消费资讯
消费资讯
人脸识别与个人信息保护|举张照片也能成功刷脸?
 
2022-01-26 09:00:56   杭州网

中国消费者报报道(记者武晓莉)一位女性手拿一张打印的男性照片挡在自己脸前,对着某品牌人脸识别门禁打卡机打卡,居然成功地被识别为这位男员工——这是中国信息通信研究院云计算与大数据研究所(以下简称信通院云大所)测试团队,在真实场景下进行的一项人脸识别测试。

很多人都觉得人脸识别非常方便,且潜意识里认为人脸信息是唯一的、不可更改的,因此是最安全的。但在互联网安全专家看来,将人脸识别作为唯一且重要的安全密码,是非常危险的。越是重要的应用,例如银行卡、家庭门锁等,用刷脸来做密码,就越发不安全。

人脸识别技术良莠不齐

拿起手机不到一秒钟,就自动解锁;凑近智能门锁,门就自动开了;使用银行APP时抬起手机,就能自动登录……如今,人们已经对生活中随处可见的人脸识别应用习以为常。

信通院云大所相关负责人对《中国消费者报》记者说,自2021年6月起,该所启动了对可信人脸识别评测,上述以男性照片骗过门禁卡的实验,就是测试项目之一。

其实,人们早就对刷脸技术的安全性产生了担忧。2019年10月,浙江嘉兴上外秀洲外国语学校的同学们在一次课外科学实验中发现,只要用一张打印照片就能代替真人刷脸,骗过小区的丰巢智能柜取出快递件。当时有媒体记者验证后发现确实如此。

“像支付宝或者银行的人脸识别系统,应该是属于技术或安保程度比较高的,但也发生过问题。曾有被告人用别人的人脸信息,轻易绕过支付宝的人脸认证系统,顺利开设了账户,而被告人并不是什么高级黑客。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友对《中国消费者报》记者说。

“说实话,人脸识别并没有那么准确和安全可靠。”石佳友说,“从纯技术角度看,人脸识别算法的品质本身差异就会非常大;镜头所拍摄照片的质量对匹配的精度也有显著影响。此外,识别度有一个置信度阈值(Confidence thresholds),如果识别度过高,可能会导致更多的漏网,识别度过低,又会误识别一大片,准确率又太低,这本身就是一个矛盾。”

据信通院云大所相关人士介绍,目前市场上人脸识别系统安全防护能力良莠不齐,一些人脸识别技术或产品存在明显的安全漏洞,在当前人脸识别技术广泛应用的背景下,给消费者的人身财产安全带来了极大的风险。

智能骗脸技术门槛低

做过人脸识别录入的用户都知道,被采集者需要通过眨眼、转头、张嘴等动作来配合采集“活体信息”。

“一张照片用那种活化程序,普通人都能够做到让照片摇头、眨眼睛。”清华大学法学院教授劳东燕对《中国消费者报》记者说,“那种软件技术层级比较低。”

“过去人们常说有图有真相,但在智能换脸术面前,别说图了,连视频都不可信。”奇安信集团行业安全研究中心主任裴智勇博士对《中国消费者报》记者说,通过人工智能技术,可以将一张普通的静态照片(正面、侧面均可),转化生成一张表情生动的人脸,甚至可以轻松地贴在另一个人的脸上,随着另一个人的动作和表情自动变化。

裴智勇说,以2017年左右的技术水平,已经完全有能力骗过绝大多数人脸识别系统,不过当时能够掌握这种技术的主要是人工智能专家。而随着技术的成熟,各种软件层出不穷,现如今这种“操作”普通人也能轻易做到。

劳东燕认为,虽然所有的个人信息泄露后都有风险,但人脸识别技术有其特殊性。其他的个人信息可能需要结合另外一些个人信息,才能识别到具体的某个人,而人脸本身就具有单一的可识别性,即用人脸信息直接就可以识别到特定的个人,因此风险更大。

“智能换脸的技术门槛比绝大多数人的想象要低得多,”裴智勇说,“我们既然可以通过满大街的摄像头轻易捕捉到动态的人脸,那么用人工智能技术给这张脸换一套皮肤也不是什么难事。”

人脸信息不符合密码规则

“我个人是非常反对生物特征的人脸识别作为用户的密码,去访问一些重要服务的。”科大讯飞副总裁、大数据研究院院长刘鹏对《中国消费者报》记者说,“人脸作为密码去访问服务,除非是非常小额的支付,或者是无关紧要的一些登录。从人脸识别的生物特征看,它是违反密码基本原则的。密码的基本原则之一,就是用户可以随时更改,而人脸改不了。”

刘鹏认为,除了识别技术本身良莠不齐外,计算机的人脸生成技术如今已经相当成熟,因此,人脸信息作为密码本身就有风险。“目前还没有一个兜底的方案,来保证它的安全性。”

刘鹏明确表示,“我非常支持《个人信息保护法》里把人脸识别这种生物信息,明确界定为用户敏感信息。”

“人脸识别是一种非常方便的验证方式,随身携带,不易丢失,但从网络安全角度看,人脸识别不适合单独使用或作为唯一的安全验证方式。”裴智勇也持同样的观点。他认为,人脸信息一旦泄露,无法追回更无法“换脸”,这不仅会让犯罪分子钻空子,在各种场合冒用身份,还有可能因此泄露当事人的行为轨迹及更多隐私信息。

“人脸信息泄露之后,很难进行有效补救。”劳东燕说,“手机信息泄露了,你可以选择换一个手机号;住址泄露了,你甚至还可能换一个住址。如果你的人脸泄露了,即便犯罪嫌疑人最终被抓到,但泄露了就是泄露了。”

“在安全工作者的眼里,人脸、指纹、声纹、虹膜等生物识别技术所识别的生物特征,都是静态的、可复制的信息,本质上和一串复杂的字符口令没什么区别,安全性也不会高到哪儿去,只是可以很方便地随身‘携带’而已。”裴智勇表示,尽管有些公司声称可以识别出真人和照片,那其实也不过是增加了信息复制或模仿的难度而已,并没有从根本上改变生物特征可以被复制、且很容易被复制的本质。

人脸信息应用要设置前提

“在远程身份认证的场景下,几乎所有的生物识别技术都不适合单独使用。”裴智勇说,“刷脸虽方便,但并不是哪里都可以用。从纯粹安全工作的视角来看,人脸信息用作身份认证一定要结合应用场景。”

他认为,绑定设备本身既是一种使用场景限定,也是一种辅助验证方法。在如刷脸支付、手机验证等远程验证场景下,则需要配合手机绑定、短信验证码、大数据验证等辅助手段进行组合验证。如绑定手机支付,用自己的手机刷脸可以,用别人的手机就不行。从使用环境角度看,最好有人值守,如机场、火车站、小区、办公楼等,有保安人工值守或监控值守,可以一定程度上防止有人利用照片、假脸或数字仿真等方法欺骗识别系统。同时,必须要配合必要的网络安全保障措施,如身份管理、数据加密、威胁监测、运营监控等,以防系统被入侵、篡改和泄露。

“配合其他安全措施共同使用,人脸识别完全可能做到既方便又能保障安全。”裴智勇解释道,“比如刷脸支付,如果用户装有支付APP的手机原先一直在北京活动,某一天刷脸行为突然发生在广西,支付系统就应阻止验证被通过,这就是大数据安全验证模型保障用户账户安全的例子。支付机构使用的辅助认证技术还有很多,只不过对普通消费者来说是隐形的,不易被感知罢了。”

 
来源:中国消费者报    作者:武晓莉    编辑:陈俊男    
分享到:
 
『相关阅读』
 

我也来说两句: 0条评论 查看评论
会员登录名 密码 [注册]
 
More>>  
·网友称有手机软件开屏广告“摇一摇”即进...
·调查:身边的银行网点会消失吗
·交付周期延长、购车优惠减退……准车主为...
·明明原价就能买票 抢票软件平台为何要求...
·2022北京冰雪消费地图发布
·“进口货”该怎么买?三问“海淘”采购风...
·添春色迎福气 线上线下花市热
·网络互助平台相继关停后超亿用户“裸保”...
·价格涨幅超50% 千元新品茅台1935...
·海钓船、摩托艇、帆船等蔚然兴起 海上休...
·掌握冰雪技能 更多人端上“雪饭碗”
·银保监会对差异化监管提具体要求 规范银...
·“改姓”的凉茶能热吗?
·居家健身促运动装热卖 运动休闲服市场迎...
·疫后全球消费需提质升级
·尊重消费者合理诉求 促进行业规范发展
·猫猫狗狗也要过节 宠物年货成新风口
·统一制作进口水果销售专区标识 守住“果...
·明码标价 合理定价 市场监管部门发布 ...
·因身体原因孩子不能再上游泳课 商家却只...
·99元就能抽大牌化妆品 “惊喜”还是“...
·不要被效果图骗了 买房要看工程图才实在...
·春节出行进入最后的“预订黄金周” 有旅...
·杭州人的年货又有了更多新选择
·杭州首个传统工艺类产品“浙江制造”标准...
·看15秒广告 免费听半小时周杰伦的歌 ...
·打造数字经济与制造业融合新标杆 杭州公...
·充电基础设施调查:装充电桩小区电容量不...
·一人抢购百份套餐只为得盲盒 人气涨了浪...
·“IP联名”不可滥用