刷脸比输密码安全？它的风险可比你想象得大 _小知识

在今年9月,阿里巴巴旗下蚂蚁金服宣布在杭州KFC首推“刷脸支付”服务。同月，以苹果公司为代表的数家手机厂商重磅推出具备人脸识别解锁功能的手机。苹果公司还宣称，人脸识别提供了比指纹更高的安全性。随即，不少媒体开始畅想人类即将进入刷脸时代，无论是开设银行账户、手机解锁、网络支付，还是打开小区门禁和自家房门，都将采用“刷脸”模式。
然而，在GeekPwn2017国际安全极客大赛上，一位黑客仅用时两分半就骗过了人脸识别系统。那么人脸识别安全性究竟怎么样呢？到底存在哪些安全风险？

文章插图

（黑客现场演示攻破人脸识别系统）
人脸识别用于网络支付存在风险
随着移动支付的兴起，指纹支付、虹膜支付、刷脸支付等生物特征支付方式层出不穷。特别是阿里和苹果这样的大公司先后推出人脸识别和刷脸支付这样的功能，使刷脸支付显得非常时髦。而且相对于输入密码的支付模式，刷脸支付也会更加便捷。
不过，正如便捷性和安全性不可兼得。由于黑客攻击和人类识别技术的局限性，就目前来说，刷脸支付其实是存在较大安全风险的。
首先，网络空间存在被黑客攻击的风险。在去年，德国纽伦堡大学发表了一篇face2face的论文，从技术上已经实现了远程用模拟他人人脸进行身份认证。也就是说，黑客根本不需要你的人脸生物特征数据，就可完成人脸进行身份认证。

文章插图

（依靠技术破解身份认证）
【刷脸比输密码安全？它的风险可比你想象得大】其次，高仿模型可以骗过人类识别安全系统。在刷脸支付的想法被提出时，就有人调侃：“整容了这么办？”“毁容了怎么办？”“双胞胎怎么办？”“人皮面具怎么办？” 。虽然这只是网友的调侃，但其中的风险是客观存在的。
在2016年，美国北卡罗来纳大学的技术团队依靠照片进行技术处理之后，建成了人脸3D模型，然后利用这个模型去测试人类识别系统。测试的结果让人惊骇：80%的人类3D模型骗过了系统的检测。也就是说，一旦犯罪分子使用高仿人脸3D模型，或者间谍电影中的人皮面具，那么，很可能将轻松骗过现在的人脸识别系统。

文章插图

（人脸3D模型）
总而言之，在开放的网络空间、银行开户和大额支付等高安全级别场景，不宜采用人脸识别技术进行认证，否则将引发系统性风险。
虹膜、指纹：不适用于高安全级别场景
其实，不仅是刷脸支付存在安全风险，指纹识别、虹膜识别这类生物特征识别技术也不适用于高安全级别场景。虽然很多手机、笔记本等电子设备已经采用了指纹识别或者是虹膜识别，但技术是否被大量应用与技术安全性的高低并无直接关系。
根据公安部第三研究所物联网技术研发中心主任梅林介绍：“我们注意到手机、笔记本等用指纹开锁，虽然方便，但是安全是有问题的......我们的公安部信息网络安全重点实验室仅用假体攻击就能轻易打开这些指纹锁” 。