“刷臉”看上去很美但安全嗎 行業(yè)急需“把關人”
作 者:徐晶卉 來 源:文匯報發(fā)表日期:2017-09-27
轉轉頭,笑一個,支付成功!十年磨一劍的iPhone X祭出一個名為“Face ID”的撒手锏,以取代沿用多年的指紋識別,把人臉識別技術帶到了消費者面前,更引爆了整個“刷臉”市場。
但“刷臉”真的安全嗎?未必!正在上海舉行的全國網(wǎng)絡安全宣傳周相關展示現(xiàn)場,多家安全廠商向本報記者展示破解人臉識別的技術。“刷臉”的安全隱患不僅體現(xiàn)在參差不齊的技術上,最要命的還在于一旦身份信息丟失,就將永遠找不回來。
一秒變臉“劉德華”
360展臺上有一個“換臉神器”,照一照,手機屏幕里就出現(xiàn)了記者的頭像,但當操作人員在系統(tǒng)上做了“小小的手腳”后,下一秒,記者的臉就變成了劉德華,而身體發(fā)膚還是原來的樣子。眼前的這個“換臉神器”,看起來有些搞笑,卻暴露了人臉識別技術的諸多安全隱患———如果你的臉瞬間可以被替身取代,那么,“刷臉登錄”和“刷臉支付”的“安全門”就形同虛設。
“高大上”的人臉識別系統(tǒng),怎么會被輕松破解? 極棒實驗室總監(jiān)王海兵告訴記者,人臉識別系統(tǒng)的算法本身難以攻破,但人臉識別是一個人工智能系統(tǒng),它的模塊會運行在傳統(tǒng)信息系統(tǒng)上,只要任何一個環(huán)節(jié)有漏洞,都有可能被黑客攻破。
在阿里巴巴安全部資深總監(jiān)保金剛看來,“刷臉支付”技術本身比指紋支付在安全上提高了兩個數(shù)量級,原來指紋支付的錯誤率是幾萬分之一到十萬分之一,“刷臉支付”的出錯率是百萬分之一甚至更低,安全可靠性更高。
但為何在黑客攻擊下,人臉識別會“形同虛設”呢?保金剛認為,這個行業(yè)仍然魚龍混雜,人臉識別技術也有三六九等,“確實會有一些安全廠商,技術不過關,利用了最簡單的臉部信息做商業(yè)化產(chǎn)品,在使用時就會碰到安全隱患。”
360人工智能研究院院長顏水成分析認為,“刷臉登錄”和“刷臉支付”存在的安全隱患主要在活體認證部分,主因是部分系統(tǒng)只采用人臉識別單一模態(tài),“目前攻擊活體認證一般有兩種方式,一種是用照片或換臉App,另一種是用面罩,兩種都有可能攻破少量基于手機的人臉識別系統(tǒng)。”
“支付作為最后一道防火墻,在人臉識別的技術上有必要進一步提高安全層級。”螞蟻金服安全方面負責人王亦菲告訴記者,靠單一提取面部特征的“刷臉”方式隱患很大。
行業(yè)急需“把關人”
新技術的發(fā)展正以更快速度落地運用,在上海,線下“刷臉支付”的場景已不少見。9月14日,首批支持“刷臉”取件的自提柜已在上海五個快遞點現(xiàn)身,未來三年內至少有一萬個網(wǎng)點會使用人臉識別技術。
但這一技術仍然遭到一些業(yè)內人士的反對。“目前所有互聯(lián)網(wǎng)認證技術中,生物識別認證是最不安全的。”上海市信息安全行業(yè)協(xié)會會長、眾人科技創(chuàng)始人談劍峰就是強烈的反對者之一。他指出,生物特征在人們身上具有惟一性,但這種惟一性也意味著,生物認證信息一旦丟失就不可再生,“無論是指紋還是‘刷臉’,丟了一次就永遠沒有了。”
顏水成也持相同意見。他認為,支付是最后一道防線,“刷臉支付”事關財產(chǎn)安全,可以用于小額支付,但對于大額支付,還需要通過多模態(tài)以及其他二次驗證方法結合使用,這可能是未來的趨勢。他同時表示,“刷臉”技術當前還在探索和成熟階段,對于其標準資質、活體認證被攻破產(chǎn)生的責任界定等問題,業(yè)界還沒有成熟的準入和監(jiān)管方案,這個行業(yè)急需“把關人”來守門。