新華社:刷臉時代 你的「臉」還安全嗎？

新華社:刷臉時代 你的「臉」還安全嗎？2017/11/6 17:49:56 來源:新華社 瀏覽：784　　原標題：刷臉時代，你的「臉」還安全嗎？　　新華社上海11月6日電 題：刷臉時代，你的「臉」還安全嗎？　　新華社「新華視點」記者　　人臉解鎖、刷臉取款、刷臉買單、刷臉寄快遞、刷臉住店、刷臉坐高鐵……在正在到來的這個「看臉」時代，你的「臉」安全嗎？　　2分半鐘破解人臉識別門禁，彩色列印人臉照片10秒鐘解鎖手機……「黑客」們的一場場現場秀提醒消費者：人臉識別等生物識別技術可能潛藏安全風險和隱私問題，刷臉要謹慎，畢竟，「丟了密碼可以重新設置，臉丟了就找不回來了」。　　2分半破解人臉識別門禁　列印照片10秒解鎖手機　　竊取關鍵人物的指紋、虹膜、聲音（聲紋）甚至人臉信息，突破警衛森嚴的寶庫偷天換日，這是電影大片里的情節。　　在剛剛結束的GeekPwn2017國際安全極客大賽上，白帽黑客們現場上演「諜中諜」，短短几分鐘甚至幾秒鐘就能輕鬆攻破人臉識別、虹膜識別、指紋識別等生物識別系統。　　評委在一台人臉識別門禁系統中錄入自己的臉，只有這張臉才能打開門禁。浙江大學計算機系畢業的女黑客tyy用了不到2分30秒就成功通過了刷臉機。tyy解釋說，她通過wifi進入門禁系統，利用系統漏洞，直接獲取控制許可權，修改人臉信息，也就是把設備中存儲的評委人臉換成了自己的臉。　　更令人感到不安的是，來自百度安全實驗室的「小灰灰」和高樹鵬，用了不到10秒，就用一張列印的照片在一定光線環境下解鎖了一部手機。「理論上，只要拍到一張手機主人的清晰照片就可以解鎖了。」現場評委、犇眾信息首席技術官徐昊說。　　「現場演示攻擊並不是要製造恐慌，而是通過發現漏洞，督促廠商改進技術、修復漏洞。」GeekPwn大賽發起和創辦人王琦說，大賽會將發現的漏洞反饋給廠商，讓越來越多的企業和公眾關注技術安全。　　越智能越脆弱？　　「每個人只有十個指紋、兩個虹膜、一張臉，這些暴露在外的信息一旦被破解，就是嚴重威脅。」白帽黑客「小灰灰」的話說出了大眾的心聲：看起來高大上又方便的人臉識別技術安全嗎？智能度越高的產品，安全會不會越脆弱？　　--技術是否成熟？很多公司都宣稱其人臉識別準確率超過99%，對此，長期研究機器學習的西安交通大學電信學院特聘教授龔怡宏介紹，這指的是在一些世界知名人臉資料庫比對中取得的成績，但在現實運用中，這種準確度要大打折扣。人群樣本更大，不同光線、姿態、解析度等條件都可能給機器識別帶來困難。　　--安全是否可控？小偷有沒有可能用假臉欺騙門禁進入小區？金融罪犯會不會用「仿冒人臉」登錄銀行系統竊取錢財？　　在業界專家看來，這是一種技術「攻防戰」。目前很多人臉識別公司都加大了在活體檢測上的技術投入，確保系統檢測到的是一個「活人」，提高對攻擊的防禦能力。以人臉取款為例，農業銀行上海分行個人金融部經理楊晟棟告訴記者，人臉取款採用紅外雙目攝像頭活體檢測技術，同時對臉部細微動作和微表情進行檢測，識別度遠高於手機攝像頭，假臉或者照片都不可能騙過系統。　　--隱私會否泄露？上海市信息安全行業協會會長、眾人科技董事長談劍峰說：「生物特徵是唯一特徵，但這反而可能是不安全的。密碼丟失後可以設置一個新的，但有大量生物特徵信息的伺服器一旦受到攻擊，資料庫被拿走，你不可能再有第二張臉。」　　多重驗證 儘快立法防止「人臉裸奔」　　專家表示，任何技術都是在攻防的過程中不斷演變升級，最終在安全性和便捷性之間達到平衡。「世界上沒有完美的技術，如果在特定的場景下，一項新技術的準確度能夠滿足要求，錯誤帶來的風險可以承受，那它就是有價值的。」奇虎360公司副總裁、新加坡國立大學教授顏水成說。　　王琦提醒，不管是廠商還是消費者，都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。消費者在社交、互聯網等場景刷臉要慎重，尤其不要把臉作為關鍵信息的「鑰匙」。　　中科院自動化所生物識別與安全技術研究中心主任李子青等專家建議，從安全層面考慮，人臉識別最好跟多種驗證方式交叉使用，尤其是對安全要求極高的金融場景。比如，為了防止照片、視頻播放、3D頭套等假臉攻擊，銀行刷臉取款都同時進行人臉識別、手機號碼或身份證驗證、密碼驗證三層防護。　　儘管很多廠商宣稱自己對採集的照片和人臉生物特徵會進行脫敏處理，但在商湯科技聯合創始人楊帆看來，保護用戶隱私不僅需要企業自律，更需要政府引導行業建立統一標準，築起保護用戶隱私的堤壩。目前，歐洲監管機構已在即將出台的數據保護法規中嵌入了一套原則，規定包括「臉紋」在內的生物信息屬於其所有者，使用這些信息需要徵得本人同意。　　「點點滴滴的個人隱私彙集起來就是國家信息安全。」在談劍峰等業內人士看來，最重要的是立法保護公民隱私，以及確定人臉識別等技術的使用邊界。「我國應儘快建立生物識別的法律和技術標準，比如什麼地方能用，怎麼使用；用什麼技術採集、達到什麼樣的安全級別、採集多少個點位的特徵、信息要做多少層加密，這些都需要通過立法儘快明確。」（記者姚玉潔、馬曉澄、龔雯、劉暢）責任編輯：張迪卓創資訊卓創鏈接編輯：admin
推薦閱讀：