老百姓还能不能放心“刷脸”了
凭借一张观众的自拍照,就成功“换脸”破解手机的人脸认证系统。在日前举办的3·15维权活动中,曝出的“刷脸”登录安全漏洞成为网络热议的焦点。
时髦的人脸认证技术为何被“撕破脸”?这一漏洞暴露出生物认证技术的致命弱点是什么?老百姓还能不能放心地“刷脸”?科技日报记者带着问题采访多位信息安全专家,他们均认为,生物认证虽然给老百姓带来便利和安全感的提升,但它也存在局限性,生物特征的唯一性或成最大硬伤,单一使用将增加安全风险。
人脸识别为何被轻易破解
IDF实验室(互联网威慑防御实验室)的创始人、有着民间“黑客教父”之称的万涛告诉记者,根据现场演示,应该是技术人员利用人脸关键点定位、自动化人脸动效技术及3D建模技术,将照片由静改动、由平面变立体且可运动,从而最终骗过了刷脸登录和活体检测。
“从技术上来说,现阶段很多厂商的人脸认证技术还不能在所有场景中做到成熟和完整,尽管随着智能手机摄像头技术的提高,人脸比对的精确度已经提高很多,但一些厂商的人脸识别系统对活体检测的重视程度不足,对场景应用设计简单粗暴,使用的算法比较简单,破解并不困难。”万涛说道。
“人脸识别技术主要是用作人脸的验证和比对,这项正在发展中的技术目前最关注的是验证比对算法,许多开发者没有过多考虑人脸图像的来源。”南京理工大学计算机学院李千目教授专门从事人脸识别技术研究,他告诉记者,针对机器合成的图像,已经有机器对抗算法可加以甄别。
生物认证的唯一性或成最大硬伤
生物识别认证包括指纹识别、虹膜识别、人脸识别、声音识别等。生物认证最大的特点是唯一性,比如每个人都有独一无二的脸、指纹和虹膜等。
正是这种唯一性,让大家认为生物认证是安全的。但是专家警告,生物特征数据库一旦被攻破,大量的带有唯一性的生物特征数据将被盗取,带来的风险不可忽视。
“生物识别的特征是不可撤销的。这是一个硬伤,大硬伤。”启明星辰首席战略官、中国计算机学会常务理事潘柱廷特别强调了其副作用。
他告诉记者,密码可以定期换,可以改;但是一个人的手指指纹只有10个,虹膜只有两个,掌纹只有两个,声纹只有一套,脸也就只有一个。生物认证是不可撤销的,一旦其信息泄漏了,就没有什么补救措施。
万涛认为,如果生物认证承载在不可靠的系统和数据管理与保护水平上,则将使得提供生物识别的用户面临网络犯罪“无处可避”的糟糕环境。除了加强技术上的严谨和可靠性,生物认证在应用和管理风控上应有强有力的技术和法律保障,确保用户的生物认证信息的安全与使用限定和场景安全。
哪些场景可以放心地“刷脸”
“我觉得现在人脸识别在安全领域主要还是作为一种介入的手段,比如在很多场合需要进行人证合一的比对时,人脸识别技术不会疲劳,不会有责任心和主观性问题,这是最大的优势。”
在李千目看来,生物认证更多是对传统认证的补充,需要与其他技术叠加,综合运用才能产生安全效应,比如有用户名、密码等特征后再进行人脸识别。
万涛也认为,刷脸认证是建立在已有的风控体系保护下的一种安全用户体验扩展。应用场景上更适合给中老年人、生命财产敏感度不高的场景使用。“当然,生物认证目前更普遍的应用还是在边防、海关、出入境等场合作为国家安全基础设施的一部分配套使用。”
“当前的问题主要是对生物认证技术的鉴定、使用、授权、管理与约束缺乏有效约定与评价,比如去年我们检查过市场上大量的P2P金融APP业务都大量使用比较简单粗暴的人脸识别技术,同时又采集大量用户的真实有效详细信息,而对于这些数据在交易完成后的留存和使用以及风险,用户根本无从知晓。”万涛表示。
他建议,应该立法或者颁布临时措施通过有公信力的社会机构对使用生物认证识别技术的各类商业应用予以备案,相关执法部门加以检查,将生物识别的技术、产品与数据管理留存,予以检查抽查和监督。作为用户,对于承诺模糊、技术能力有限的各类生物识别应用消费也要予以警惕。
万涛认为,相关厂商应该高度重视和投入信息安全工作,意识到其所被赋予的社会责任与义务,在缺乏成熟的信息安全技术的支持下,不应急于将生物识别技术作为“噱头”来吸引大众。