本篇文章1645字,读完约4分钟
有了观众的自画像,手机的人脸认证系统被成功地“改变”。在最近举行的3月15日运动中,“擦脸”登录安全漏洞的暴露成为了互联网上热议的焦点。
为什么时尚的人脸认证技术被“撕裂”?这个漏洞暴露出的生物认证技术的致命弱点是什么?人们还能自信地“擦脸”吗?《科技日报》记者就此问题采访了许多信息安全专家。他们都认为,虽然生物认证给普通人带来了方便和安全,但它也有局限性。生物特征的独特性可能是最大的伤害,单一使用会增加安全风险。
为什么人脸识别容易被破解
互联网威慑与防御实验室(IDF Laboratory)创始人、民间“黑客教父”万涛告诉记者,根据现场演示,应该是技术人员利用人脸关键点定位、自动人脸运动技术和3D建模技术,将照片从静态变为三维、可移动,最终欺骗了刷脸登录和活体检测。
“从技术上来说,许多制造商的人脸认证技术在现阶段不可能在所有场景中都成熟和完整。虽然随着智能手机摄像头技术的进步,人脸比对的准确性有了很大的提高,但是一些厂商的人脸识别系统对活体检测重视不够。场景应用的设计简单而粗糙,使用的算法相对简单,破解起来并不困难。”万涛说。
“人脸识别技术主要用于人脸验证和比较。目前,这种开发技术主要集中在验证和比较算法上。许多开发人员没有过多考虑人脸图像的来源。南京工业大学计算机学院的李教授专门从事人脸识别技术的研究。他告诉记者,已经有机器对抗算法来辨别机器合成的图像。
生物认证的唯一性或最大硬度
生物认证包括指纹识别、虹膜识别、人脸识别、语音识别等。生物认证的最大特点是唯一性,例如,每个人都有一张独一无二的脸、指纹、虹膜等。
正是这种独特性让每个人都认为生物认证是安全的。然而,专家警告说,一旦生物特征数据库被攻破,大量独特的生物特征数据将被窃取,带来不可忽视的风险。
“生物特征是不可改变的。这是一个严重的伤害,一个巨大的伤害。”中国计算机联合会执行理事、首席战略官潘特别强调了它的副作用。
他告诉记者,密码可以定期更改,也可以更改。然而,一个人只有10个指纹,只有两个虹膜,只有两个掌纹,只有一组声纹,只有一张脸。生物认证是不可撤销的,一旦其信息被泄露,将没有补救措施。
万涛认为,如果在不可靠的系统和数据管理及保护级别上进行生物认证,提供生物识别的用户将面临网络犯罪的“无处可逃”的恶劣环境。除了加强技术的严密性和可靠性外,生物认证在风控制的应用和管理方面还应具备强大的技术和法律保障,以确保用户生物认证信息的安全性、使用限制和现场安全。
哪些场景可以安全地“刷”掉
“我认为现在人脸识别仍然主要用作安全领域的一种干预方法。例如,人脸识别技术不会疲劳,在许多场合需要比较人和证据时,也不会有责任和主观性的问题。这是最大的优势。”
在李看来,生物认证更多的是对传统认证的补充。它需要与其他技术相结合来产生安全效果,例如在拥有用户名、密码和其他特征后的人脸识别。
万涛还认为,刷面认证是基于现有风力控制系统保护的安全用户体验的延伸。该应用场景更适合中老年人和对生命财产不敏感的场景。“当然,生物认证作为国家安全基础设施的一部分,在边防、海关、移民和其他场合仍然更为常用。”
“目前的问题主要是在生物识别认证技术的识别、使用、授权、管理和限制方面缺乏有效的协议和评估。例如,去年,我们检查到市场上大量P2P金融APP业务大量使用相对简单和粗糙的人脸识别技术,同时收集大量用户真实有效的详细信息。但是,用户不知道交易完成后这些数据的保留、使用和风险。”万涛说。
他建议,应制定立法或临时措施,通过可信的社会组织记录使用生物识别技术的各种商业应用,相关执法部门应进行检查,生物识别技术、产品和数据管理应予以保留、检查、检查和监督。作为用户,他们还应该警惕各种生物识别应用的消费,这些应用承诺模糊,技术能力有限。
万涛认为,相关厂商应高度重视并投入信息安全工作,实现自身的社会责任和义务,不应在没有成熟的信息安全技术支持的情况下,急于利用生物识别技术作为吸引公众的“噱头”。
