老百姓還能不能放心“刷臉”了

　　憑借一張觀眾的自拍照,就成功“換臉”破解手機(jī)的人臉認(rèn)證系統(tǒng)。在日前舉辦的3·15維權(quán)活動(dòng)中，曝出的“刷臉”登錄安全漏洞成為網(wǎng)絡(luò)熱議的焦點(diǎn)。

　　時(shí)髦的人臉認(rèn)證技術(shù)為何被“撕破臉”?這一漏洞暴露出生物認(rèn)證技術(shù)的致命弱點(diǎn)是什么?老百姓還能不能放心地“刷臉”?科技日?qǐng)?bào)記者帶著問題采訪多位信息安全專家，他們均認(rèn)為,生物認(rèn)證雖然給老百姓帶來(lái)便利和安全感的提升，但它也存在局限性，生物特征的唯一性或成最大硬傷，單一使用將增加安全風(fēng)險(xiǎn)。

　　人臉識(shí)別為何被輕易破解

　　IDF實(shí)驗(yàn)室(互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室)的創(chuàng)始人、有著民間“黑客教父”之稱的萬(wàn)濤告訴記者，根據(jù)現(xiàn)場(chǎng)演示，應(yīng)該是技術(shù)人員利用人臉關(guān)鍵點(diǎn)定位、自動(dòng)化人臉動(dòng)效技術(shù)及3D建模技術(shù)，將照片由靜改動(dòng)、由平面變立體且可運(yùn)動(dòng)，從而最終騙過了刷臉登錄和活體檢測(cè)。

　　“從技術(shù)上來(lái)說(shuō)，現(xiàn)階段很多廠商的人臉認(rèn)證技術(shù)還不能在所有場(chǎng)景中做到成熟和完整，盡管隨著智能手機(jī)攝像頭技術(shù)的提高，人臉比對(duì)的精確度已經(jīng)提高很多，但一些廠商的人臉識(shí)別系統(tǒng)對(duì)活體檢測(cè)的重視程度不足，對(duì)場(chǎng)景應(yīng)用設(shè)計(jì)簡(jiǎn)單粗暴，使用的算法比較簡(jiǎn)單，破解并不困難?！比f(wàn)濤說(shuō)道。

　　“人臉識(shí)別技術(shù)主要是用作人臉的驗(yàn)證和比對(duì)，這項(xiàng)正在發(fā)展中的技術(shù)目前最關(guān)注的是驗(yàn)證比對(duì)算法，許多開發(fā)者沒有過多考慮人臉圖像的來(lái)源?！蹦暇├砉ご髮W(xué)計(jì)算機(jī)學(xué)院李千目教授專門從事人臉識(shí)別技術(shù)研究，他告訴記者，針對(duì)機(jī)器合成的圖像，已經(jīng)有機(jī)器對(duì)抗算法可加以甄別。

　　生物認(rèn)證的唯一性或成最大硬傷

　　生物識(shí)別認(rèn)證包括指紋識(shí)別、虹膜識(shí)別、人臉識(shí)別、聲音識(shí)別等。生物認(rèn)證最大的特點(diǎn)是唯一性，比如每個(gè)人都有獨(dú)一無(wú)二的臉、指紋和虹膜等。

　　正是這種唯一性,讓大家認(rèn)為生物認(rèn)證是安全的。但是專家警告，生物特征數(shù)據(jù)庫(kù)一旦被攻破,大量的帶有唯一性的生物特征數(shù)據(jù)將被盜取,帶來(lái)的風(fēng)險(xiǎn)不可忽視。

　　“生物識(shí)別的特征是不可撤銷的。這是一個(gè)硬傷，大硬傷?！眴⒚餍浅绞紫瘧?zhàn)略官、中國(guó)計(jì)算機(jī)學(xué)會(huì)常務(wù)理事潘柱廷特別強(qiáng)調(diào)了其副作用。

　　他告訴記者，密碼可以定期換，可以改;但是一個(gè)人的手指指紋只有10個(gè)，虹膜只有兩個(gè)，掌紋只有兩個(gè)，聲紋只有一套，臉也就只有一個(gè)。生物認(rèn)證是不可撤銷的，一旦其信息泄漏了，就沒有什么補(bǔ)救措施。

　　萬(wàn)濤認(rèn)為，如果生物認(rèn)證承載在不可靠的系統(tǒng)和數(shù)據(jù)管理與保護(hù)水平上，則將使得提供生物識(shí)別的用戶面臨網(wǎng)絡(luò)犯罪“無(wú)處可避”的糟糕環(huán)境。除了加強(qiáng)技術(shù)上的嚴(yán)謹(jǐn)和可靠性，生物認(rèn)證在應(yīng)用和管理風(fēng)控上應(yīng)有強(qiáng)有力的技術(shù)和法律保障，確保用戶的生物認(rèn)證信息的安全與使用限定和場(chǎng)景安全。

　　哪些場(chǎng)景可以放心地“刷臉”

　　“我覺得現(xiàn)在人臉識(shí)別在安全領(lǐng)域主要還是作為一種介入的手段，比如在很多場(chǎng)合需要進(jìn)行人證合一的比對(duì)時(shí)，人臉識(shí)別技術(shù)不會(huì)疲勞，不會(huì)有責(zé)任心和主觀性問題，這是最大的優(yōu)勢(shì)?！?/p>

　　在李千目看來(lái)，生物認(rèn)證更多是對(duì)傳統(tǒng)認(rèn)證的補(bǔ)充，需要與其他技術(shù)疊加，綜合運(yùn)用才能產(chǎn)生安全效應(yīng)，比如有用戶名、密碼等特征后再進(jìn)行人臉識(shí)別。

　　萬(wàn)濤也認(rèn)為，刷臉認(rèn)證是建立在已有的風(fēng)控體系保護(hù)下的一種安全用戶體驗(yàn)擴(kuò)展。應(yīng)用場(chǎng)景上更適合給中老年人、生命財(cái)產(chǎn)敏感度不高的場(chǎng)景使用。“當(dāng)然，生物認(rèn)證目前更普遍的應(yīng)用還是在邊防、海關(guān)、出入境等場(chǎng)合作為國(guó)家安全基礎(chǔ)設(shè)施的一部分配套使用?！?/p>

　　“當(dāng)前的問題主要是對(duì)生物認(rèn)證技術(shù)的鑒定、使用、授權(quán)、管理與約束缺乏有效約定與評(píng)價(jià)，比如去年我們檢查過市場(chǎng)上大量的P2P金融APP業(yè)務(wù)都大量使用比較簡(jiǎn)單粗暴的人臉識(shí)別技術(shù)，同時(shí)又采集大量用戶的真實(shí)有效詳細(xì)信息，而對(duì)于這些數(shù)據(jù)在交易完成后的留存和使用以及風(fēng)險(xiǎn)，用戶根本無(wú)從知曉?！比f(wàn)濤表示。

　　他建議，應(yīng)該立法或者頒布臨時(shí)措施通過有公信力的社會(huì)機(jī)構(gòu)對(duì)使用生物認(rèn)證識(shí)別技術(shù)的各類商業(yè)應(yīng)用予以備案，相關(guān)執(zhí)法部門加以檢查，將生物識(shí)別的技術(shù)、產(chǎn)品與數(shù)據(jù)管理留存，予以檢查抽查和監(jiān)督。作為用戶，對(duì)于承諾模糊、技術(shù)能力有限的各類生物識(shí)別應(yīng)用消費(fèi)也要予以警惕。

　　萬(wàn)濤認(rèn)為，相關(guān)廠商應(yīng)該高度重視和投入信息安全工作，意識(shí)到其所被賦予的社會(huì)責(zé)任與義務(wù)，在缺乏成熟的信息安全技術(shù)的支持下,不應(yīng)急于將生物識(shí)別技術(shù)作為“噱頭”來(lái)吸引大眾。