一张打印大头照，竟然就破解了WindowsHello生物辨识验证

德国安全公司SYSS研究人员显示，某些情况下，微软生物辨识验证功能Windows Hello可被打印出来的大头照骗过。

Windows Hello是包含于Windows 10的生物辨识验证技术，包括指纹及人脸辨识功能。脸部辨识应用是结合Windows Hello的近红外线影像辨识与相容第三方摄影机，达成验证及解锁Windows 装置及Microsoft Passport的目的 。

微软选用近红外线影像是因为它可在低光源环境下作用，而红外线影像一般无法在相片或电脑屏幕上显示出来。

Windows Hello在2016年释出的周年更新（1607版）以后版本加入具备强化防骗（enhanced anti-spoofing）功能，也要求第三方摄影机必须支援。不过这项功能仅在周年更新（Anniversary Update, 1607版）为预设开启，到了2017年的创作者更新（Creators Update，1703版）及秋季创作者更新（Fall Creators Update，1709版）皆为预设关闭。

在一项测试中，SYSS两名研究人员Matthias Deeg与Philipp Buchegger将近红外线摄影机拍摄的授权用户的大头照相片以不同分辨率和色彩打印出来，再拿去上锁的Windows PC上的相机验证，竟然可以骗过某些PC组态下的Windows Hello验证而解锁装置。

在测试环境下，他们使用了搭载LilBit USB相机的Dell Latitude及Surface Pro 4两款硬件，测试周年更新（1607版）、创作者更新（1703版）及秋季创作者更新（1709版），以及最早期的1511版上的Windows Hello。此外，他们还测试在有／无开启强化防骗功能的情况。

测试结果显示，在未开启强化防骗功能情况下，所有版本Windows Hello都被突破。而在1607版本中，即使开启了强化防骗功能，Windows Hello仍然被骗过，不过这需要多一点攻击技巧。但如果是在最新的创作者更新及秋季创作者更新之中将这项进阶功能开启，就可以阻挡攻击。

不过这样还不够；研究人员指出，即使使用者开启了Windows Hello的强化防骗，若第三方摄影机未支援的话，依然能被操弄过的相片唬弄。

研究人员建议Windows 10装置用户最好能开启Windows Hello的强化防骗功能，同时选用支援的网络摄影机。

微软并未对此做出立即回应。

SYSS用照片骗过Hello生物辨识验证的影片