刷脸比输密码安全？它的风险可比你想象得大

科普中国-科普融合创作 2017-11-09

　　出品：科普中国

　　制作：铁流

　　监制：中国科学院计算机网络信息中心

　　在今年9月,阿里巴巴旗下蚂蚁金服宣布在杭州KFC首推“刷脸支付”服务。同月，以苹果公司为代表的数家手机厂商重磅推出具备人脸识别解锁功能的手机。苹果公司还宣称，人脸识别提供了比指纹更高的安全性。随即，不少媒体开始畅想人类即将进入刷脸时代，无论是开设银行账户、手机解锁、网络支付，还是打开小区门禁和自家房门，都将采用“刷脸”模式。

　　然而，在GeekPwn2017国际安全极客大赛上，一位黑客仅用时两分半就骗过了人脸识别系统。那么人脸识别安全性究竟怎么样呢？到底存在哪些安全风险？

　　黑客

　　（黑客现场演示攻破人脸识别系统）

　　人脸识别用于网络支付存在风险

　　随着移动支付的兴起，指纹支付、虹膜支付、刷脸支付等生物特征支付方式层出不穷。特别是阿里和苹果这样的大公司先后推出人脸识别和刷脸支付这样的功能，使刷脸支付显得非常时髦。而且相对于输入密码的支付模式，刷脸支付也会更加便捷。

　　不过，正如便捷性和安全性不可兼得。由于黑客攻击和人类识别技术的局限性，就目前来说，刷脸支付其实是存在较大安全风险的。

　　首先，网络空间存在被黑客攻击的风险。在去年，德国纽伦堡大学发表了一篇face2face的论文，从技术上已经实现了远程用模拟他人人脸进行身份认证。也就是说，黑客根本不需要你的人脸生物特征数据，就可完成人脸进行身份认证。

　　合成

　　（依靠技术破解身份认证）

　　其次，高仿模型可以骗过人类识别安全系统。在刷脸支付的想法被提出时，就有人调侃：“整容了这么办？”“毁容了怎么办？”“双胞胎怎么办？”“人皮面具怎么办？”。虽然这只是网友的调侃，但其中的风险是客观存在的。

　　在2016年，美国北卡罗来纳大学的技术团队依靠照片进行技术处理之后，建成了人脸3D模型，然后利用这个模型去测试人类识别系统。测试的结果让人惊骇：80%的人类3D模型骗过了系统的检测。也就是说，一旦犯罪分子使用高仿人脸3D模型，或者间谍电影中的人皮面具，那么，很可能将轻松骗过现在的人脸识别系统。

　　人脸建模

　　（人脸3D模型）

　　总而言之，在开放的网络空间、银行开户和大额支付等高安全级别场景，不宜采用人脸识别技术进行认证，否则将引发系统性风险。

　　虹膜、指纹：不适用于高安全级别场景

　　其实，不仅是刷脸支付存在安全风险，指纹识别、虹膜识别这类生物特征识别技术也不适用于高安全级别场景。虽然很多手机、笔记本等电子设备已经采用了指纹识别或者是虹膜识别，但技术是否被大量应用与技术安全性的高低并无直接关系。

　　根据公安部第三研究所物联网技术研发中心主任梅林介绍：“我们注意到手机、笔记本等用指纹开锁，虽然方便，但是安全是有问题的......我们的公安部信息网络安全重点实验室仅用假体攻击就能轻易打开这些指纹锁”。

　　另外，人脸、指纹、虹膜这类生物特征识别技术还存在一个巨大的风险。那就是很难保证这些信息不被从电脑、笔记本或者刷脸支付设备中窃取。由于生物特征成为每个人所独有的、伴随终生的、不可更改的身份信息。生物特征信息一旦大规模泄露，造成的后果将是灾难性的。

　　具体来说，如果您由6位数字组成的密码被盗取，那么您只要修改密码即可（可撤消）。而一旦您的生物特征信息一旦泄漏出去，就无法挽回了（不可撤消）。

　　正是因为生物特征泄漏危害巨大，相关的标准正在制定中，在将来生物特征采集设备市场准入和强制检测将越来越严格，数据的保护手段以及数据的安全应用也会越来越先进。与此同时，大家一定要加强自我保护意识，千万不要随意刷脸、刷指纹或虹膜，将自己的生物特征数据轻易交给他人。

　　人类识别技术的应用方向

　　虽然在网络支付、银行开户和大额支付高安全级别场景不适合应用，但是在采集设备可控、环境可控的安防等场景，人脸识别的技术应用前景非常广泛。

　　人脸信息

　　（面部特征采集比对）

　　人脸识别技术可以与视频监控相结合的主动布控技术，将广泛的用于机场、高铁、地铁等场景，支撑安保智能化的进一步发展。依托人脸识别和人工智能技术，公安机关可以通过视频监控捕获犯罪分子的人脸信息数据，然后再跟数据库的人脸进行比较，确认犯罪分子的身份。

　　在警务服务方面，人脸识别技术也大有可为。公安三所曾经公布过一段宣传片。在小女孩走失后，公安三所开发的守望者系统人脸识别技术确认了走失小女孩的面部特征。由于小女孩年龄太小，个人数据并未被记录在公安机关的数据库内，人工智能从全城的视频监控中搜索与该小女孩有监护行为的女子，然后通过人脸识别技术确认了这位女子的身份，帮助小女孩找到了家人。

　脸部特征提取