“刷臉”看上去很美但安全嗎 行業(yè)急需“把關(guān)人”
作 者:徐晶卉 來 源:文匯報(bào)發(fā)表日期:2017-09-27
轉(zhuǎn)轉(zhuǎn)頭,笑一個,支付成功!十年磨一劍的iPhone X祭出一個名為“Face ID”的撒手锏,以取代沿用多年的指紋識別,把人臉識別技術(shù)帶到了消費(fèi)者面前,更引爆了整個“刷臉”市場。
但“刷臉”真的安全嗎?未必!正在上海舉行的全國網(wǎng)絡(luò)安全宣傳周相關(guān)展示現(xiàn)場,多家安全廠商向本報(bào)記者展示破解人臉識別的技術(shù)。“刷臉”的安全隱患不僅體現(xiàn)在參差不齊的技術(shù)上,最要命的還在于一旦身份信息丟失,就將永遠(yuǎn)找不回來。
一秒變臉“劉德華”
360展臺上有一個“換臉神器”,照一照,手機(jī)屏幕里就出現(xiàn)了記者的頭像,但當(dāng)操作人員在系統(tǒng)上做了“小小的手腳”后,下一秒,記者的臉就變成了劉德華,而身體發(fā)膚還是原來的樣子。眼前的這個“換臉神器”,看起來有些搞笑,卻暴露了人臉識別技術(shù)的諸多安全隱患———如果你的臉?biāo)查g可以被替身取代,那么,“刷臉登錄”和“刷臉支付”的“安全門”就形同虛設(shè)。
“高大上”的人臉識別系統(tǒng),怎么會被輕松破解? 極棒實(shí)驗(yàn)室總監(jiān)王海兵告訴記者,人臉識別系統(tǒng)的算法本身難以攻破,但人臉識別是一個人工智能系統(tǒng),它的模塊會運(yùn)行在傳統(tǒng)信息系統(tǒng)上,只要任何一個環(huán)節(jié)有漏洞,都有可能被黑客攻破。
在阿里巴巴安全部資深總監(jiān)保金剛看來,“刷臉支付”技術(shù)本身比指紋支付在安全上提高了兩個數(shù)量級,原來指紋支付的錯誤率是幾萬分之一到十萬分之一,“刷臉支付”的出錯率是百萬分之一甚至更低,安全可靠性更高。
但為何在黑客攻擊下,人臉識別會“形同虛設(shè)”呢?保金剛認(rèn)為,這個行業(yè)仍然魚龍混雜,人臉識別技術(shù)也有三六九等,“確實(shí)會有一些安全廠商,技術(shù)不過關(guān),利用了最簡單的臉部信息做商業(yè)化產(chǎn)品,在使用時(shí)就會碰到安全隱患。”
360人工智能研究院院長顏水成分析認(rèn)為,“刷臉登錄”和“刷臉支付”存在的安全隱患主要在活體認(rèn)證部分,主因是部分系統(tǒng)只采用人臉識別單一模態(tài),“目前攻擊活體認(rèn)證一般有兩種方式,一種是用照片或換臉App,另一種是用面罩,兩種都有可能攻破少量基于手機(jī)的人臉識別系統(tǒng)。”
“支付作為最后一道防火墻,在人臉識別的技術(shù)上有必要進(jìn)一步提高安全層級。”螞蟻金服安全方面負(fù)責(zé)人王亦菲告訴記者,靠單一提取面部特征的“刷臉”方式隱患很大。
行業(yè)急需“把關(guān)人”
新技術(shù)的發(fā)展正以更快速度落地運(yùn)用,在上海,線下“刷臉支付”的場景已不少見。9月14日,首批支持“刷臉”取件的自提柜已在上海五個快遞點(diǎn)現(xiàn)身,未來三年內(nèi)至少有一萬個網(wǎng)點(diǎn)會使用人臉識別技術(shù)。
但這一技術(shù)仍然遭到一些業(yè)內(nèi)人士的反對。“目前所有互聯(lián)網(wǎng)認(rèn)證技術(shù)中,生物識別認(rèn)證是最不安全的。”上海市信息安全行業(yè)協(xié)會會長、眾人科技創(chuàng)始人談劍峰就是強(qiáng)烈的反對者之一。他指出,生物特征在人們身上具有惟一性,但這種惟一性也意味著,生物認(rèn)證信息一旦丟失就不可再生,“無論是指紋還是‘刷臉’,丟了一次就永遠(yuǎn)沒有了。”
顏水成也持相同意見。他認(rèn)為,支付是最后一道防線,“刷臉支付”事關(guān)財(cái)產(chǎn)安全,可以用于小額支付,但對于大額支付,還需要通過多模態(tài)以及其他二次驗(yàn)證方法結(jié)合使用,這可能是未來的趨勢。他同時(shí)表示,“刷臉”技術(shù)當(dāng)前還在探索和成熟階段,對于其標(biāo)準(zhǔn)資質(zhì)、活體認(rèn)證被攻破產(chǎn)生的責(zé)任界定等問題,業(yè)界還沒有成熟的準(zhǔn)入和監(jiān)管方案,這個行業(yè)急需“把關(guān)人”來守門。