作者:靳文軒
【嵌牛導讀】人臉識別技術(shù)快速發(fā)展剩膘,但也伴隨一些問題衅斩!
【嵌牛鼻子】人臉識別,身份驗證怠褐,身份識別畏梆!
【嵌牛提問】人臉識別真的可靠嗎,有沒有安全漏洞奈懒,它應該主要應用在身份驗證還是識別方面奠涌?
【嵌牛正文】
隨著iPhoneX中FaceID(人臉識別解鎖)功能的推出,人臉識別就開始火起來磷杏。如今溜畅,科技公司更是告訴我們“刷臉”將成為生活的日常:開設銀行賬戶、辦理酒店入住极祸、小區(qū)門禁慈格,手機解鎖、移動支付遥金、肯德基點餐浴捆,人臉識別將無所不在、無所不能稿械。
先不要激動汤功,暢想還沒多久,24日發(fā)生的一幕似乎要澆上一盆冷水溜哮,在GeekPwn2017國際安全極客大賽上滔金,90后女黑客“tyy”利用設備漏洞,僅用時兩分半就騙過了人臉識別系統(tǒng)茂嗓,打開了門禁餐茵。
當美好的未來和殘酷的現(xiàn)實交織在一起,我們也不得不再次思考那個問題:當機器通過看臉就認出你是誰述吸,真的安全嗎忿族?
一:人臉驗證,真的更安全嗎蝌矛?
至少專家是不好看的道批。“目前所有互聯(lián)網(wǎng)認證技術(shù)中入撒,生物識別認證是最不安全的隆豹,”上海市信息安全行業(yè)協(xié)會會長談劍峰在媒體上公開表示∶┐“有人認為璃赡,生物特征在自己身上具有唯一性判哥,因此,生物識別認證技術(shù)應該是安全的碉考。但很多人沒有想到塌计,這種唯一性也意味著,生物認證信息一旦“丟失”就不可再生”侯谁, 談劍峰說锌仅。
從技術(shù)層面看,不管是人臉墙贱、指紋技扼、聲音還是虹膜,這些人類的生物特征都不適合作為遠程身份驗證的安全密鑰嫩痰,因為它們太容易被仿造了。無論你擁有的是志玲姐姐的臉還是鳳姐的臉窍箍,雖然在你自己看來這是獨一無二的物理特征串纺,不可能被仿造被復制,但是對于計算機而言椰棘,這些特征就是一串0和1組成的數(shù)字纺棺,或者說,是一串密碼邪狞。而且祷蝌,普通密碼不安全了不喜歡了,還可以重新改帆卓;但是生物特征信息被盜用后巨朦,不可能從物理上修改人的特征來修正密碼,因此無法再次使用剑令。
人的臉部特征容易復制也是問題之一匠抗。目前,復制指紋早已不是什么新鮮事污抬。在某電商平臺輸入“指紋膜+打卡”就可以輕松找到若干賣家兜售可以在家DIY指紋套的材料汞贸,掌柜推薦的“豪華進口四人用”版本只要五十多元,可以供四個人制作用于欺騙指紋打卡機的指紋套印机。
除了電影竣灌,也有實操。去年8月秆麸,來自北卡羅來納大學的一個研究團隊從Facebook上收集到了一些人的照片初嘹,利用電腦合成和渲染后生成了平面化的3D模型顯示在手機上。隨后他們利用這個模型進行測試沮趣,發(fā)現(xiàn)有高達4/5的被測安全系統(tǒng)在55%到85%的被測時間內(nèi)屯烦,都可以被輕松騙過。更重要的是房铭,他們在Facebook上能收集到的照片非常有限驻龟,質(zhì)量也沒有保證,有些還只是45度角的側(cè)臉缸匪。
更要命的是即纲,如果“刷臉支付”被各家企業(yè)廣泛使用啦撮,那么各企業(yè)參差不齊的技術(shù)實力谭网,使得人臉信息泄漏的風險直線上升≡叽海“我比較擔心的是愉择,假設我們的面部特征以及指紋、虹膜等生物特征信息被廣泛應用织中,比如用于銀行支付等锥涕,而在這之前我們的生物特征數(shù)據(jù)已被各個銀行、手機廠商甚至不知名的APP廠商充分采集到抠璃,這個時候我認為才是風險最大的時候,”大成天下CTO黃鑫在9月份舉辦的2017第二屆SSC安全峰會上說脱惰。
作為網(wǎng)絡安全技術(shù)強國的以色列就發(fā)生過這種事情叉橱。2011年10月,以色列勞動與社會福利部就曾有900萬人(以色列到2016年的人口只有855萬者蠕,這些數(shù)據(jù)中包括已故公民的數(shù)據(jù))的個人信息被一個軟件承包商竊取窃祝。失竊的信息包括姓名、住址踱侣、出生日期粪小、證件號和親屬關(guān)系等大磺,并被放在一款名叫Agron2006的軟件上,銷售給需要不同信息的相關(guān)方探膊。
二:人臉技術(shù):適于身份識別杠愧,不適于身份驗證
盡管人臉識別技術(shù)的火爆是近年的事,但對人臉識別的研究卻早在19世紀末就開始了突想。英國人類學家殴蹄、氣象學家、地理學家弗朗西斯·高爾頓(Francis Galton猾担,1822-1911)在1888年和1910年分別在《Nature》雜志發(fā)表文章袭灯,對人類自身的人臉識別功能進行了分析(每個人都有五官,而且大體位置關(guān)系基本固定绑嘹,但我們是通過什么來識別出兩張不同的臉的)稽荧。
20世紀60年代至90年代,人臉識別被作為一般性的模式識別問題來研究工腋,主要的研究集中在對于剪影(Profile)的研究上姨丈。1991年到1997年期間,誕生了若干個最有代表性的算法擅腰,美國軍方還組織了著名的FERET人臉識別算法測試蟋恬,并出現(xiàn)了商業(yè)化運作的人臉識別系統(tǒng)。此后趁冈,人臉識別的商業(yè)系統(tǒng)進一步發(fā)展歼争,越來越多的技術(shù)革新用于解決室內(nèi)外光照變化、姿態(tài)渗勘、時間跨度等變化條件給識別的有效性帶來的挑戰(zhàn)沐绒。
但是,這一切技術(shù)革新的主要目的是為了實現(xiàn)遠程的身份識別旺坠,而非身份驗證乔遮。例如,在人臉識別系統(tǒng)的幫助下取刃,公安部門可以在機場蹋肮、體育場、超市等公共場所對人群進行監(jiān)控璧疗,防止恐怖分子登機或幫助抓捕嫌犯括尸。當人臉識別系統(tǒng)鎖定了嫌疑人以后,還需要民警現(xiàn)場抓捕的時候再次確認嫌疑人的身份病毡,真正的身份確認過程是發(fā)生在公安人員與嫌犯面對面的“近場”濒翻,而不是視頻監(jiān)控系統(tǒng)的線上“遠程認證”。
互聯(lián)網(wǎng)時代剛剛到來的時候阵赠,我們曾戲謔地開玩笑:你不知道網(wǎng)絡對面和你聊天的是一個人還是一只狗涯塔。但在那個時候,網(wǎng)絡并沒有侵入到包括人們銀行賬戶在內(nèi)物理生活空間清蚀,所以匕荸,我們其實完全不必在意是和人還是狗聊天。隨著移動支付時代的到來枷邪,線上空間和物理生活空間極大地融合了榛搔,網(wǎng)絡身份驗證的復雜性和重要性也出現(xiàn)了顛覆性的變化。
在移動支付時代到來之前东揣,使用網(wǎng)上銀行交易的用戶大多是容易學習和接受新鮮事物的年輕人践惑。那個時代要使用網(wǎng)銀轉(zhuǎn)賬或者第三方支付軟件支付,至少需要記住網(wǎng)絡銀行的登錄密碼嘶卧、U盾密碼和交易密碼三個密碼尔觉,而且還需要在電腦及瀏覽器上安裝各種各樣的插件,這在客觀上阻止了很多人使用網(wǎng)絡支付服務芥吟。
移動支付時代的到來使得網(wǎng)絡支付的流程越來越簡化侦铜,在很多的場景下僅需要手機的驗證碼就可以登錄賬戶,而不需要多重身份驗證了运沦,甚至出現(xiàn)了小額免密支付等更加簡化的流程泵额。因此我們可以看到移動支付的迅速普及配深,無論是超市携添、餐廳、路邊擺攤賣菜的大媽篓叶,幾乎每個商家都接受移動支付烈掠,幾乎每個人都在使用移動支付。
更加便捷缸托、低價的銀行服務對于用戶來說是好事左敌,更加廣闊的市場對于移動支付公司來說也是好事,但是在實現(xiàn)“雙贏”的過程中俐镐,也應把網(wǎng)絡安全風險放在第一位矫限。以生物特征作為遠程驗證的秘鑰,雖然獲得了最大程度的便捷性,但若是以犧牲安全性為代價叼风,將是得不償失的取董。
