刷臉比輸密碼安全？它的風險可比你想象得大

出品：科普中國

制作：鐵流

監制：中國科學院計算機網絡信息中心

在今年9月,阿里巴巴旗下螞蟻金服宣布在杭州KFC首推“刷臉支付”服務。同月，以蘋果公司為代表的數家手機廠商重磅推出具備人臉識別解鎖功能的手機。蘋果公司還宣稱，人臉識別提供了比指紋更高的安全性。隨即，不少媒體開始暢想人類即將進入刷臉時代，無論是開設銀行賬戶、手機解鎖、網絡支付，還是打開小區門禁和自家房門，都將采用“刷臉”模式。

然而，在GeekPwn2017國際安全極客大賽上，一位黑客僅用時兩分半就騙過了人臉識別系統。那么人臉識別安全性究竟怎么樣呢？到底存在哪些安全風險？

（黑客現場演示攻破人臉識別系統）

人臉識別用于網絡支付存在風險

隨著移動支付的興起，指紋支付、虹膜支付、刷臉支付等生物特征支付方式層出不窮。特別是阿里和蘋果這樣的大公司先后推出人臉識別和刷臉支付這樣的功能，使刷臉支付顯得非常時髦。而且相對于輸入密碼的支付模式，刷臉支付也會更加便捷。

不過，正如便捷性和安全性不可兼得。由于黑客攻擊和人類識別技術的局限性，就目前來說，刷臉支付其實是存在較大安全風險的。

首先，網絡空間存在被黑客攻擊的風險。在去年，德國紐倫堡大學發表了一篇face2face的論文，從技術上已經實現了遠程用模擬他人人臉進行身份認證。也就是說，黑客根本不需要你的人臉生物特征數據，就可完成人臉進行身份認證。

（依靠技術破解身份認證）

其次，高仿模型可以騙過人類識別安全系統。在刷臉支付的想法被提出時，就有人調侃：“整容了這么辦？”“毀容了怎么辦？”“雙胞胎怎么辦？”“人皮面具怎么辦？”。雖然這只是網友的調侃，但其中的風險是客觀存在的。

在2016年，美國北卡羅來納大學的技術團隊依靠照片進行技術處理之后，建成了人臉3D模型，然后利用這個模型去測試人類識別系統。測試的結果讓人驚駭：80%的人類3D模型騙過了系統的檢測。也就是說，一旦犯罪分子使用高仿人臉3D模型，或者間諜電影中的人皮面具，那么，很可能將輕松騙過現在的人臉識別系統。

（人臉3D模型）

總而言之，在開放的網絡空間、銀行開戶和大額支付等高安全級別場景，不宜采用人臉識別技術進行認證，否則將引發系統性風險。

虹膜、指紋：不適用于高安全級別場景

其實，不僅是刷臉支付存在安全風險，指紋識別、虹膜識別這類生物特征識別技術也不適用于高安全級別場景。雖然很多手機、筆記本等電子設備已經采用了指紋識別或者是虹膜識別，但技術是否被大量應用與技術安全性的高低并無直接關系。

根據公安部第三研究所物聯網技術研發中心主任梅林介紹：“我們注意到手機、筆記本等用指紋開鎖，雖然方便，但是安全是有問題的......我們的公安部信息網絡安全重點實驗室僅用假體攻擊就能輕易打開這些指紋鎖”。

另外，人臉、指紋、虹膜這類生物特征識別技術還存在一個巨大的風險。那就是很難保證這些信息不被從電腦、筆記本或者刷臉支付設備中竊取。由于生物特征成為每個人所獨有的、伴隨終生的、不可更改的身份信息。生物特征信息一旦大規模泄露，造成的后果將是災難性的。

具體來說，如果您由6位數字組成的密碼被盜取，那么您只要修改密碼即可（可撤消）。而一旦您的生物特征信息一旦泄漏出去，就無法挽回了（不可撤消）。

正是因為生物特征泄漏危害巨大，相關的標準正在制定中，在將來生物特征采集設備市場準入和強制檢測將越來越嚴格，數據的保護手段以及數據的安全應用也會越來越先進。與此同時，大家一定要加強自我保護意識，千萬不要隨意刷臉、刷指紋或虹膜，將自己的生物特征數據輕易交給他人。

人類識別技術的應用方向

雖然在網絡支付、銀行開戶和大額支付高安全級別場景不適合應用，但是在采集設備可控、環境可控的安防等場景，人臉識別的技術應用前景非常廣泛。

（面部特征采集比對）

人臉識別技術可以與視頻監控相結合的主動布控技術，將廣泛的用于機場、高鐵、地鐵等場景，支撐安保智能化的進一步發展。依托人臉識別和人工智能技術，公安機關可以通過視頻監控捕獲犯罪分子的人臉信息數據，然后再跟數據庫的人臉進行比較，確認犯罪分子的身份。

在警務服務方面，人臉識別技術也大有可為。公安三所曾經公布過一段宣傳片。在小女孩走失后，公安三所開發的守望者系統人臉識別技術確認了走失小女孩的面部特征。由于小女孩年齡太小，個人數據并未被記錄在公安機關的數據庫內，人工智能從全城的視頻監控中搜索與該小女孩有監護行為的女子，然后通過人臉識別技術確認了這位女子的身份，幫助小女孩找到了家人。