人臉識別為何被輕易破解 老百姓還能放心“刷臉”嗎？

憑借一張觀眾的自拍照,就成功“換臉”破解手機的人臉認証系統。在日前舉辦的3·15維權活動中，曝出的“刷臉”登錄安全漏洞成為網絡熱議的焦點。

時髦的人臉認証技術為何被“撕破臉”？這一漏洞暴露出生物認証技術的致命弱點是什麼？老百姓還能不能放心地“刷臉”？科技日報記者帶著問題採訪多位信息安全專家，他們均認為,生物認証雖然給老百姓帶來便利和安全感的提升，但它也存在局限性，生物特征的唯一性或成最大硬傷，單一使用將增加安全風險。

人臉識別為何被輕易破解

IDF實驗室（互聯網威懾防御實驗室）的創始人、有著民間“黑客教父”之稱的萬濤告訴記者，根據現場演示，應該是技術人員利用人臉關鍵點定位、自動化人臉動效技術及3D建模技術，將照片由靜改動、由平面變立體且可運動，從而最終騙過了刷臉登錄和活體檢測。

“從技術上來說，現階段很多廠商的人臉認証技術還不能在所有場景中做到成熟和完整，盡管隨著智能手機攝像頭技術的提高，人臉比對的精確度已經提高很多，但一些廠商的人臉識別系統對活體檢測的重視程度不足，對場景應用設計簡單粗暴，使用的算法比較簡單，破解並不困難。”萬濤說道。

“人臉識別技術主要是用作人臉的驗証和比對，這項正在發展中的技術目前最關注的是驗証比對算法，許多開發者沒有過多考慮人臉圖像的來源。”南京理工大學計算機學院李千目教授專門從事人臉識別技術研究，他告訴記者，針對機器合成的圖像，已經有機器對抗算法可加以甄別。

生物認証的唯一性或成最大硬傷

生物識別認証包括指紋識別、虹膜識別、人臉識別、聲音識別等。生物認証最大的特點是唯一性，比如每個人都有獨一無二的臉、指紋和虹膜等。

正是這種唯一性,讓大家認為生物認証是安全的。但是專家警告，生物特征數據庫一旦被攻破,大量的帶有唯一性的生物特征數據將被盜取,帶來的風險不可忽視。

“生物識別的特征是不可撤銷的。這是一個硬傷，大硬傷。”啟明星辰首席戰略官、中國計算機學會常務理事潘柱廷特別強調了其副作用。

他告訴記者，密碼可以定期換，可以改﹔但是一個人的手指指紋隻有10個，虹膜隻有兩個，掌紋隻有兩個，聲紋隻有一套，臉也就隻有一個。生物認証是不可撤銷的，一旦其信息泄漏了，就沒有什麼補救措施。

萬濤認為，如果生物認証承載在不可靠的系統和數據管理與保護水平上，則將使得提供生物識別的用戶面臨網絡犯罪“無處可避”的糟糕環境。除了加強技術上的嚴謹和可靠性，生物認証在應用和管理風控上應有強有力的技術和法律保障，確保用戶的生物認証信息的安全與使用限定和場景安全。

哪些場景可以放心地“刷臉”

“我覺得現在人臉識別在安全領域主要還是作為一種介入的手段，比如在很多場合需要進行人証合一的比對時，人臉識別技術不會疲勞，不會有責任心和主觀性問題，這是最大的優勢。”

在李千目看來，生物認証更多是對傳統認証的補充，需要與其他技術疊加，綜合運用才能產生安全效應，比如有用戶名、密碼等特征后再進行人臉識別。

萬濤也認為，刷臉認証是建立在已有的風控體系保護下的一種安全用戶體驗擴展。應用場景上更適合給中老年人、生命財產敏感度不高的場景使用。“當然，生物認証目前更普遍的應用還是在邊防、海關、出入境等場合作為國家安全基礎設施的一部分配套使用。”

“當前的問題主要是對生物認証技術的鑒定、使用、授權、管理與約束缺乏有效約定與評價，比如去年我們檢查過市場上大量的P2P金融APP業務都大量使用比較簡單粗暴的人臉識別技術，同時又採集大量用戶的真實有效詳細信息，而對於這些數據在交易完成后的留存和使用以及風險，用戶根本無從知曉。”萬濤表示。

他建議，應該立法或者頒布臨時措施通過有公信力的社會機構對使用生物認証識別技術的各類商業應用予以備案，相關執法部門加以檢查，將生物識別的技術、產品與數據管理留存，予以檢查抽查和監督。作為用戶，對於承諾模糊、技術能力有限的各類生物識別應用消費也要予以警惕。

萬濤認為，相關廠商應該高度重視和投入信息安全工作，意識到其所被賦予的社會責任與義務，在缺乏成熟的信息安全技術的支持下,不應急於將生物識別技術作為“噱頭”來吸引大眾。（記者 張曄）