老百姓還能不能放心“刷臉”了
憑借一張觀眾的自拍照,就成功“換臉”破解手機的人臉認證系統(tǒng)。在日前舉辦的3·15維權(quán)活動中,曝出的“刷臉”登錄安全漏洞成為網(wǎng)絡(luò)熱議的焦點。
時髦的人臉認證技術(shù)為何被“撕破臉”?這一漏洞暴露出生物認證技術(shù)的致命弱點是什么?老百姓還能不能放心地“刷臉”?科技日報記者帶著問題采訪多位信息安全專家,他們均認為,生物認證雖然給老百姓帶來便利和安全感的提升,但它也存在局限性,生物特征的唯一性或成最大硬傷,單一使用將增加安全風(fēng)險。
人臉識別為何被輕易破解
IDF實驗室(互聯(lián)網(wǎng)威懾防御實驗室)的創(chuàng)始人、有著民間“黑客教父”之稱的萬濤告訴記者,根據(jù)現(xiàn)場演示,應(yīng)該是技術(shù)人員利用人臉關(guān)鍵點定位、自動化人臉動效技術(shù)及3D建模技術(shù),將照片由靜改動、由平面變立體且可運動,從而最終騙過了刷臉登錄和活體檢測。
“從技術(shù)上來說,現(xiàn)階段很多廠商的人臉認證技術(shù)還不能在所有場景中做到成熟和完整,盡管隨著智能手機攝像頭技術(shù)的提高,人臉比對的精確度已經(jīng)提高很多,但一些廠商的人臉識別系統(tǒng)對活體檢測的重視程度不足,對場景應(yīng)用設(shè)計簡單粗暴,使用的算法比較簡單,破解并不困難?!比f濤說道。
“人臉識別技術(shù)主要是用作人臉的驗證和比對,這項正在發(fā)展中的技術(shù)目前最關(guān)注的是驗證比對算法,許多開發(fā)者沒有過多考慮人臉圖像的來源?!蹦暇├砉ご髮W(xué)計算機學(xué)院李千目教授專門從事人臉識別技術(shù)研究,他告訴記者,針對機器合成的圖像,已經(jīng)有機器對抗算法可加以甄別。
生物認證的唯一性或成最大硬傷
生物識別認證包括指紋識別、虹膜識別、人臉識別、聲音識別等。生物認證最大的特點是唯一性,比如每個人都有獨一無二的臉、指紋和虹膜等。
正是這種唯一性,讓大家認為生物認證是安全的。但是專家警告,生物特征數(shù)據(jù)庫一旦被攻破,大量的帶有唯一性的生物特征數(shù)據(jù)將被盜取,帶來的風(fēng)險不可忽視。
“生物識別的特征是不可撤銷的。這是一個硬傷,大硬傷?!眴⒚餍浅绞紫瘧?zhàn)略官、中國計算機學(xué)會常務(wù)理事潘柱廷特別強調(diào)了其副作用。
他告訴記者,密碼可以定期換,可以改;但是一個人的手指指紋只有10個,虹膜只有兩個,掌紋只有兩個,聲紋只有一套,臉也就只有一個。生物認證是不可撤銷的,一旦其信息泄漏了,就沒有什么補救措施。
萬濤認為,如果生物認證承載在不可靠的系統(tǒng)和數(shù)據(jù)管理與保護水平上,則將使得提供生物識別的用戶面臨網(wǎng)絡(luò)犯罪“無處可避”的糟糕環(huán)境。除了加強技術(shù)上的嚴謹和可靠性,生物認證在應(yīng)用和管理風(fēng)控上應(yīng)有強有力的技術(shù)和法律保障,確保用戶的生物認證信息的安全與使用限定和場景安全。
哪些場景可以放心地“刷臉”
“我覺得現(xiàn)在人臉識別在安全領(lǐng)域主要還是作為一種介入的手段,比如在很多場合需要進行人證合一的比對時,人臉識別技術(shù)不會疲勞,不會有責(zé)任心和主觀性問題,這是最大的優(yōu)勢。”
在李千目看來,生物認證更多是對傳統(tǒng)認證的補充,需要與其他技術(shù)疊加,綜合運用才能產(chǎn)生安全效應(yīng),比如有用戶名、密碼等特征后再進行人臉識別。
萬濤也認為,刷臉認證是建立在已有的風(fēng)控體系保護下的一種安全用戶體驗擴展。應(yīng)用場景上更適合給中老年人、生命財產(chǎn)敏感度不高的場景使用?!爱?dāng)然,生物認證目前更普遍的應(yīng)用還是在邊防、海關(guān)、出入境等場合作為國家安全基礎(chǔ)設(shè)施的一部分配套使用?!?/p>
“當(dāng)前的問題主要是對生物認證技術(shù)的鑒定、使用、授權(quán)、管理與約束缺乏有效約定與評價,比如去年我們檢查過市場上大量的P2P金融APP業(yè)務(wù)都大量使用比較簡單粗暴的人臉識別技術(shù),同時又采集大量用戶的真實有效詳細信息,而對于這些數(shù)據(jù)在交易完成后的留存和使用以及風(fēng)險,用戶根本無從知曉?!比f濤表示。
他建議,應(yīng)該立法或者頒布臨時措施通過有公信力的社會機構(gòu)對使用生物認證識別技術(shù)的各類商業(yè)應(yīng)用予以備案,相關(guān)執(zhí)法部門加以檢查,將生物識別的技術(shù)、產(chǎn)品與數(shù)據(jù)管理留存,予以檢查抽查和監(jiān)督。作為用戶,對于承諾模糊、技術(shù)能力有限的各類生物識別應(yīng)用消費也要予以警惕。
萬濤認為,相關(guān)廠商應(yīng)該高度重視和投入信息安全工作,意識到其所被賦予的社會責(zé)任與義務(wù),在缺乏成熟的信息安全技術(shù)的支持下,不應(yīng)急于將生物識別技術(shù)作為“噱頭”來吸引大眾。