iBeta一级PAD测试：360次攻击零成功率 (ZH)

人脸匹配的可靠性取决于其背后的活体检测。如果攻击者可以举起打印照片、重放视频或佩戴面具并通过，那么生物识别技术就形同虚设。演示攻击检测（PAD）是区分真实、在场的人类与欺骗的学科——证明PAD系统有效的方法是让独立实验室对其进行攻击。

Didit正是这样做的。Didit的生物识别活体检测通过了ISO/IEC 30107-3标准下的iBeta一级演示攻击检测测试，在iBeta质量保证（一家经NIST/NVLAP认证的实验室）进行的360次攻击尝试中，实现了0%的攻击成功率和0%的IAPAR。本指南将解释PAD测试的含义、iBeta如何进行测试以及Didit结果的具体意义。

主要收获

• Didit通过了ISO/IEC 30107-3标准下的iBeta一级PAD测试——这是生物识别演示攻击检测的国际标准。
• 在360次攻击尝试中，攻击成功率/IAPAR均为0%——每次欺骗尝试均被正确拒绝。
• 由经NIST/NVLAP认证的测试实验室iBeta质量保证（实验室代码200962）进行测试——这是一个独立的第三方，而非自我评估。
• 结果为一级。Didit报告为一级——并未声称二级。合规信函日期为2026年2月4日，测试期从2026年1月5日开始。
• 通过认证的系统是实时系统——Didit的生物识别活体检测，即您集成的相同被动和主动活体检测模块。

什么是演示攻击检测

演示攻击是指通过向传感器呈现伪造物（打印照片、重放视频的屏幕、纸质面具、硅胶面具、剪纸）来试图欺骗生物识别系统的任何尝试。演示攻击检测（PAD）是系统检测和拒绝这些伪造物，同时仍接受真实、活体用户的能力。

ISO/IEC 30107-3是定义如何客观测试PAD系统的国际标准。该标准没有让供应商用营销语言描述其防欺骗能力，而是提出了一种结构化的方法：一套定义的攻击类型（“种类”）、一组真实用户以及量化攻击成功频率和真实用户被错误拒绝频率的指标。攻击者方面的主要指标是IAPAR——冒充者攻击演示接受率，即系统错误接受的攻击演示的比例。越低越好；0%意味着没有攻击成功。

iBeta如何进行测试

iBeta质量保证是进行ISO/IEC 30107-3 PAD评估的实验室之一，并获得了NIST/NVLAP（测试实验室代码200962）的认证——这意味着国家认证计划已验证该实验室进行这些测试的能力。正是这种认证使结果可信：攻击由独立的专业实验室设计和执行，而非由供应商。

对于Didit的评估，测试结构如下：

• 6名注册用户，每人完成5次成功的真实认证，以证明真实用户可以通过。
• 6种演示攻击类型，每种类型对每个用户尝试10次——共产生360次攻击尝试（6种类型 × 10次尝试 × 6名用户）。
• 测试系统为Didit生物识别认证v2.0，通过运行iOS 18.4.1的Apple iPhone 13 Pro上的原生Safari浏览器访问，并带有后端云组件——一个真实的设备与云配置。
• 测试期：2026年1月5日至2026年2月4日，合规信函日期为2026年2月4日，由iBeta生物识别总监签署。

结果：0%的PA成功率 / 0%的IAPAR。在所有360次攻击尝试中，没有一次欺骗成功。该系统符合ISO/IEC 30107-3一级标准。

一级与二级——如实说明

ISO/IEC 30107-3 PAD测试的级别根据对系统发起的攻击复杂程度而有所不同。一级使用现成的、低成本的演示攻击工具。二级则引入更复杂的定制工具。

Didit的结果是一级，Didit也将其报告为一级——而非二级。这些信函通常每12个月重新测试一次，这意味着下一次评估预计在2027年2月4日左右进行，届时可以考虑升级到二级。准确说明级别很重要：评估防欺骗声明的买家应该相信“一级”就是一级。

为什么这很重要

活体检测是阻止最常见且最具规模的身份欺诈的控制措施：呈现他人的照片或深度伪造视频，而不是实际在场。对于受监管的注册流程，活体检测的强度直接影响您对生物识别技术的信心，监管机构也越来越期望防欺骗能力能够得到证明，而非仅仅声称。

独立的PAD测试结果将防欺骗声明转化为证据。“我们的活体检测很强大”是营销。“在ISO/IEC 30107-3标准下，经iBeta一级评估，360次攻击尝试中攻击成功率为0%”是合规团队可以在安全问卷或监管机构提交材料中引用的事实。

Didit如何提供帮助

产品中内嵌了经过独立测试的活体检测。iBeta评估的生物识别活体检测与Didit验证流程中使用的活体检测相同。被动活体检测价格为0.10美元，主动活体检测价格为0.15美元，与人脸匹配（1:1）搭配价格为0.05美元——完整的核心KYC捆绑包（身份验证、被动活体检测、人脸匹配、IP分析）每次验证价格为0.33美元，推理时间不到2秒。

可分发的结果。iBeta一级PAD合规信函可根据要求分发，并已链接至Didit网站——因此它可以在营销、安全问卷和监管机构提交材料中支持生物识别和防欺骗声明，而无需保密协议。

诚实报告。Didit报告了其获得的结果——一级，360次尝试中IAPAR为0%——并未夸大为二级。续期日历追踪下一次重新测试，预计在2027年2月4日左右。

完整认证堆栈的一部分。iBeta结果与ISO/IEC 27001:2022认证（证书号ES144068）、SOC 2 Type 1认证（安全性、可用性、保密性）以及西班牙政府沙盒结论（本身建立在带主动活体检测的人脸生物识别基础上）相结合——该结论表明Didit的远程验证超越了面对面标准。iBeta测试衡量的生物识别强度正是该政府结论可实现的原因之一。

使用案例

• 受监管的注册，其中防欺骗能力必须向监管机构或审计师证明。
• 高风险行业（金融科技、加密货币、iGaming），其中演示攻击是常见的欺诈手段。
• 安全问卷，专门询问ISO/IEC 30107-3 PAD测试结果。
• 年龄验证和生物识别认证流程，依赖于可信赖的活体检测。

常见问题

Didit是iBeta一级还是二级？

一级。Didit通过了ISO/IEC 30107-3标准下的iBeta一级PAD测试，攻击成功率为0%。Didit报告为一级，并未声称二级；可以在下次重新测试时考虑升级到二级。

0% IAPAR意味着什么？

IAPAR——冒充者攻击演示接受率——是系统错误接受的演示攻击的比例。0%意味着在评估的所有360次攻击尝试中，没有一次欺骗被接受。

测试了多少次攻击？

360次攻击尝试——6种演示攻击类型，每种类型对6名注册用户尝试10次。

谁进行了测试？

iBeta质量保证，一家经NIST/NVLAP认证的测试实验室（实验室代码200962），根据ISO/IEC 30107-3标准进行。合规信函日期为2026年2月4日。

我可以获取iBeta结果吗？

可以。iBeta一级PAD合规信函可根据要求分发，并已链接至Didit的安全和合规中心。

准备好开始了吗？

请访问安全和合规中心查看Didit的完整认证堆栈，在身份验证产品页面探索活体检测和生物识别检查，并在定价页面查看透明的按次检查定价。准备就绪后，免费开始——每月500次免费KYC检查，每个流程都包含经过iBeta一级测试的活体检测。