刷脸支付是依据的人脸识别系统,目前,人脸识别技术也原来越完善,只要数据库没有被盗取,刷脸在一定环境是安全的。#p#尽管科技发达,但也没有一项识别技术敢保证绝对安
刷脸支付目前是非常安全的。
从名字上看,刷脸支付好像很简单,和照张照片相似。就像使用扫码支付时需要输入支付密码一样,刷脸支付也是个验证个人身份的过程,只不过验证的对象从密码变成了面容。所谓刷脸支付,本质上依然是一种身份认证技术,目的是为了证明你的确是你所声称的那个人。
所有的身份认证技术,基本原理都是一样的。首先,先存储某些能表现你的特征的内容;然后,在每次需要验证你身份的时候,要求你提供这些内容,和之前存储的内容相对比。如果对比通过,就能证明你的身份。
无论密码还是指纹验证,使用的都是同一套逻辑。刷脸自然也不例外,只是,刷脸所面临的问题会更多、更复杂一些。
我们很容易被电影中的场景误导,以为识别人脸时会直接存储用户的照片。但是实际上,用户的照片在采集后就会被转化很多次,最终变成很长的一串数字。这串数字中就记载了用户面部的特征,当然,我们是无法从中直接看出些什么的。在认证身份时所进行的对比,也不是直接对比脸部照片,而是在经过大量运算后,对比生成的数字和以前存储的数字之间在多大程度上相同。
最早的人脸识别技术,可以追溯到上世纪六七十年代。经过几十年的发展,特别是近年来人工智能领域的进展,这个领域已经有了长足的发展,已经出现在智能手机中——我们在用手机拍照时,往往会发现人脸周围有个小方框。这就是人脸识别的基础用法。
当然,在支付时使用的人脸识别技术,要比拍照时用的那种技术更复杂得多。刷脸支付要考虑多种情况,例如光线情况、人脸是否正对摄像头、拍摄区域内是否有多个人,以及衣物遮挡、化妆、眼镜甚至是整容等等情况,还要考虑摄像头前的人脸是否是照片、是否是活人等等。
要解决这些复杂情况,就需要硬件和软件两方面的协同工作。在硬件方面,刷脸支付机器需要能够识别人脸的细微特征,能够识别出人脸的三维结构,还要能够不受光线明暗变化的干扰。而在软件方面,则需要提高识别的准确率,同时降低误识率。
按照支付宝的说法,刷脸支付可以达到金融级的安全,即使是最相像的同卵双胞胎,也能被区别开来。
和人眼相比,摄像头能够看到更多细节。容易被人眼忽视的细节,例如眼角的皱纹痕迹,或者眼白上的细小血管,也都会被摄像头忠实记录下来。配合现在已经成熟的3D结构光(iPhone的人脸识别使用的就是这种技术)和红外线镜头,刷脸支付设备能够分清摄像头前的是真人还是照片,也能分清长相相似的不同用户。
人脸识别还需要大量的数据量来训练,也需要高效精准的算法,而这对现在的刷脸识别厂商来说也不是什么难事。无论是支付宝还是微信,都是有着数亿级别用户的国民App,而且已经有了几亿组人脸数据。在这样大的数据量上训练人工智能算法,能够达到很高的精确度。我们可以认为,当支付宝和微信开始生产刷脸支付设备时,他们就已经认可了这种技术的安全性。
而且,刷脸支付也还有其他的安全手段。典型的刷脸支付流程是这样的:在商家第一次使用的时候,当收银员输入金额后,用户点击刷脸支付设备屏幕上的支付按钮时,还需要输入手机号的一部分作为辅助验证手段。再多用几次的话,输入手机号的过程也可以省略,只凭刷脸就能完成付款。
在这个流程里,其实经历了好几次数据传递过程。在第一次刷脸支付的时候,刷脸设备拍摄了你的照片,提取出特征码去和支付宝数据库中的识别码对比,来判断你的身份。为了更安全,还要加上手机号码来做另一次确认。随后你的面部识别数据就会存储在商家的计算机中,以后再来消费时,就直接和商家存储的特征码对比。显然,在一个商家覆盖范围内的数千或者数万组人脸数据中查询,要比在支付宝的数据库中查询更快,结果也会更精准。
同样从这个流程中我们可以看出,刷脸支付和扫码支付不一样,它不是用户单方就能完成的行为,而需要收银员和用户的配合。所以不用担心走到刷脸设备摄像头前就会被扣钱,也不用担心替别人埋了单。至于用照片蒙混过关这种事,早就已经行不通了。
除了对盗刷的担心外,人们最容易担心的就是人脸数据的泄露问题。如果某个公司的人脸数据库泄露了,是否就意味着拿到这些数据的黑客可以为所欲为大肆刷脸了呢?
这种担心也同样是不必要的。我们之前说过,在数据库中存储的,往往是一长串复杂的数字,这是从脸部信息中提取出来的识别码。只拿这种识别码去给刷脸支付设备看,是不会得到什么结果的;而在识别码提取过程中,已经处理掉了大量的数据,只有识别码也无法反推出人脸的样子,自然也不会被刷脸支付设备识别。
尽管科技发达,但也没有一项识别技术敢保证绝对安全。其中也包括刷脸技术,会受很多因素影响出现误判。所以只能说在一定情况下是安全的。
刷脸支付是依据的人脸识别系统,目前,人脸识别技术也原来越完善,只要数据库没有被盗取,刷脸在一定环境是安全的。
不太安全。
随着技术的进步,生活中的“刷脸”应用也越来越常见。手机支付、高铁站安检、入住宾馆或是上班打卡,“刷脸”已经不算新鲜,甚至在商场购物时,衣帽间前刷一刷脸,AI(人工智能)导购就能根据用户画像向你精准推荐个性化的服饰搭配。
然而,这些新技术应用在给人们生活带来便利的同时,也引发了一些信息采集与安全性方面的担忧。尤其是在“刷脸”过程中,用户的姓名、性别、年龄、职业,甚至用户在不同情境状态下的情绪等大量信息都被采集并储存。
这些信息如果得不到妥善保管而被泄露,用户个人隐私就有可能处于“裸奔”状态。在人脸识别技术蓬勃发展、行业应用方兴未艾的当下,必须未雨绸缪、多管齐下,充分重视并保障用户的个人信息安全。
扩展资料:
保障刷脸安全:加强核查监管,加大对数据滥用等行为的惩戒力度
2017年7月,国务院印发《新一代人工智能发展规划》(以下简称《规划》)。《规划》强调,促进人工智能行业和企业自律,切实加强管理,加大对数据滥用、侵犯个人隐私、违背道德伦理等行为的惩戒力度。
“虽然‘刷脸’的应用越来越多,但人工智能目前仍处于起步阶段,需加大对数据和隐私的保护力度,关注和防范由算法滥用所导致的决策失误和社会不公。”
在个人数据权利的保护方面,应促使数据交易各方对自己的行为负责,让每个人知道自己的数据如何被处理,特别是用于其他用途的情形,减少数据滥用,让人们清楚知道自己的“脸”还是否安全。
参考资料来源:人民网—让刷脸更安全
参考资料来源:人民网—“刷脸”会不会刷走安全
9月13日凌晨,苹果发布新品iPhone X,新功能“Face ID”尤为引人瞩目。以后,无论是解锁iPhone X还是用其进行支付,用户只要看一眼手机就可以了。
此前,中国农业银行已在贵州省贵阳市两台自助取款机上线“刷脸取款”,用户站在ATM机前,看一眼摄像头,再输入手机号、取款金额、密码,ATM机自动吐钞,用户取走现金。据悉,该功能将在贵阳进行大面积覆盖,今年年底在贵州实现全省覆盖。此外,招商银行也于2016年在全国106个城市近千台ATM机上实现了“刷脸”取款。
不仅如此,多所高校在今年9月入学季尝试了“刷脸”注册;肯德基有餐厅上线了“刷脸”支付;“京东之家”有门店实现了“人即钱包”;甚至有公厕用上了人脸识别厕纸机,靠脸取纸巾;更别说银行的“刷脸”转账了。
一大波“刷脸”场景出现,当不少人沉浸在“人脸识别”的惊喜中时,也有人发出疑问:“刷脸”安全吗?
“刷脸”的时代说来就来。
最近一段时间,“人脸识别”技术在各地应用的新闻屡见不鲜。继北京天坛公园安装“人脸识别”厕纸机后,8月31日,广西壮族自治区南宁市一家公园也采用了“人脸识别”厕纸机;9月7日,江苏省徐州市一家公共厕所同样装上了“人脸识别”厕纸机。北京市住建委9月8日表示,为解决保障房违规转租转借现象,继去年在海淀区金隅翡丽小区推行“人脸识别”门禁系统试点基础上,今年进一步在全市所有公租房小区推广。北京、武汉等地的火车站也开始启用“刷脸进站”设备。
记者在网上搜索发现,目前在门禁、考勤等方面应用“人脸识别”技术已经十分广泛。然而,任何新技术都可能是双刃剑。“黑科技”在带来更多惊喜和便利的同时,其潜藏的安全隐患也不容忽视。
尴尬的使用体验
9月18日14时,记者来到北京市通州万达广场的京东之家体验“刷脸”支付。记者选中商品后来到支付柜台,店员优先推荐扫码支付。在记者表明要体验“刷脸”支付后,店员劝道:“这个技术还不太成熟,步骤比较繁琐,我们自己试了很多次,都不成功。之前也有顾客来尝试,没有支付成功。”记者执意表示愿意尝试后,店员才指导记者通过京东App扫码开通了“刷脸”支付功能,但是最终卡在了支付页面,无法付款。店员的电脑端也显示记者没有支付成功。记者随后多次退出App程序,尝试重启进入该功能,但都失败了。
店员无奈地对记者说:“之前京东相关人员也来看过这个情况,但还是没办法成功‘刷脸’支付。今天人比较少,我们可以一直等您‘刷脸’支付,要是人多的时候,一直不能支付成功的话,后面的顾客就烦了。”最后,记者只得选择常规的扫码支付方式才完成此次购买。
同样作为使用者的北京师范大学大四学生墨桑(化名),对于“刷脸”的使用感受也是一言难尽。
今年秋季学期,北京师范大学在学生公寓换装了新的门禁系统,“人脸识别”代替了之前的刷卡识别。更换识别系统后,学生进入公寓需要对着摄像头采集图像,然后刷自己的学生卡,匹配之后才能进入学生公寓。学生如果忘记带学生卡,可以输入学号的后四位,匹配成功也可以进入公寓。
墨桑对《法制日报》记者说:“说是化妆或者戴眼镜都不会有影响,但是戴眼镜的话,在录入时要对戴眼镜和不戴眼镜的图像各录入一遍,传说‘亲妈都认不出来的时候,机器还能认出来’。”
在墨桑看来,如果正常识别,速度还是挺快的,但并非每次都如愿。“如果学生卡、学号都不能够与图像识别系统匹配,还有最后一招,就是对着那个机器大声喊出自己的名字。第三种开启方式让我们很尴尬,虽然这种情况不多,但是已经出现了”。
目前,北京师范大学的学生公寓有两道门禁,第一道大门是“人脸识别”,第二道门类似地铁站进出闸机,是刷卡识别加宿管阿姨辨别。墨桑说:“‘人脸识别’听起来比以前安全很多,但是一个同学通过‘人脸识别’打开大门后,后面的人和以前一样,依然可以不通过识别直接跟着进入。尴尬的是,在以前使用刷卡识别时,如果忘记带学生卡,第二道门无法刷卡进入,需要到宿管阿姨那里登记才能够进入。现在,因为有了外面的‘人脸识别’,所以宿管阿姨管的就很宽松,只要从第一道门禁进来了,宿管阿姨直接按第二道门禁的按钮放行,不需要刷卡。不知道是不是每栋楼都一样,这样其实加大了外人混入公寓的风险。”
在便捷性上,墨桑说:“识别系统本来就只是为了提高安全性的,不是为了更方便。虽然没有做过调查,但是听同学说安全性反而降低了,而且现在出公寓也要刷卡,谈不上便利。也许以后会改进,一次只放一个人进入,不过这也太麻烦了。”
“我同学普遍觉得这个系统很鸡肋,我现在觉得弊大于利,可能因为刚开始不太适应,说不定以后会改进。”墨桑说。
杂乱的产品市场
和国外的“人脸识别”技术多应用于安防领域不同,在我国,“人脸识别”技术主要应用于企业的考勤门禁、物业小区的安全防护和金融领域的开户认证等,其中金融领域的应用占比较多。不过,目前比较常见的“人脸识别”技术主要出现在考勤机等应用上。
记者以购买者的身份采访了北京市一家专业从事“人脸识别”设备销售的企业,并现场测试了一台集“门禁”“考勤”为一体的多功能考勤机。
在现场,记者首先进行人脸照片录入,主要对人脸的眼眶、鼻区以及嘴部三块区域进行图像采集。录入之后,记者站在机器前进行识别,只要一进入摄像头可照范围之内立即就被识别成功。不过,记者摘下眼镜或者更换眼镜以及调整眼镜佩戴角度后,考勤机无法识别成功。此外,用照片比对,该设备依然无法识别。
据工作人员介绍,目前“人脸识别”考勤机的价位从数百元到上万元不等,价格越高,识别的精确度越高。记者测试的这款产品是最畅销的千元机,只要脸部采集到的数据能吻合到六成以上,便能认定是同一人。不过相对而言,由于采集时拍摄下来的一些特征相对单一,所以精确度也会受到影响。
记者还在淘宝通过搜索“人脸识别考勤”联系上一家卖“人脸识别”考勤机的店铺,并反复询问客服人员是否可以通过人脸的照片或者人脸视频进行打卡,客服都回答说不可以。在该商品的问答区,也有网友询问是否可以用手机上的照片或者视频代替打卡,有一个购买过该考勤机的网友回答说自己试了,发现不可以。
记者随后搜索“人脸识别锁”,发现这类商品品牌繁多。记者联系了销售量排名靠前的一家商铺。在演示视频中,记者看到,演示者利用人脸的照片和视频尝试多次都无法开锁。商家承诺称,如果用户在使用过程中发现可以用照片打开,他们会赔偿1万元。在商品的问答区,已经购买的网友也表示自己尝试用照片开锁,但没有成功。记者询问客服人员,这个“人脸识别”锁的原理和苹果新发布的iPhone X手机的Face ID是否相同?客服人员称,他们的锁“采用面部3D骨骼识别技术,红外扫描面部轮廓,化妆、灯光明暗、胖瘦等不会影响识别,可以开锁。‘人脸识别’系统是取脸上很多个点,计算各个部位的点的距离。这个算法与是否化妆没有关系,不影响识别。而且,在灯光暗的情况下也能识别,因为‘人脸识别’锁有两个带有夜视功能的红外探头,只要把脸和手掌显示在屏幕框内,照样可以识别开门。小朋友身高达到1.3米的都可以‘刷脸’”。客服人员说,“照片绝对打开不了这把锁,此锁采用是3D骨骼识别技术,戴眼镜的朋友请戴着眼镜录脸。化浓妆、发型,都能准确识别。另外,如果脸部整形动了脸部三分之二的,就有可能识别不了,需要重新录入。”
那么,使用3D仿真面具是否可以骗过“人脸识别”系统呢?对此问题,客服人员没有正面回答。
在问答平台“知乎”上,一位网友回答了“目前人脸识别技术最大的挑战是什么”这一问题,其答案获得最高赞。这位网友告诉记者,淘宝上卖的“人脸识别”锁不能保证绝对安全。记者询问这种产品是否有可能被3D仿真面具欺骗?这位网友说,这种情况可能发生。
记者随后在淘宝上搜索“3D面具”“乳胶面具”,发现这种产品也有不少,有的面具不仅改变了容貌,而且改变了脸部的骨骼结构,戴上之后多有以假乱真的效果。
被破解的“人脸识别”
尽管“人脸识别”产品的客服人员声称一般不易被破解,但现实生活中已然出现了破解实例。
破解“人脸识别”的实例,要从一次网约车经历说起。
一名市民通过网约车App下单。很快,车到了,但车辆、司机的信息均与手机客户端上显示的信息不符。为了赶紧回家,这名市民也顾不上太多,就直接上车了。结果,车开出去不到一分钟,司机就扭头对这名市民说要取消订单。尽管这名市民一再拒绝,但司机还是坚持把她送回原处,让她重新打出租车。
没有办法,这名市民只能再次用这款网约车软件叫车,结果发现来接他的还是那名司机。司机说:“你要么就打个出租车回去,只要你还用这个软件约车,叫到的还是我的车。”
这名市民当时就纳闷了,为什么会这样?一番打听后,这名市民才知道,附近有一个由30多名“黑车”司机组成的车队,每名司机都有一堆虚假的司机账号,上百个虚假账号由同一个人来统一接单,然后通过电台调度车辆去接人。因此,不管用户打到哪个号,都会调同一名司机去接人。
了解到这些内情,这名市民更加不解,“这个网约车App上明明使用了‘人脸识别’功能来验证司机信息,为什么这些司机可以使用虚假账号”?经过一番软磨硬泡,那名司机终于透露,“人脸识别”听起来很厉害,但是他们有软件可以轻易破解。
没错,“高大上”的“人脸识别”技术就这样被一群“黑车”师傅给黑了。
以上故事是在Freebuf(国内关注度最高的全球互联网安全媒体平台)主办的FIT2017互联网安全创新大会上,平安科技安全研究员高亭宇在一场“关于人脸识别技术应用风险”主题演讲中的一段描述。
说完这个故事,高亭宇现场展示了那名司机用来破解“人脸识别”技术的软件——一款可以让照片“张口说话”的App。
高亭宇说,从那之后,他开始琢磨“人脸识别”技术在实际应用层面的风险,并调研了市面上使用“人脸识别”技术的软件,最后的结果出乎自己的预料。
通过分析,高亭宇发现,市面上大部分使用了“人脸识别”技术的软件,其识别流程大致相同:检测人脸→活体检测→人脸对比(和之前上传的自拍照或证件照)→分析对比结果→返回结果(通过或不通过)。
据了解,其中“活体检测”技术即在“人脸识别”时要求用户进行眨眼、点头、张嘴等动作,以防止静态图像破解,国内多个知名App中的“人脸识别”都采用了这项技术。
高亭宇说,一般的App开发者不会自己开发“人脸识别”技术,而是通过第三方的API接口或SDK组件来获得“人脸识别”功能,基于这个特点,他对“人脸识别”技术从接入到实际使用过程中的每个关键点进行了分析,最终在多个环节都找到了多个突破点,只要略施小计,就能让“人脸识别”形同虚设。比如,注入应用绕过活体检测,也就是通过注入应用的方式来篡改程序,从而绕过所谓的活体检测功能,使用一张静态照片就可以通过人脸识别。
在采访过程中,甚至有业内人士这样表示,“不是3D打印不行,如果用一台精密的打印机,破解‘人脸识别’同样不在话下”。
“除了一般的考勤、账号安全App之外,大量的银行、P2P金融企业的App已经介入使用了‘人脸识别’技术,其中金融行业在使用‘人脸识别’技术时的安全性明显高于一般应用;当‘人脸识别’技术涉及关键业务时,安全防护水准往往更高。”高亭宇说,比如他在测试国内某P2P金融的客户端时,尝试“人脸识别”解锁失败数次后,该App 就检测出了可能存在恶意破解的情况,强制使用银行卡信息、手机短信等其他方式来完成认证。
高亭宇在现场强调了一点,除了“人脸识别”技术在手机上的应用缺陷之外,许多问题导致的原因都是开发者在调用第三方“人脸识别”服务时,没有严格按照一个安全的规范来做,接入流程不够严谨,甚至经常出现为了提高用户体验而舍弃安全性的做法,这样的做法在技术实力不强的小公司十分常见,最终导致的结果就是,让用户把密码写在了自己的脸上。
最多设置5个标签!
刷脸支付目前是非常安全的。
从名字上看,刷脸支付好像很简单,和照张照片相似。就像使用扫码支付时需要输入支付密码一样,刷脸支付也是个验证个人身份的过程,只不过验证的对象从密码变成了面容。所谓刷脸支付,本质上依然是一种身份认证技术,目的是为了证明你的确是你所声称的那个人。
所有的身份认证技术,基本原理都是一样的。首先,先存储某些能表现你的特征的内容;然后,在每次需要验证你身份的时候,要求你提供这些内容,和之前存储的内容相对比。如果对比通过,就能证明你的身份。
无论密码还是指纹验证,使用的都是同一套逻辑。刷脸自然也不例外,只是,刷脸所面临的问题会更多、更复杂一些。
我们很容易被电影中的场景误导,以为识别人脸时会直接存储用户的照片。但是实际上,用户的照片在采集后就会被转化很多次,最终变成很长的一串数字。这串数字中就记载了用户面部的特征,当然,我们是无法从中直接看出些什么的。在认证身份时所进行的对比,也不是直接对比脸部照片,而是在经过大量运算后,对比生成的数字和以前存储的数字之间在多大程度上相同。
最早的人脸识别技术,可以追溯到上世纪六七十年代。经过几十年的发展,特别是近年来人工智能领域的进展,这个领域已经有了长足的发展,已经出现在智能手机中——我们在用手机拍照时,往往会发现人脸周围有个小方框。这就是人脸识别的基础用法。
当然,在支付时使用的人脸识别技术,要比拍照时用的那种技术更复杂得多。刷脸支付要考虑多种情况,例如光线情况、人脸是否正对摄像头、拍摄区域内是否有多个人,以及衣物遮挡、化妆、眼镜甚至是整容等等情况,还要考虑摄像头前的人脸是否是照片、是否是活人等等。
要解决这些复杂情况,就需要硬件和软件两方面的协同工作。在硬件方面,刷脸支付机器需要能够识别人脸的细微特征,能够识别出人脸的三维结构,还要能够不受光线明暗变化的干扰。而在软件方面,则需要提高识别的准确率,同时降低误识率。
按照支付宝的说法,刷脸支付可以达到金融级的安全,即使是最相像的同卵双胞胎,也能被区别开来。
刷脸支付的安全性有保障吗?和人眼相比,摄像头能够看到更多细节。容易被人眼忽视的细节,例如眼角的皱纹痕迹,或者眼白上的细小血管,也都会被摄像头忠实记录下来。配合现在已经成熟的3D结构光(iPhone的人脸识别使用的就是这种技术)和红外线镜头,刷脸支付设备能够分清摄像头前的是真人还是照片,也能分清长相相似的不同用户。
人脸识别还需要大量的数据量来训练,也需要高效精准的算法,而这对现在的刷脸识别厂商来说也不是什么难事。无论是支付宝还是微信,都是有着数亿级别用户的国民App,而且已经有了几亿组人脸数据。在这样大的数据量上训练人工智能算法,能够达到很高的精确度。我们可以认为,当支付宝和微信开始生产刷脸支付设备时,他们就已经认可了这种技术的安全性。
而且,刷脸支付也还有其他的安全手段。典型的刷脸支付流程是这样的:在商家第一次使用的时候,当收银员输入金额后,用户点击刷脸支付设备屏幕上的支付按钮时,还需要输入手机号的一部分作为辅助验证手段。再多用几次的话,输入手机号的过程也可以省略,只凭刷脸就能完成付款。
在这个流程里,其实经历了好几次数据传递过程。在第一次刷脸支付的时候,刷脸设备拍摄了你的照片,提取出特征码去和支付宝数据库中的识别码对比,来判断你的身份。为了更安全,还要加上手机号码来做另一次确认。随后你的面部识别数据就会存储在商家的计算机中,以后再来消费时,就直接和商家存储的特征码对比。显然,在一个商家覆盖范围内的数千或者数万组人脸数据中查询,要比在支付宝的数据库中查询更快,结果也会更精准。
同样从这个流程中我们可以看出,刷脸支付和扫码支付不一样,它不是用户单方就能完成的行为,而需要收银员和用户的配合。所以不用担心走到刷脸设备摄像头前就会被扣钱,也不用担心替别人埋了单。至于用照片蒙混过关这种事,早就已经行不通了。
除了对盗刷的担心外,人们最容易担心的就是人脸数据的泄露问题。如果某个公司的人脸数据库泄露了,是否就意味着拿到这些数据的黑客可以为所欲为大肆刷脸了呢?
这种担心也同样是不必要的。我们之前说过,在数据库中存储的,往往是一长串复杂的数字,这是从脸部信息中提取出来的识别码。只拿这种识别码去给刷脸支付设备看,是不会得到什么结果的;而在识别码提取过程中,已经处理掉了大量的数据,只有识别码也无法反推出人脸的样子,自然也不会被刷脸支付设备识别。
尽管科技发达,但也没有一项识别技术敢保证绝对安全。其中也包括刷脸技术,会受很多因素影响出现误判。所以只能说在一定情况下是安全的。
刷脸支付是依据的人脸识别系统,目前,人脸识别技术也原来越完善,只要数据库没有被盗取,刷脸在一定环境是安全的。
不太安全。
随着技术的进步,生活中的“刷脸”应用也越来越常见。手机支付、高铁站安检、入住宾馆或是上班打卡,“刷脸”已经不算新鲜,甚至在商场购物时,衣帽间前刷一刷脸,AI(人工智能)导购就能根据用户画像向你精准推荐个性化的服饰搭配。
然而,这些新技术应用在给人们生活带来便利的同时,也引发了一些信息采集与安全性方面的担忧。尤其是在“刷脸”过程中,用户的姓名、性别、年龄、职业,甚至用户在不同情境状态下的情绪等大量信息都被采集并储存。
这些信息如果得不到妥善保管而被泄露,用户个人隐私就有可能处于“裸奔”状态。在人脸识别技术蓬勃发展、行业应用方兴未艾的当下,必须未雨绸缪、多管齐下,充分重视并保障用户的个人信息安全。
扩展资料:
保障刷脸安全:加强核查监管,加大对数据滥用等行为的惩戒力度
2017年7月,国务院印发《新一代人工智能发展规划》(以下简称《规划》)。《规划》强调,促进人工智能行业和企业自律,切实加强管理,加大对数据滥用、侵犯个人隐私、违背道德伦理等行为的惩戒力度。
“虽然‘刷脸’的应用越来越多,但人工智能目前仍处于起步阶段,需加大对数据和隐私的保护力度,关注和防范由算法滥用所导致的决策失误和社会不公。”
在个人数据权利的保护方面,应促使数据交易各方对自己的行为负责,让每个人知道自己的数据如何被处理,特别是用于其他用途的情形,减少数据滥用,让人们清楚知道自己的“脸”还是否安全。
参考资料来源:人民网—让刷脸更安全
参考资料来源:人民网—“刷脸”会不会刷走安全
9月13日凌晨,苹果发布新品iPhone X,新功能“Face ID”尤为引人瞩目。以后,无论是解锁iPhone X还是用其进行支付,用户只要看一眼手机就可以了。
此前,中国农业银行已在贵州省贵阳市两台自助取款机上线“刷脸取款”,用户站在ATM机前,看一眼摄像头,再输入手机号、取款金额、密码,ATM机自动吐钞,用户取走现金。据悉,该功能将在贵阳进行大面积覆盖,今年年底在贵州实现全省覆盖。此外,招商银行也于2016年在全国106个城市近千台ATM机上实现了“刷脸”取款。
不仅如此,多所高校在今年9月入学季尝试了“刷脸”注册;肯德基有餐厅上线了“刷脸”支付;“京东之家”有门店实现了“人即钱包”;甚至有公厕用上了人脸识别厕纸机,靠脸取纸巾;更别说银行的“刷脸”转账了。
一大波“刷脸”场景出现,当不少人沉浸在“人脸识别”的惊喜中时,也有人发出疑问:“刷脸”安全吗?
“刷脸”的时代说来就来。
最近一段时间,“人脸识别”技术在各地应用的新闻屡见不鲜。继北京天坛公园安装“人脸识别”厕纸机后,8月31日,广西壮族自治区南宁市一家公园也采用了“人脸识别”厕纸机;9月7日,江苏省徐州市一家公共厕所同样装上了“人脸识别”厕纸机。北京市住建委9月8日表示,为解决保障房违规转租转借现象,继去年在海淀区金隅翡丽小区推行“人脸识别”门禁系统试点基础上,今年进一步在全市所有公租房小区推广。北京、武汉等地的火车站也开始启用“刷脸进站”设备。
记者在网上搜索发现,目前在门禁、考勤等方面应用“人脸识别”技术已经十分广泛。然而,任何新技术都可能是双刃剑。“黑科技”在带来更多惊喜和便利的同时,其潜藏的安全隐患也不容忽视。
尴尬的使用体验
9月18日14时,记者来到北京市通州万达广场的京东之家体验“刷脸”支付。记者选中商品后来到支付柜台,店员优先推荐扫码支付。在记者表明要体验“刷脸”支付后,店员劝道:“这个技术还不太成熟,步骤比较繁琐,我们自己试了很多次,都不成功。之前也有顾客来尝试,没有支付成功。”记者执意表示愿意尝试后,店员才指导记者通过京东App扫码开通了“刷脸”支付功能,但是最终卡在了支付页面,无法付款。店员的电脑端也显示记者没有支付成功。记者随后多次退出App程序,尝试重启进入该功能,但都失败了。
店员无奈地对记者说:“之前京东相关人员也来看过这个情况,但还是没办法成功‘刷脸’支付。今天人比较少,我们可以一直等您‘刷脸’支付,要是人多的时候,一直不能支付成功的话,后面的顾客就烦了。”最后,记者只得选择常规的扫码支付方式才完成此次购买。
同样作为使用者的北京师范大学大四学生墨桑(化名),对于“刷脸”的使用感受也是一言难尽。
今年秋季学期,北京师范大学在学生公寓换装了新的门禁系统,“人脸识别”代替了之前的刷卡识别。更换识别系统后,学生进入公寓需要对着摄像头采集图像,然后刷自己的学生卡,匹配之后才能进入学生公寓。学生如果忘记带学生卡,可以输入学号的后四位,匹配成功也可以进入公寓。
墨桑对《法制日报》记者说:“说是化妆或者戴眼镜都不会有影响,但是戴眼镜的话,在录入时要对戴眼镜和不戴眼镜的图像各录入一遍,传说‘亲妈都认不出来的时候,机器还能认出来’。”
在墨桑看来,如果正常识别,速度还是挺快的,但并非每次都如愿。“如果学生卡、学号都不能够与图像识别系统匹配,还有最后一招,就是对着那个机器大声喊出自己的名字。第三种开启方式让我们很尴尬,虽然这种情况不多,但是已经出现了”。
目前,北京师范大学的学生公寓有两道门禁,第一道大门是“人脸识别”,第二道门类似地铁站进出闸机,是刷卡识别加宿管阿姨辨别。墨桑说:“‘人脸识别’听起来比以前安全很多,但是一个同学通过‘人脸识别’打开大门后,后面的人和以前一样,依然可以不通过识别直接跟着进入。尴尬的是,在以前使用刷卡识别时,如果忘记带学生卡,第二道门无法刷卡进入,需要到宿管阿姨那里登记才能够进入。现在,因为有了外面的‘人脸识别’,所以宿管阿姨管的就很宽松,只要从第一道门禁进来了,宿管阿姨直接按第二道门禁的按钮放行,不需要刷卡。不知道是不是每栋楼都一样,这样其实加大了外人混入公寓的风险。”
在便捷性上,墨桑说:“识别系统本来就只是为了提高安全性的,不是为了更方便。虽然没有做过调查,但是听同学说安全性反而降低了,而且现在出公寓也要刷卡,谈不上便利。也许以后会改进,一次只放一个人进入,不过这也太麻烦了。”
“我同学普遍觉得这个系统很鸡肋,我现在觉得弊大于利,可能因为刚开始不太适应,说不定以后会改进。”墨桑说。
杂乱的产品市场
和国外的“人脸识别”技术多应用于安防领域不同,在我国,“人脸识别”技术主要应用于企业的考勤门禁、物业小区的安全防护和金融领域的开户认证等,其中金融领域的应用占比较多。不过,目前比较常见的“人脸识别”技术主要出现在考勤机等应用上。
记者以购买者的身份采访了北京市一家专业从事“人脸识别”设备销售的企业,并现场测试了一台集“门禁”“考勤”为一体的多功能考勤机。
在现场,记者首先进行人脸照片录入,主要对人脸的眼眶、鼻区以及嘴部三块区域进行图像采集。录入之后,记者站在机器前进行识别,只要一进入摄像头可照范围之内立即就被识别成功。不过,记者摘下眼镜或者更换眼镜以及调整眼镜佩戴角度后,考勤机无法识别成功。此外,用照片比对,该设备依然无法识别。
据工作人员介绍,目前“人脸识别”考勤机的价位从数百元到上万元不等,价格越高,识别的精确度越高。记者测试的这款产品是最畅销的千元机,只要脸部采集到的数据能吻合到六成以上,便能认定是同一人。不过相对而言,由于采集时拍摄下来的一些特征相对单一,所以精确度也会受到影响。
记者还在淘宝通过搜索“人脸识别考勤”联系上一家卖“人脸识别”考勤机的店铺,并反复询问客服人员是否可以通过人脸的照片或者人脸视频进行打卡,客服都回答说不可以。在该商品的问答区,也有网友询问是否可以用手机上的照片或者视频代替打卡,有一个购买过该考勤机的网友回答说自己试了,发现不可以。
记者随后搜索“人脸识别锁”,发现这类商品品牌繁多。记者联系了销售量排名靠前的一家商铺。在演示视频中,记者看到,演示者利用人脸的照片和视频尝试多次都无法开锁。商家承诺称,如果用户在使用过程中发现可以用照片打开,他们会赔偿1万元。在商品的问答区,已经购买的网友也表示自己尝试用照片开锁,但没有成功。记者询问客服人员,这个“人脸识别”锁的原理和苹果新发布的iPhone X手机的Face ID是否相同?客服人员称,他们的锁“采用面部3D骨骼识别技术,红外扫描面部轮廓,化妆、灯光明暗、胖瘦等不会影响识别,可以开锁。‘人脸识别’系统是取脸上很多个点,计算各个部位的点的距离。这个算法与是否化妆没有关系,不影响识别。而且,在灯光暗的情况下也能识别,因为‘人脸识别’锁有两个带有夜视功能的红外探头,只要把脸和手掌显示在屏幕框内,照样可以识别开门。小朋友身高达到1.3米的都可以‘刷脸’”。客服人员说,“照片绝对打开不了这把锁,此锁采用是3D骨骼识别技术,戴眼镜的朋友请戴着眼镜录脸。化浓妆、发型,都能准确识别。另外,如果脸部整形动了脸部三分之二的,就有可能识别不了,需要重新录入。”
那么,使用3D仿真面具是否可以骗过“人脸识别”系统呢?对此问题,客服人员没有正面回答。
在问答平台“知乎”上,一位网友回答了“目前人脸识别技术最大的挑战是什么”这一问题,其答案获得最高赞。这位网友告诉记者,淘宝上卖的“人脸识别”锁不能保证绝对安全。记者询问这种产品是否有可能被3D仿真面具欺骗?这位网友说,这种情况可能发生。
记者随后在淘宝上搜索“3D面具”“乳胶面具”,发现这种产品也有不少,有的面具不仅改变了容貌,而且改变了脸部的骨骼结构,戴上之后多有以假乱真的效果。
被破解的“人脸识别”
尽管“人脸识别”产品的客服人员声称一般不易被破解,但现实生活中已然出现了破解实例。
破解“人脸识别”的实例,要从一次网约车经历说起。
一名市民通过网约车App下单。很快,车到了,但车辆、司机的信息均与手机客户端上显示的信息不符。为了赶紧回家,这名市民也顾不上太多,就直接上车了。结果,车开出去不到一分钟,司机就扭头对这名市民说要取消订单。尽管这名市民一再拒绝,但司机还是坚持把她送回原处,让她重新打出租车。
没有办法,这名市民只能再次用这款网约车软件叫车,结果发现来接他的还是那名司机。司机说:“你要么就打个出租车回去,只要你还用这个软件约车,叫到的还是我的车。”
这名市民当时就纳闷了,为什么会这样?一番打听后,这名市民才知道,附近有一个由30多名“黑车”司机组成的车队,每名司机都有一堆虚假的司机账号,上百个虚假账号由同一个人来统一接单,然后通过电台调度车辆去接人。因此,不管用户打到哪个号,都会调同一名司机去接人。
了解到这些内情,这名市民更加不解,“这个网约车App上明明使用了‘人脸识别’功能来验证司机信息,为什么这些司机可以使用虚假账号”?经过一番软磨硬泡,那名司机终于透露,“人脸识别”听起来很厉害,但是他们有软件可以轻易破解。
没错,“高大上”的“人脸识别”技术就这样被一群“黑车”师傅给黑了。
以上故事是在Freebuf(国内关注度最高的全球互联网安全媒体平台)主办的FIT2017互联网安全创新大会上,平安科技安全研究员高亭宇在一场“关于人脸识别技术应用风险”主题演讲中的一段描述。
说完这个故事,高亭宇现场展示了那名司机用来破解“人脸识别”技术的软件——一款可以让照片“张口说话”的App。
高亭宇说,从那之后,他开始琢磨“人脸识别”技术在实际应用层面的风险,并调研了市面上使用“人脸识别”技术的软件,最后的结果出乎自己的预料。
通过分析,高亭宇发现,市面上大部分使用了“人脸识别”技术的软件,其识别流程大致相同:检测人脸→活体检测→人脸对比(和之前上传的自拍照或证件照)→分析对比结果→返回结果(通过或不通过)。
据了解,其中“活体检测”技术即在“人脸识别”时要求用户进行眨眼、点头、张嘴等动作,以防止静态图像破解,国内多个知名App中的“人脸识别”都采用了这项技术。
高亭宇说,一般的App开发者不会自己开发“人脸识别”技术,而是通过第三方的API接口或SDK组件来获得“人脸识别”功能,基于这个特点,他对“人脸识别”技术从接入到实际使用过程中的每个关键点进行了分析,最终在多个环节都找到了多个突破点,只要略施小计,就能让“人脸识别”形同虚设。比如,注入应用绕过活体检测,也就是通过注入应用的方式来篡改程序,从而绕过所谓的活体检测功能,使用一张静态照片就可以通过人脸识别。
在采访过程中,甚至有业内人士这样表示,“不是3D打印不行,如果用一台精密的打印机,破解‘人脸识别’同样不在话下”。
“除了一般的考勤、账号安全App之外,大量的银行、P2P金融企业的App已经介入使用了‘人脸识别’技术,其中金融行业在使用‘人脸识别’技术时的安全性明显高于一般应用;当‘人脸识别’技术涉及关键业务时,安全防护水准往往更高。”高亭宇说,比如他在测试国内某P2P金融的客户端时,尝试“人脸识别”解锁失败数次后,该App 就检测出了可能存在恶意破解的情况,强制使用银行卡信息、手机短信等其他方式来完成认证。
高亭宇在现场强调了一点,除了“人脸识别”技术在手机上的应用缺陷之外,许多问题导致的原因都是开发者在调用第三方“人脸识别”服务时,没有严格按照一个安全的规范来做,接入流程不够严谨,甚至经常出现为了提高用户体验而舍弃安全性的做法,这样的做法在技术实力不强的小公司十分常见,最终导致的结果就是,让用户把密码写在了自己的脸上。