataque. A continuación, incluimos un resumen descripción general de alto nivel de las configuraciones de prueba para modalidades con ataques conocidos. Mié recomendamos usar la configuración que se describe aquí siempre que sea posible.

Anticípate a nuevos ataques

En el caso de las modalidades en las que se realizaron mejoras nuevas significativas, es posible que el documento de configuración de prueba no contenga una configuración adecuada y que no exista un ataque público conocido. Es posible que las modalidades existentes también deban ajustar su configuración de prueba después de un ataque recién descubierto. En ambos casos, debes crear una configuración de prueba razonable. Usa el Sitio Comentarios que se encuentra en la parte inferior de esta página para informarnos si configuraste una un mecanismo razonable que se pueda agregar.

Configuraciones para diferentes modalidades

Fingerprint

IAR No es necesario.
SAR
  • Crea PAI de 2.5D con un molde de la huella digital de destino.
  • La precisión de la medición depende de la calidad del molde de huellas dactilares. La silicona dental es una buena opción.
  • La configuración de prueba debe medir la frecuencia con la que una huella dactilar falsa creada con el molde puede desbloquear el dispositivo.

Rostro y iris

IAR SAR capturará el límite inferior, por lo que no es necesario medirlo por separado.
SAR
  • Prueba con fotos del rostro del objetivo. En el caso del iris, se deberá acercar el rostro para imitar la distancia a la que un usuario usaría normalmente la función.
  • Las fotos deben ser de alta resolución; de lo contrario, los resultados son engañosos.
  • Las fotos no deben presentarse de una manera que revele que son imágenes. Por ejemplo:
    • no se deben incluir los bordes de la imagen.
    • Si la foto está en un teléfono, no se deben ver la pantalla ni los biseles del teléfono.
    • si alguien sostiene la foto, no se deberían ver sus manos
  • En los ángulos rectos, la foto debe llenar el sensor, por lo que el exterior.
  • Los modelos de rostro y de iris suelen ser más permisivos cuando la muestra (rostro/iris/foto) está en un ángulo agudo frente a la cámara (para imitar el caso de uso en el que un usuario sostiene el teléfono recto frente a él y señala frente a sus ojos). Las pruebas en este ángulo ayudarán a determinar si tu modelo es susceptible de falsificación de identidad.
  • La configuración de prueba debe medir la frecuencia con la que se muestra desbloquear el dispositivo.

Voz

IAR
  • Realiza la prueba en un entorno en el que los participantes escuchen una muestra positiva y luego intenta imitarla.
  • Prueba el modelo con participantes de diferentes géneros y con diferentes acentos para garantizar la cobertura de casos extremos en los que algunas entonaciones o acentos tienen un FAR más alto.
SAR
  • Prueba con grabaciones de la voz del objetivo.
  • La grabación debe ser de una calidad razonablemente alta, o los resultados será engañoso.