千萬不能忽視人臉識別背後的安全隱患

出品：科普中國

製作：鐵流

監製：中國科學院計算機網路信息中心

在今年9月,阿里巴巴旗下螞蟻金服宣布在杭州KFC首推"刷臉支付"服務。同月，以蘋果公司為代表的數家手機廠商重磅推出具備人臉識別解鎖功能的手機。蘋果公司還宣稱，人臉識別提供了比指紋更高的安全性。隨即，不少媒體開始暢想人類即將進入刷臉時代，無論是開設銀行賬戶、手機解鎖、網路支付，還是打開小區門禁和自家房門，都將採用"刷臉"模式。

然而，在GeekPwn2017國際安全極客大賽上，一位黑客僅用時兩分半就騙過了人臉識別系統。那麼人臉識別安全性究竟怎麼樣呢？到底存在哪些安全風險？

（黑客現場演示攻破人臉識別系統）

人臉識別用於網路支付存在風險

隨著移動支付的興起，指紋支付、虹膜支付、刷臉支付等生物特徵支付方式層出不窮。特別是阿里和蘋果這樣的大公司先後推出人臉識別和刷臉支付這樣的功能，使刷臉支付顯得非常時髦。而且相對於輸入密碼的支付模式，刷臉支付也會更加便捷。

不過，正如便捷性和安全性不可兼得。由於黑客攻擊和人類識別技術的局限性，就目前來說，刷臉支付其實是存在較大安全風險的。

首先，網路空間存在被黑客攻擊的風險。在去年，德國紐倫堡大學發表了一篇face2face的論文，從技術上已經實現了遠程用模擬他人人臉進行身份認證。也就是說，黑客根本不需要你的人臉生物特徵數據，就可完成人臉進行身份認證。

（依靠技術破解身份認證）

其次，高仿模型可以騙過人類識別安全系統。在刷臉支付的想法被提出時，就有人調侃："整容了這麼辦？""毀容了怎麼辦？""雙胞胎怎麼辦？""人皮面具怎麼辦？"。雖然這只是網友的調侃，但其中的風險是客觀存在的。

在2016年，美國北卡羅來納大學的技術團隊依靠照片進行技術處理之後，建成了人臉3D模型，然後利用這個模型去測試人類識別系統。測試的結果讓人驚駭：80%的人類3D模型騙過了系統的檢測。也就是說，一旦犯罪分子使用高仿人臉3D模型，或者間諜電影中的人皮面具，那麼，很可能將輕鬆騙過現在的人臉識別系統。

（人臉3D模型）

總而言之，任何技術都有其適用場景，不能因為方便而不顧安全隱患，特別是在存在系統性風險的情況下。在開放的網路空間、銀行開戶和大額支付等高安全級別場景，不宜採用人臉識別技術進行認證，否則將引發系統性風險。

人臉識別不安全，有更安全的技術么

就目前來說，人臉、指紋、虹膜等生物特徵識別不應當作為判斷身份的關鍵手段，而應當作為物理空間身份查驗中"人證合一"的輔助手段，即判別持證人是否持本人的身份證。

在政府推行的"一號一窗一網"的互聯網＋政務服務中，解決"一網"問題的最好最安全可靠的方案就是eID。實事求是地說，對於網路空間的身份認證，最安全做法的是通過"公安部公民網路身份識別系統"，採用eID來進行網路身份認證。

eID是以密碼技術為基礎、以智能安全晶元為載體，由公安部公民網路身份識別系統簽發給公民的網路身份證，能夠在不泄露身份信息的前提下在線遠程識別身份。

首先，eID具有真實性和唯一性。這款網路身份證由公安部門審核簽發，每位公民只可以選擇一張銀行卡的智能晶元載入eID。這就保障了個人身份的真實性和eID載體的唯一性。

其次，eID具有非常高的安全機制。eID採用了特殊演算法，通過高強度安全機制，可以確保密碼信息無法被讀取、複製、篡改或非法使用。

再次，eID能有效防止公民信息泄漏。很多需要實名的網站，在註冊時需要用戶填寫一些個人隱私信息，例如身份證號、電話、家庭住址等，這就會造成公民個人信息和隱私被泄漏出去。在擁有了eID之後，用戶只需憑eID就可以在實名的網站完成註冊，而真實的個人信息保存在公安部資料庫中，網站則將eID提交給公安資料庫進行驗證。這樣一來，既達到了實名的真實性要求，又達到了保護個人隱私的目的。

最後，eID能夠提升網路支付的安全性。目前，微信支付、京東支付、支付寶等網路支付模式已經深入老百姓的生活中。而一旦用戶的微信、京東、支付寶等網路帳號被盜，很有會造成一定的財產損失。在有了eID之後，只要用戶設定了網路支付必須使用eID，且eID還在用戶手上。那麼，即便網路帳號被盜也不會對用戶造成損失。

誠然，安全性和便捷性不可兼得，eID也有自己的不足。不過，隨著eID將在全國推廣，這項最安全最可靠的方案有望被越來越多的用戶選擇和青睞。

"科普中國"是中國科協攜同社會各方利用信息化手段開展科學傳播的科學權威品牌。 本文由科普中國融合創作出品，轉載請註明出處。