首頁(yè) 民生服務(wù) 民生百問(wèn) 舉張照片也能成功刷臉?

舉張照片也能成功刷臉?

2022-01-25 11:11:43 中國(guó)消費(fèi)者報(bào)

圖一、二:人臉識(shí)別測(cè)試中,一位女性以男性照片騙過(guò)門(mén)禁卡。
■本報(bào)記者 武曉莉  

一位女性手拿一張打印的男性照片擋在自己臉前,對(duì)著某品牌人臉識(shí)別門(mén)禁打卡機(jī)打卡,居然成功地被識(shí)別為這位男員工——這是中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所(以下簡(jiǎn)稱(chēng)信通院云大所)測(cè)試團(tuán)隊(duì),在真實(shí)場(chǎng)景下進(jìn)行的一項(xiàng)人臉識(shí)別測(cè)試。
  很多人都覺(jué)得人臉識(shí)別非常方便,且潛意識(shí)里認(rèn)為人臉信息是唯一的、不可更改的,因此是最安全的。但在互聯(lián)網(wǎng)安全專(zhuān)家看來(lái),將人臉識(shí)別作為唯一且重要的安全密碼,是非常危險(xiǎn)的。越是重要的應(yīng)用,例如銀行卡、家庭門(mén)鎖等,用刷臉來(lái)做密碼,就越發(fā)不安全。
人臉識(shí)別技術(shù)良莠不齊  

拿起手機(jī)不到一秒鐘,就自動(dòng)解鎖;湊近智能門(mén)鎖,門(mén)就自動(dòng)開(kāi)了;使用銀行APP時(shí)抬起手機(jī),就能自動(dòng)登錄……如今,人們已經(jīng)對(duì)生活中隨處可見(jiàn)的人臉識(shí)別應(yīng)用習(xí)以為常。
  信通院云大所相關(guān)負(fù)責(zé)人對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),自2021年6月起,該所啟動(dòng)了對(duì)可信人臉識(shí)別評(píng)測(cè),上述以男性照片騙過(guò)門(mén)禁卡的實(shí)驗(yàn),就是測(cè)試項(xiàng)目之一。
  其實(shí),人們?cè)缇蛯?duì)刷臉技術(shù)的安全性產(chǎn)生了擔(dān)憂(yōu)。2019年10月,浙江嘉興上外秀洲外國(guó)語(yǔ)學(xué)校的同學(xué)們?cè)谝淮握n外科學(xué)實(shí)驗(yàn)中發(fā)現(xiàn),只要用一張打印照片就能代替真人刷臉,騙過(guò)小區(qū)的豐巢智能柜取出快遞件。當(dāng)時(shí)有媒體記者驗(yàn)證后發(fā)現(xiàn)確實(shí)如此。
  “像支付寶或者銀行的人臉識(shí)別系統(tǒng),應(yīng)該是屬于技術(shù)或安保程度比較高的,但也發(fā)生過(guò)問(wèn)題。曾有被告人用別人的人臉信息,輕易繞過(guò)支付寶的人臉認(rèn)證系統(tǒng),順利開(kāi)設(shè)了賬戶(hù),而被告人并不是什么高級(jí)黑客。”中國(guó)人民大學(xué)法學(xué)院教授、民商事法律科學(xué)研究中心執(zhí)行主任石佳友對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)。
  “說(shuō)實(shí)話(huà),人臉識(shí)別并沒(méi)有那么準(zhǔn)確和安全可靠?!笔延颜f(shuō),“從純技術(shù)角度看,人臉識(shí)別算法的品質(zhì)本身差異就會(huì)非常大;鏡頭所拍攝照片的質(zhì)量對(duì)匹配的精度也有顯著影響。此外,識(shí)別度有一個(gè)置信度閾值(Confidence thresholds),如果識(shí)別度過(guò)高,可能會(huì)導(dǎo)致更多的漏網(wǎng),識(shí)別度過(guò)低,又會(huì)誤識(shí)別一大片,準(zhǔn)確率又太低,這本身就是一個(gè)矛盾?!?br style="font-size: 18px; line-height: 1.8;">  據(jù)信通院云大所相關(guān)人士介紹,目前市場(chǎng)上人臉識(shí)別系統(tǒng)安全防護(hù)能力良莠不齊,一些人臉識(shí)別技術(shù)或產(chǎn)品存在明顯的安全漏洞,在當(dāng)前人臉識(shí)別技術(shù)廣泛應(yīng)用的背景下,給消費(fèi)者的人身財(cái)產(chǎn)安全帶來(lái)了極大的風(fēng)險(xiǎn)。
智能騙臉技術(shù)門(mén)檻低  

做過(guò)人臉識(shí)別錄入的用戶(hù)都知道,被采集者需要通過(guò)眨眼、轉(zhuǎn)頭、張嘴等動(dòng)作來(lái)配合采集“活體信息”。
  “一張照片用那種活化程序,普通人都能夠做到讓照片搖頭、眨眼睛?!鼻迦A大學(xué)法學(xué)院教授勞東燕對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“那種軟件技術(shù)層級(jí)比較低。”
  “過(guò)去人們常說(shuō)有圖有真相,但在智能換臉術(shù)面前,別說(shuō)圖了,連視頻都不可信。”奇安信集團(tuán)行業(yè)安全研究中心主任裴智勇博士對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),通過(guò)人工智能技術(shù),可以將一張普通的靜態(tài)照片(正面、側(cè)面均可),轉(zhuǎn)化生成一張表情生動(dòng)的人臉,甚至可以輕松地貼在另一個(gè)人的臉上,隨著另一個(gè)人的動(dòng)作和表情自動(dòng)變化。
  裴智勇說(shuō),以2017年左右的技術(shù)水平,已經(jīng)完全有能力騙過(guò)絕大多數(shù)人臉識(shí)別系統(tǒng),不過(guò)當(dāng)時(shí)能夠掌握這種技術(shù)的主要是人工智能專(zhuān)家。而隨著技術(shù)的成熟,各種軟件層出不窮,現(xiàn)如今這種“操作”普通人也能輕易做到。
  勞東燕認(rèn)為,雖然所有的個(gè)人信息泄露后都有風(fēng)險(xiǎn),但人臉識(shí)別技術(shù)有其特殊性。其他的個(gè)人信息可能需要結(jié)合另外一些個(gè)人信息,才能識(shí)別到具體的某個(gè)人,而人臉本身就具有單一的可識(shí)別性,即用人臉信息直接就可以識(shí)別到特定的個(gè)人,因此風(fēng)險(xiǎn)更大。
  “智能換臉的技術(shù)門(mén)檻比絕大多數(shù)人的想象要低得多,”裴智勇說(shuō),“我們既然可以通過(guò)滿(mǎn)大街的攝像頭輕易捕捉到動(dòng)態(tài)的人臉,那么用人工智能技術(shù)給這張臉換一套皮膚也不是什么難事。”
人臉信息不符合密碼規(guī)則  

“我個(gè)人是非常反對(duì)生物特征的人臉識(shí)別作為用戶(hù)的密碼,去訪(fǎng)問(wèn)一些重要服務(wù)的。”科大訊飛副總裁、大數(shù)據(jù)研究院院長(zhǎng)劉鵬對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“人臉作為密碼去訪(fǎng)問(wèn)服務(wù),除非是非常小額的支付,或者是無(wú)關(guān)緊要的一些登錄。從人臉識(shí)別的生物特征看,它是違反密碼基本原則的。密碼的基本原則之一,就是用戶(hù)可以隨時(shí)更改,而人臉改不了?!?br style="font-size: 18px; line-height: 1.8;">  劉鵬認(rèn)為,除了識(shí)別技術(shù)本身良莠不齊外,計(jì)算機(jī)的人臉生成技術(shù)如今已經(jīng)相當(dāng)成熟,因此,人臉信息作為密碼本身就有風(fēng)險(xiǎn)?!澳壳斑€沒(méi)有一個(gè)兜底的方案,來(lái)保證它的安全性。”
  劉鵬明確表示,“我非常支持《個(gè)人信息保護(hù)法》里把人臉識(shí)別這種生物信息,明確界定為用戶(hù)敏感信息?!?br style="font-size: 18px; line-height: 1.8;">  “人臉識(shí)別是一種非常方便的驗(yàn)證方式,隨身攜帶,不易丟失,但從網(wǎng)絡(luò)安全角度看,人臉識(shí)別不適合單獨(dú)使用或作為唯一的安全驗(yàn)證方式?!迸嶂怯乱渤滞瑯拥挠^點(diǎn)。他認(rèn)為,人臉信息一旦泄露,無(wú)法追回更無(wú)法“換臉”,這不僅會(huì)讓犯罪分子鉆空子,在各種場(chǎng)合冒用身份,還有可能因此泄露當(dāng)事人的行為軌跡及更多隱私信息。
  “人臉信息泄露之后,很難進(jìn)行有效補(bǔ)救?!眲跂|燕說(shuō),“手機(jī)信息泄露了,你可以選擇換一個(gè)手機(jī)號(hào);住址泄露了,你甚至還可能換一個(gè)住址。如果你的人臉泄露了,即便犯罪嫌疑人最終被抓到,但泄露了就是泄露了?!?br style="font-size: 18px; line-height: 1.8;">  “在安全工作者的眼里,人臉、指紋、聲紋、虹膜等生物識(shí)別技術(shù)所識(shí)別的生物特征,都是靜態(tài)的、可復(fù)制的信息,本質(zhì)上和一串復(fù)雜的字符口令沒(méi)什么區(qū)別,安全性也不會(huì)高到哪兒去,只是可以很方便地隨身‘?dāng)y帶’而已。”裴智勇表示,盡管有些公司聲稱(chēng)可以識(shí)別出真人和照片,那其實(shí)也不過(guò)是增加了信息復(fù)制或模仿的難度而已,并沒(méi)有從根本上改變生物特征可以被復(fù)制、且很容易被復(fù)制的本質(zhì)。
人臉信息應(yīng)用要設(shè)置前提  

“在遠(yuǎn)程身份認(rèn)證的場(chǎng)景下,幾乎所有的生物識(shí)別技術(shù)都不適合單獨(dú)使用?!迸嶂怯抡f(shuō),“刷臉雖方便,但并不是哪里都可以用。從純粹安全工作的視角來(lái)看,人臉信息用作身份認(rèn)證一定要結(jié)合應(yīng)用場(chǎng)景?!?br style="font-size: 18px; line-height: 1.8;">  他認(rèn)為,綁定設(shè)備本身既是一種使用場(chǎng)景限定,也是一種輔助驗(yàn)證方法。在如刷臉支付、手機(jī)驗(yàn)證等遠(yuǎn)程驗(yàn)證場(chǎng)景下,則需要配合手機(jī)綁定、短信驗(yàn)證碼、大數(shù)據(jù)驗(yàn)證等輔助手段進(jìn)行組合驗(yàn)證。如綁定手機(jī)支付,用自己的手機(jī)刷臉可以,用別人的手機(jī)就不行。從使用環(huán)境角度看,最好有人值守,如機(jī)場(chǎng)、火車(chē)站、小區(qū)、辦公樓等,有保安人工值守或監(jiān)控值守,可以一定程度上防止有人利用照片、假臉或數(shù)字仿真等方法欺騙識(shí)別系統(tǒng)。同時(shí),必須要配合必要的網(wǎng)絡(luò)安全保障措施,如身份管理、數(shù)據(jù)加密、威脅監(jiān)測(cè)、運(yùn)營(yíng)監(jiān)控等,以防系統(tǒng)被入侵、篡改和泄露。
  “配合其他安全措施共同使用,人臉識(shí)別完全可能做到既方便又能保障安全。”裴智勇解釋道,“比如刷臉支付,如果用戶(hù)裝有支付APP的手機(jī)原先一直在北京活動(dòng),某一天刷臉行為突然發(fā)生在廣西,支付系統(tǒng)就應(yīng)阻止驗(yàn)證被通過(guò),這就是大數(shù)據(jù)安全驗(yàn)證模型保障用戶(hù)賬戶(hù)安全的例子。支付機(jī)構(gòu)使用的輔助認(rèn)證技術(shù)還有很多,只不過(guò)對(duì)普通消費(fèi)者來(lái)說(shuō)是隱形的,不易被感知罷了?!?br style="font-size: 18px; line-height: 1.8;">●相關(guān)鏈接
新城億恒售樓處裝“人臉識(shí)別”系統(tǒng)被罰
  

電話(huà)、家庭住址、人臉信息等個(gè)人信息關(guān)乎消費(fèi)者人身及財(cái)產(chǎn)安全,但部分不法商家為了謀取不當(dāng)利益,非法搜集、買(mǎi)賣(mài)、使用消費(fèi)者個(gè)人信息,并利用大數(shù)據(jù)“殺熟”,嚴(yán)重侵害了消費(fèi)者的合法權(quán)益。近日,天津市市場(chǎng)監(jiān)管局公布一批侵害消費(fèi)者個(gè)人信息的違法案件。其中包括天津新城億恒房地產(chǎn)開(kāi)發(fā)有限公司侵害消費(fèi)者個(gè)人信息案。
  2021年7月至8月,當(dāng)事人在其營(yíng)業(yè)場(chǎng)所新城泊閱項(xiàng)目售樓處安裝人臉識(shí)別攝像系統(tǒng),其間,當(dāng)事人未經(jīng)消費(fèi)者同意共采集消費(fèi)者人臉信息907條,并對(duì)其中的89條人臉信息進(jìn)行比對(duì)使用。該公司收集并使用消費(fèi)者人臉信息時(shí),未取得消費(fèi)者同意。
  當(dāng)事人的上述行為,違反了《消費(fèi)者權(quán)益保護(hù)法》第二十九條第一款規(guī)定,被處以罰款5萬(wàn)元。(萬(wàn)曉東)

責(zé)編:康玉潔

來(lái)源:中國(guó)消費(fèi)者報(bào)

返回頂部