如今
人们已经对生活中
随处可见的人脸识别应用习以为常
但在互联网安全专家看来
人脸识别作为唯一且重要的安全密码
是非常危险的
越是重要的应用
例如银行卡、家庭门锁等
用刷脸来做密码,就越发不安全
01
人脸识别技术良莠不齐
准确和安全并没有那么可靠
一位女性手拿一张打印的男性照片挡在自己脸前,对着某品牌人脸识别门禁打卡机打卡,居然成功地被识别为这位男员工——这是中国信息通信研究院云计算与大数据研究所(以下简称信通院云大所)测试团队,在真实场景下进行的一项人脸识别测试。
人脸识别测试中,一位女性以男性照片骗过门禁卡
信通院云大所相关负责人对《中国消费者报》记者说,自2021年6月起,该所启动了对可信人脸识别评测,上述以男性照片骗过门禁卡的实验,就是测试项目之一。
其实,人们早就对刷脸技术的安全性产生了担忧。一张打印照片就能代替真人刷脸,骗过小区的丰巢智能柜取出快递件;有被告人用别人的人脸信息,轻易绕过支付宝的人脸认证系统,顺利开设了账户,而被告人并不是什么高级黑客。
中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友对《中国消费者报》记者说:
“说实话,人脸识别并没有那么准确和安全可靠。纯技术角度看,人脸识别算法的品质本身差异就会非常大;镜头所拍摄照片的质量对匹配的精度也有显著影响。此外,识别度有一个置信度阈值(Confidence thresholds),如果识别度过高,可能会导致更多的漏网,识别度过低,又会误识别一大片,准确率又太低,这本身就是一个矛盾。”
据信通院云大所相关人士介绍,目前市场上人脸识别系统安全防护能力良莠不齐,一些人脸识别技术或产品存在明显的安全漏洞,在当前人脸识别技术广泛应用的背景下,给消费者的人身财产安全带来了极大的风险。
02
智能换脸技术门槛低
人脸识别不适合作为
唯一的安全验证方式
做过人脸识别录入的用户都知道,被采集者需要通过眨眼、转头、张嘴等动作来配合采集“活体信息”。清华大学法学院教授劳东燕对《中国消费者报》记者说,“那种软件技术层级比较低。”劳东燕认为,虽然所有的个人信息泄露后都有风险,但人脸本身具有单一的可识别性,即用人脸信息直接就可以识别到特定的个人,因此风险更大。
奇安信集团行业安全研究中心主任裴智勇博士对《中国消费者报》记者说:
智能换脸术可以通过人工智能技术,将一张普通的静态照片(正面、侧面均可),转化生成一张表情生动的人脸,甚至可以轻松地贴在另一个人的脸上,随着另一个人的动作和表情自动变化。如今,随着技术的成熟,各种软件层出不穷,现如今这种“操作”普通人也能轻易做到。尽管有些公司声称可以识别出真人和照片,那其实也不过是增加了信息复制或模仿的难度而已,并没有从根本上改变生物特征可以被复制、且很容易被复制的本质。因此人脸识别不适合单独使用或作为唯一的安全验证方式。从纯粹安全工作的视角来看,人脸信息用作身份认证一定要结合应用场景。
03
人脸信息不符合密码规则
没有兜底方案来保证安全性
科大讯飞副总裁、大数据研究院院长刘鹏对《中国消费者报》记者说:
“我个人是非常反对生物特征的人脸识别作为用户的密码,去访问一些重要服务的。从人脸识别的生物特征看,它是违反密码基本原则的。密码的基本原则之一,就是用户可以随时更改,而人脸改不了。”
刘鹏认为,除了识别技术本身良莠不齐外,计算机的人脸生成技术如今已经相当成熟,因此,人脸信息作为密码本身就有风险。“目前还没有一个兜底的方案,来保证它的安全性。”
刘鹏明确表示,“我非常支持《个人信息保护法》里把人脸识别这种生物信息,明确界定为用户敏感信息。