刷脸时代,你的“脸”还安全吗? 新华社记者 姚玉洁 马晓澄 龚雯 刘畅

新华社徐骏作

人脸解锁、刷脸取款、刷脸买单、刷脸寄快递、刷脸住店、刷脸坐高铁……在正在到来的这个“看脸”时代,你的“脸”安全吗?

2分半钟破解人脸识别门禁,彩色打印人脸照片10秒钟解锁手机……“黑客”们的一场场现场秀提醒消费者:人脸识别等生物识别技术可能潜藏安全风险和隐私问题,刷脸要谨慎,毕竟,“丢了密码可以重新设置,脸丢了就找不回来了”。

2分半破解人脸识别

门禁打印照片10秒解锁手机

窃取关键人物的指纹、虹膜、声音(声纹)甚至人脸信息,突破警卫森严的宝库偷天换日,这是电影大片里的情节。

在刚刚结束的GeekPwn2017国际安全极客大赛上,白帽黑客们现场上演“谍中谍”,短短几分钟甚至几秒钟就能轻松攻破人脸识别、虹膜识别、指纹识别等生物识别系统。

评委在一台人脸识别门禁系统中录入自己的脸,只有这张脸才能打开门禁。浙江大学计算机系毕业的女黑客tyy用了不到2分30秒就成功通过了刷脸机tyy解释说,她通过wifi进入门禁系统,利用系统漏洞,直接获取控制权限,修改人脸信息,也就是把设备中存储的评委人脸换成了自己的脸。

更令人感到不安的是,来自百度安全实验室的“小灰灰”和高树鹏,用了不到10秒,就用一张打印的照片在一定光线环境下解锁了一部手机。“理论上,只要拍到一张手机主人的清晰照片就可以解锁了。”现场评委、犇众信息首席技术官徐昊说。

“现场演示攻击并不是要制造恐慌,而是通过发现漏洞,督促厂商改进技术、修复漏洞。”GeekPwn大赛发起和创办人王琦说,大赛会将发现的漏洞反馈给厂商,让越来越多的企业和公众关注技术安全。

越智能越脆弱?

“每个人只有十个指纹、两个虹膜、一张脸,这些暴露在外的信息一旦被破解,就是严重威胁。”白帽黑客“小灰灰”的话说出了大众的心声:看起来高大上又方便的人脸识别技术安全吗?智能度越高的产品,安全会不会越脆弱?

——技术是否成熟?很多公司都宣称其人脸识别准确率超过99%,对此,长期研究机器学习的西安交通大学电信学院特聘教授龚怡宏介绍,这指的是在一些世界知名人脸数据库比对中取得的成绩,但在现实运用中,这种准确度要大打折扣。人群样本更大,不同光线、姿态、分辨率等条件都可能给机器识别带来困难。

——安全是否可控?小偷有没有可能用假脸欺骗门禁进入小区?金融罪犯会不会用“仿冒人脸”登录银行系统窃取钱财?

在业界专家看来,这是一种技术“攻防战”。目前很多人脸识别公司都加大了在活体检测上的技术投入,确保系统检测到的是一个“活人”,提高对攻击的防御能力。以人脸取款为例,农业银行上海分行个人金融部经理杨晟栋告诉记者,人脸取款采用红外双目摄像头活体检测技术,同时对脸部细微动作和微表情进行检测,识别度远高于手机摄像头,假脸或者照片都不可能骗过系统。

——隐私会否泄露?上海市信息安全行业协会会长、众人科技董事长谈剑峰说:“生物特征是唯一特征,但这反而可能是不安全的。密码丢失后可以设置一个新的,但有大量生物特征信息的服务器一旦受到攻击,数据库被拿走,你不可能再有第二张脸。”

多重验证

尽快立法防止“人脸裸奔”

专家表示,任何技术都是在攻防的过程中不断演变升级,最终在安全性和便捷性之间达到平衡。“世界上没有完美的技术,如果在特定的场景下,一项新技术的准确度能够满足要求,错误带来的风险可以承受,那它就是有价值的。”奇虎360公司副总裁、新加坡国立大学教授颜水成说。

王琦提醒,不管是厂商还是消费者,都不要出于赶时髦或者追捧概念去使用一些尚未成熟的技术。消费者在社交、互联网等场景刷脸要慎重,尤其不要把脸作为关键信息的“钥匙”。

中科院自动化所生物识别与安全技术研究中心主任李子青等专家建议,从安全层面考虑,人脸识别最好跟多种验证方式交叉使用,尤其是对安全要求极高的金融场景。比如,为了防止照片、视频播放、3D头套等假脸攻击,银行刷脸取款都同时进行人脸识别、手机号码或身份证验证、密码验证三层防护。

尽管很多厂商宣称自己对采集的照片和人脸生物特征会进行脱敏处理,但在商汤科技联合创始人杨帆看来,保护用户隐私不仅需要企业自律,更需要政府引导行业建立统一标准,筑起保护用户隐私的堤坝。目前,欧洲监管机构已在即将出台的数据保护法规中嵌入了一套原则,规定包括“脸纹”在内的生物信息属于其所有者,使用这些信息需要征得本人同意。

“点点滴滴的个人隐私汇集起来就是国家信息安全。”在谈剑峰等业内人士看来,最重要的是立法保护公民隐私,以及确定人脸识别等技术的使用边界。“我国应尽快建立生物识别的法律和技术标准,比如什么地方能用,怎么使用；用什么技术采集、达到什么样的安全级别、采集多少个点位的特征、信息要做多少层加密,这些都需要通过立法尽快明确。”

相关链接

“刷脸”时代,个人隐私保护需要多方作为

刷脸进站、刷脸取款、刷脸支付、刷脸报到……随着人脸识别技术的日渐成熟,“刷脸”时代正在到来。在业内人士看来,人脸识别技术正在不断突破各个行业应用的“阈值”,带来日趋丰富的应用场景。有专家指出,人脸特征与指纹、虹膜相比,是一个具有弱隐私的生物特征。例如,很多人都会发自拍照,也是相对公开的特征。如何保证用户数据安全尤为关键。

如今,物联网、大数据、云计算、生物识别、自动驾驶等各个领域的技术,都处在爆发增长的临界点。其中,生物识别技术近年来商用速度不断加快,应用范围愈发广泛。随着人工智能等前沿技术的快速发展,面部识别技术正迎来应用普及的风口,在生物识别的众多细分领域中,面部识别更是佼佼者。不过,虽说“人脸识别”技术推动了诸多领域的变革,但其对于公民隐私保护造成的威胁性也值得重视。

经过多年发展,人脸识别近几年确实取得了突破式发展,完成了一些以前“不可能完成的任务”。目前,在国内,从消费电子领域到汽车电子、安保、网络支付、金融等领域都在逐步引入人脸识别,堪称是百花齐放。虽说,面部识别技术的应用,确实有“芝麻开门”的便捷效应,但任何新技术与生俱来的双刃剑属性,都不可避免地让面部识别技术的应用存在隐私安全风险。

一方面,在信息即价值的时代,个人隐私信息的商业价值日益凸显,面部识别技术在“刷脸”过程中,用户的姓名、性别、年龄、职业,甚至包括用户不同情境状态下的情绪等大量信息,都被采集并储存；另一方面,面部识别技术所采集到的个人隐私信息,必然难逃不法之徒的环伺和围猎。一旦这些信息得不到妥善保管而被泄露,那么用户的个人隐私就无异于处在“裸奔”状态,其安全必然得不到有效保障。

人脸识别能做的不仅仅是验证一个身份,它更能通过分析面部特征来捕捉难以捉摸的社交信号。人脸识别是一条很长的产业链,保护用户隐私不仅需要靠公司的自律,更需要在政府引导下建立起整个行业的统一标准,共同筑起保护用户隐私的行业堤坝。

其一,政府应从管理者的角度,通过立法方式强化对于面部识别领域的监管力度,进一步保障公民个人信息安全；相关行业和企业应提升面部识别应用软件等载体以及储存设备的安全技术水平,提升网络安全意识,避免公民隐私信息泄露或遭非法转卖。对于非必要的隐私数据,不应非法采集。

其二,身处互联时代,个人隐私信息安全威胁性不断提升,每个公民需提升隐私安全意识和自我保护意识,不要轻易泄露个人信息,对于有关个人信息安全的事项应当积极、主动予以处理,避免被不法分子利用。

人脸识别充当着人工智能的“眼睛”,作为人工智能与外界交互的一项重要技术,人脸识别技术的安全性显得十足重要。尽管人脸识别有着十分庞大的市场空间,但确保数据信息和个人隐私安全依然是所有厂商绕不掉的“门槛”。

一方面,人脸识别采集技术要求高安全性、高准确率、高可用性、高实时性,会积累大量的数据,但这些数据如果变成一个个数据孤岛,就无法使人脸识别技术得到提升,相关应用如何设计人脸识别系统,确保用户数据不被盗用,目前在技术开发仍有很大拓展空间,有必要在数据的共享和开放上加大引导力度,促进技术发展；另一方面,人脸识别技术逐渐走向成熟,应用会越来越多,人脸识别技术的各类标准,包括保护公民隐私的标准应尽快出台。相关行业及企业应当积极担负起社会责任,主动积极地规范行业标准,自觉维护所采集、储存的公民隐私数据安全。

“刷脸”的时代已经到来,希望在技术日益成熟的同时,也能给人与人之间的互动保留足够的隐私与感性。

(转载自《北京青年报》)

新闻推荐

经发地产白桦林·印象现房销售

本报讯（王艺霖）日前，随着大西安建设的不断推进，世纪大道区域房产项目销售火热，其中经发地产白桦林印象项目良好的品牌和产品品质受到消费者青睐。该项目位于西咸新区的核心位置，处于西咸一体化的三桥商...

西安新闻，讲述家乡的故事。有观点、有态度，接地气的实时新闻，传播西安正能量。看家乡事，品故乡情。家的声音，天涯咫尺。