憑借一張觀眾的自拍照,就成功“換臉”破解手機(jī)的人臉認(rèn)證系統(tǒng)。在日前舉辦的3·15維權(quán)活動中，曝出的“刷臉”登錄安全漏洞成為網(wǎng)絡(luò)熱議的焦點(diǎn)。

　　時髦的人臉認(rèn)證技術(shù)為何被“撕破臉”?這一漏洞暴露出生物認(rèn)證技術(shù)的致命弱點(diǎn)是什么?老百姓還能不能放心地“刷臉”?科技日報記者帶著問題采訪多位信息安全專家，他們均認(rèn)為,生物認(rèn)證雖然給老百姓帶來便利和安全感的提升，但它也存在局限性，生物特征的唯一性或成最大硬傷，單一使用將增加安全風(fēng)險。

　　人臉識別為何被輕易破解

　　IDF實驗室(互聯(lián)網(wǎng)威懾防御實驗室)的創(chuàng)始人、有著民間“黑客教父”之稱的萬濤告訴記者，根據(jù)現(xiàn)場演示，應(yīng)該是技術(shù)人員利用人臉關(guān)鍵點(diǎn)定位、自動化人臉動效技術(shù)及3D建模技術(shù)，將照片由靜改動、由平面變立體且可運(yùn)動，從而最終騙過了刷臉登錄和活體檢測。

　　“從技術(shù)上來說，現(xiàn)階段很多廠商的人臉認(rèn)證技術(shù)還不能在所有場景中做到成熟和完整，盡管隨著智能手機(jī)攝像頭技術(shù)的提高，人臉比對的精確度已經(jīng)提高很多，但一些廠商的人臉識別系統(tǒng)對活體檢測的重視程度不足，對場景應(yīng)用設(shè)計簡單粗暴，使用的算法比較簡單，破解并不困難。”萬濤說道。

　　“人臉識別技術(shù)主要是用作人臉的驗證和比對，這項正在發(fā)展中的技術(shù)目前最關(guān)注的是驗證比對算法，許多開發(fā)者沒有過多考慮人臉圖像的來源。”南京理工大學(xué)計算機(jī)學(xué)院李千目教授專門從事人臉識別技術(shù)研究，他告訴記者，針對機(jī)器合成的圖像，已經(jīng)有機(jī)器對抗算法可加以甄別。

　　生物認(rèn)證的唯一性或成最大硬傷

　　生物識別認(rèn)證包括指紋識別、虹膜識別、人臉識別、聲音識別等。生物認(rèn)證最大的特點(diǎn)是唯一性，比如每個人都有獨(dú)一無二的臉、指紋和虹膜等。

　　正是這種唯一性,讓大家認(rèn)為生物認(rèn)證是安全的。但是專家警告，生物特征數(shù)據(jù)庫一旦被攻破,大量的帶有唯一性的生物特征數(shù)據(jù)將被盜取,帶來的風(fēng)險不可忽視。

　　“生物識別的特征是不可撤銷的。這是一個硬傷，大硬傷。”啟明星辰首席戰(zhàn)略官、中國計算機(jī)學(xué)會常務(wù)理事潘柱廷特別強(qiáng)調(diào)了其副作用。

　　他告訴記者，密碼可以定期換，可以改;但是一個人的手指指紋只有10個，虹膜只有兩個，掌紋只有兩個，聲紋只有一套，臉也就只有一個。生物認(rèn)證是不可撤銷的，一旦其信息泄漏了，就沒有什么補(bǔ)救措施。

　　萬濤認(rèn)為，如果生物認(rèn)證承載在不可靠的系統(tǒng)和數(shù)據(jù)管理與保護(hù)水平上，則將使得提供生物識別的用戶面臨網(wǎng)絡(luò)犯罪“無處可避”的糟糕環(huán)境。除了加強(qiáng)技術(shù)上的嚴(yán)謹(jǐn)和可靠性，生物認(rèn)證在應(yīng)用和管理風(fēng)控上應(yīng)有強(qiáng)有力的技術(shù)和法律保障，確保用戶的生物認(rèn)證信息的安全與使用限定和場景安全。

　　哪些場景可以放心地“刷臉”

　　“我覺得現(xiàn)在人臉識別在安全領(lǐng)域主要還是作為一種介入的手段，比如在很多場合需要進(jìn)行人證合一的比對時，人臉識別技術(shù)不會疲勞，不會有責(zé)任心和主觀性問題，這是最大的優(yōu)勢。”

　　在李千目看來，生物認(rèn)證更多是對傳統(tǒng)認(rèn)證的補(bǔ)充，需要與其他技術(shù)疊加，綜合運(yùn)用才能產(chǎn)生安全效應(yīng)，比如有用戶名、密碼等特征后再進(jìn)行人臉識別。

　　萬濤也認(rèn)為，刷臉認(rèn)證是建立在已有的風(fēng)控體系保護(hù)下的一種安全用戶體驗擴(kuò)展。應(yīng)用場景上更適合給中老年人、生命財產(chǎn)敏感度不高的場景使用。“當(dāng)然，生物認(rèn)證目前更普遍的應(yīng)用還是在邊防、海關(guān)、出入境等場合作為國家安全基礎(chǔ)設(shè)施的一部分配套使用。”

　　“當(dāng)前的問題主要是對生物認(rèn)證技術(shù)的鑒定、使用、授權(quán)、管理與約束缺乏有效約定與評價，比如去年我們檢查過市場上大量的P2P金融APP業(yè)務(wù)都大量使用比較簡單粗暴的人臉識別技術(shù)，同時又采集大量用戶的真實有效詳細(xì)信息，而對于這些數(shù)據(jù)在交易完成后的留存和使用以及風(fēng)險，用戶根本無從知曉。”萬濤表示。

　　他建議，應(yīng)該立法或者頒布臨時措施通過有公信力的社會機(jī)構(gòu)對使用生物認(rèn)證識別技術(shù)的各類商業(yè)應(yīng)用予以備案，相關(guān)執(zhí)法部門加以檢查，將生物識別的技術(shù)、產(chǎn)品與數(shù)據(jù)管理留存，予以檢查抽查和監(jiān)督。作為用戶，對于承諾模糊、技術(shù)能力有限的各類生物識別應(yīng)用消費(fèi)也要予以警惕。

 1/2    1 2 下一頁 尾頁