出品:科普中國
製作:鐵流
監製:中國科學院電腦網路資訊中心
在今年9月,阿裡巴巴旗下螞蟻金服宣佈在杭州KFC首推“刷臉支付”服務。 同月, 以蘋果公司為代表的數家手機廠商重磅推出具備人臉識別解鎖功能的手機。 蘋果公司還宣稱, 人臉識別提供了比指紋更高的安全性。 隨即, 不少媒體開始暢想人類即將進入刷臉時代, 無論是開設銀行帳戶、手機解鎖、網路支付, 還是打開社區門禁和自家房門, 都將採用“刷臉”模式。
然而, 在GeekPwn2017國際安全極客大賽上, 一位駭客僅用時兩分半就騙過了人臉識別系統。 那麼人臉識別安全性究竟怎麼樣呢?到底存在哪些安全風險?
(駭客現場演示攻破人臉識別系統)
人臉識別用於網路支付存在風險隨著移動支付的興起, 指紋支付、虹膜支付、刷臉支付等生物特徵支付方式層出不窮。 特別是阿裡和蘋果這樣的大公司先後推出人臉識別和刷臉支付這樣的功能,
不過, 正如便捷性和安全性不可兼得。 由於駭客攻擊和人類識別技術的局限性, 就目前來說, 刷臉支付其實是存在較大安全風險的。
首先, 網路空間存在被駭客攻擊的風險。 在去年, 德國紐倫堡大學發表了一篇face2face的論文, 從技術上已經實現了遠端用模擬他人人臉進行身份認證。 也就是說, 駭客根本不需要你的人臉生物特徵資料, 就可完成人臉進行身份認證。
(依靠技術破解身份認證)
其次,
高仿模型可以騙過人類識別安全系統。
在刷臉支付的想法被提出時,
就有人調侃:“整容了這麼辦?”“毀容了怎麼辦?”“雙胞胎怎麼辦?”“人皮面具怎麼辦?”。
雖然這只是網友的調侃,
但其中的風險是客觀存在的。
在2016年, 美國北卡羅來納大學的技術團隊依靠照片進行技術處理之後, 建成了人臉3D模型, 然後利用這個模型去測試人類識別系統。 測試的結果讓人驚駭:80%的人類3D模型騙過了系統的檢測。
(人臉3D模型)
總而言之, 在開放的網路空間、銀行開戶和大額支付等高安全級別場景, 不宜採用人臉識別技術進行認證,
虹膜、指紋:不適用於高安全級別場景
其實, 不僅是刷臉支付存在安全風險, 指紋識別、虹膜識別這類生物特徵識別技術也不適用於高安全級別場景。 雖然很多手機、筆記本等電子設備已經採用了指紋識別或者是虹膜識別, 但技術是否被大量應用與技術安全性的高低並無直接關係。
根據公安部第三研究所物聯網技術研發中心主任梅林介紹:“我們注意到手機、筆記本等用指紋開鎖, 雖然方便, 但是安全是有問題的......我們的公安部資訊網路安全重點實驗室僅用假體攻擊就能輕易打開這些指紋鎖”。
另外, 人臉、指紋、虹膜這類生物特徵識別技術還存在一個巨大的風險。 那就是很難保證這些資訊不被從電腦、筆記本或者刷臉支付設備中竊取。由於生物特徵成為每個人所獨有的、伴隨終生的、不可更改的身份資訊。生物特徵資訊一旦大規模洩露,造成的後果將是災難性的。
具體來說,如果您由6位元數位組成的密碼被盜取,那麼您只要修改密碼即可(可撤銷)。而一旦您的生物特徵資訊一旦洩漏出去,就無法挽回了(不可撤銷)。
正是因為生物特徵洩漏危害巨大,相關的標準正在制定中,在將來生物特徵採集設備市場准入和強制檢測將越來越嚴格,資料的保護手段以及資料的安全應用也會越來越先進。與此同時,大家一定要加強自我保護意識,千萬不要隨意刷臉、刷指紋或虹膜,將自己的生物特徵資料輕易交給他人。
人類識別技術的應用方向雖然在網路支付、銀行開戶和大額支付高安全級別場景不適合應用,但是在採集設備可控、環境可控的安防等場景,人臉識別的技術應用前景非常廣泛。
(面部特徵採集比對)
人臉識別技術可以與視頻監控相結合的主動布控技術,將廣泛的用於機場、高鐵、地鐵等場景,支撐安保智慧化的進一步發展。依託人臉識別和人工智慧技術,公安機關可以通過視頻監控捕獲犯罪分子的人臉資訊資料,然後再跟資料庫的人臉進行比較,確認犯罪分子的身份。
在警務服務方面,人臉識別技術也大有可為。公安三所曾經公佈過一段宣傳片。在小女孩走失後,公安三所開發的守望者系統人臉識別技術確認了走失小女孩的面部特徵。由於小女孩年齡太小,個人資料並未被記錄在公安機關的資料庫內,人工智慧從全城的視頻監控中搜索與該小女孩有監護行為的女子,然後通過人臉識別技術確認了這位女子的身份,幫助小女孩找到了家人。
在“人證合一”核驗的場景中,人臉識別技術可以應用於重點場所進行現場人臉和證件中人臉的同一性認定。
在影視動漫行業,人臉識別技術將大幅推動CG(Computer Graphics)動漫影視作品的發展。
總之,任何技術都有其適用場景,不能因為方便而不顧安全隱患,特別是在存在系統性風險的情況下。
人臉識別不安全,有更安全的技術麼就目前來說,人臉、指紋、虹膜等生物特徵識別不應當作為判斷身份的關鍵手段,而應當作為物理空間身份查驗中“人證合一”的輔助手段,即判別持證人是否持本人的身份證。
在政府推行的“一號一窗一網”的互聯網+政務服務中,解決“一網”問題的最好最安全可靠的方案就是採用網路電子身份標識(eID)技術和服務體系進行身份認證。
eID是十二五期間國家863資訊安全重大專項的科研成果。eID是以密碼技術為基礎、以智慧安全晶片為載體、由“公安部公民網路身份識別系統”簽發給公民的網路電子身份標識,能夠在不洩露身份資訊的前提下線上遠端識別身份,eID具有身份認證、安全登錄、數位簽章、交易保護和資料授權等功能。
目前eID正進入產業化階段,有江蘇省的工商全程電子化平臺、淮安的食藥監管理、上海的“市民雲”公共服務、海口市的不動產登記、中航信的航旅資訊服務、深圳法大大的電子合同等應用試點。
“科普中國”是中國科協攜同社會各方利用資訊化手段開展科學傳播的科學權威品牌。
本文由科普中國融合創作出品,轉載請注明出處。
那就是很難保證這些資訊不被從電腦、筆記本或者刷臉支付設備中竊取。由於生物特徵成為每個人所獨有的、伴隨終生的、不可更改的身份資訊。生物特徵資訊一旦大規模洩露,造成的後果將是災難性的。具體來說,如果您由6位元數位組成的密碼被盜取,那麼您只要修改密碼即可(可撤銷)。而一旦您的生物特徵資訊一旦洩漏出去,就無法挽回了(不可撤銷)。
正是因為生物特徵洩漏危害巨大,相關的標準正在制定中,在將來生物特徵採集設備市場准入和強制檢測將越來越嚴格,資料的保護手段以及資料的安全應用也會越來越先進。與此同時,大家一定要加強自我保護意識,千萬不要隨意刷臉、刷指紋或虹膜,將自己的生物特徵資料輕易交給他人。
人類識別技術的應用方向雖然在網路支付、銀行開戶和大額支付高安全級別場景不適合應用,但是在採集設備可控、環境可控的安防等場景,人臉識別的技術應用前景非常廣泛。
(面部特徵採集比對)
人臉識別技術可以與視頻監控相結合的主動布控技術,將廣泛的用於機場、高鐵、地鐵等場景,支撐安保智慧化的進一步發展。依託人臉識別和人工智慧技術,公安機關可以通過視頻監控捕獲犯罪分子的人臉資訊資料,然後再跟資料庫的人臉進行比較,確認犯罪分子的身份。
在警務服務方面,人臉識別技術也大有可為。公安三所曾經公佈過一段宣傳片。在小女孩走失後,公安三所開發的守望者系統人臉識別技術確認了走失小女孩的面部特徵。由於小女孩年齡太小,個人資料並未被記錄在公安機關的資料庫內,人工智慧從全城的視頻監控中搜索與該小女孩有監護行為的女子,然後通過人臉識別技術確認了這位女子的身份,幫助小女孩找到了家人。
在“人證合一”核驗的場景中,人臉識別技術可以應用於重點場所進行現場人臉和證件中人臉的同一性認定。
在影視動漫行業,人臉識別技術將大幅推動CG(Computer Graphics)動漫影視作品的發展。
總之,任何技術都有其適用場景,不能因為方便而不顧安全隱患,特別是在存在系統性風險的情況下。
人臉識別不安全,有更安全的技術麼就目前來說,人臉、指紋、虹膜等生物特徵識別不應當作為判斷身份的關鍵手段,而應當作為物理空間身份查驗中“人證合一”的輔助手段,即判別持證人是否持本人的身份證。
在政府推行的“一號一窗一網”的互聯網+政務服務中,解決“一網”問題的最好最安全可靠的方案就是採用網路電子身份標識(eID)技術和服務體系進行身份認證。
eID是十二五期間國家863資訊安全重大專項的科研成果。eID是以密碼技術為基礎、以智慧安全晶片為載體、由“公安部公民網路身份識別系統”簽發給公民的網路電子身份標識,能夠在不洩露身份資訊的前提下線上遠端識別身份,eID具有身份認證、安全登錄、數位簽章、交易保護和資料授權等功能。
目前eID正進入產業化階段,有江蘇省的工商全程電子化平臺、淮安的食藥監管理、上海的“市民雲”公共服務、海口市的不動產登記、中航信的航旅資訊服務、深圳法大大的電子合同等應用試點。
“科普中國”是中國科協攜同社會各方利用資訊化手段開展科學傳播的科學權威品牌。
本文由科普中國融合創作出品,轉載請注明出處。