游客

人脸识别技术是为信息安全做加法

游客 2017-03-17 09:57:32    200863 次浏览

在刚刚结束的315晚会上,央视提出了人脸识别领域的安全风险。近两年来人脸识别技术受到了行业和市场的广泛关注。那么人脸识别技术的安全性到底如何?活体检测和人脸检测真的有这么脆弱吗?

实际上,在目前的金融和生活场景中,人脸识别技术的应用主要是在原有的用户认证体系中增加一道保障。传统的用户体系大多是用户名 密码,而技术的进步可以为安全需求更高的机构认证升级为“用户名 密码 生物特征 活体验证”更立体的防护体系。

从去年开始,爆发出来的几起电信诈骗大案吸引了公众关注,各方虽然都在积极努力解决这一问题,相继推出了电话实名制,技术手段拦截,跨国追捕犯罪分子等治理措施,但电信诈骗显然并没有得到根本遏制,反而还出现了形式上的花样翻新,当前的电信诈骗已从目标主要集中于老年人群体,过渡到向更广泛群体蔓延的趋势,甚至一些高级知识分子也成为电信诈骗的受害者。

电信诈骗是近20年伴随着通信业和互联网业大发展而出现的妖魔鬼怪,其立身根基仍在于数字化信息和数据的滥用及泄露。犯罪分子之所以能获得那么多的个人信息用以诈骗,主要原因还在于公民的个人信息其实长期处于高风险状态,地下数据黑市猖獗,各种互联网服务在数据安全方面缺乏投入,防护系统脆弱,甚至还有大量企业内鬼利用工作便利从事数据黑产,给个人信息安全造成了巨大威胁。

近日公安部破获了一起盗卖公民信息的特大案件,被窃取和盗卖的公民信息多达50亿条。这意味着,有几亿人的网上身份信息已遭到泄露,而且这一泄露行为是不可逆的,根本不是改改密码那么简单。犯罪分子可以用单一的身份信息去尝试登入多种不同的互联网服务,窃取用户的网上财产,甚至还可能进入个人的银行和支付工具,给个人财产造成较大损失。不能要求上网的个人为自己设置专业级别的安全密码,解决这个问题的方式,必须从个人信息的呈现和验证方式上去入手。

互联网服务的传统登陆方式,一般来说就是个密码外加验证码,密码是用户自己知道的,验证码是为了防止机器登陆。从财产账户来看,个人银行会在转账时要求进行短信验证码认证,以保证操作者是账户本人。不过这些防护方法,目前也在面临着挑战。

道高一尺魔高一丈,犯罪分子攻克互联网服务系统窃取个人信息的案件越来越多,而互联网服务、电信服务、银行服务之间存在的关联性,也使得那些看似固若金汤的防护办法面临险境,理论上只要是密码登录验证,基本都有可乘之机,因为再高明的验证手段,也很难识别屏幕那一头正在操作的人是不是账号所有者本人。

电信也好,银行也好,实行实名制只是个基本的安全措施,实名制仅能验证账户的所有者,但对账户的实际操作者就搞不清了。目前在银行账户方面,短信验证似乎是唯一行之有效的方式,也是个人账户安全最后的堡垒,一旦这方面被攻破,个人财产安全将遭受严重威胁,而在此状况的背后,实质是个人数字信息安全权利遭受大规模践踏,市场召唤新安全验证方式的出现。

密码作为信息安全的主要防卫者,过去几十年一直在发挥作用,但其安全性在新技术的兴起之下已显得有些薄弱。人脸识别是近年来兴起的一种新技术,不管在安全性上,易用性上还是实现成本上,都有着较为明显的优势。这项实际上是在现有的安全措施上做加法,与传统的密码相结合,尽最大限度减少风险。国际知名技术评估机构、媒体MIT Technology Review中也在未来十大新兴技术中加入了“刷脸支付”,这也代表了这一技术已经在世界范围内被广泛关注,令人惊喜的是在这一领域中的领军企业却来自中国的一家非巨头的人工智能垂直类企业——旷视Face 。

之前央行曾禁止过在线的二维码支付,因为这种支付方式仅根据一张张贴于网上的二维码就可完成支付过程,而二维码是可以造假的,犯罪分子如果通过木马用一张与第三方账号连接的二维码进行替换,就会造成重大损失。这毕竟是一种不带活体检测的支付方式,安全级别较低,存在很大的风险。

而以Face 为代表的人脸识别,则是有活体检测环节的,用户在登陆、支付、转账等环节,都会通过该技术进行活体检测,犯罪分子用一张图或一段视频,是无法沟通过验证的。例如系统会提示用户根据屏幕提示完成一些表情动作,系统中的人工智能算法就会实时的追踪屏幕前的用户脸部关键点并对配合动作加以判断,虽然增加了2秒左右的操作时间,但却最大限度保证了用户网络活动的安全性。在今年的315晚会上所展示的攻击方法,实际上就是通过照片模拟及屏幕翻拍来实现的,为此,Face 研发了专门的基于深度学习的屏幕翻拍综合检查技术,能有效实现对此类攻击的隔离。

传统方式下的黑客攻击原理大体差不多,通过攻击获取网站的用户信息数据库,或通过植入木马获得用户的个人信息数据,然后用于非法勾当。而这一切对于人脸识别却没用,传统的信息数据库是一条条用户名和密码,窃取之后可以举一反三获得更多登录权限,人脸识别的信息数据库就是一张张脸的图像和视频,黑客即便拿了去也没用。并且在人脸识别的各类动态验证环节中,黑客将因付出高昂的攻击成本而望而却步,这也有效增加了用户的账户安全性。

在使用成本上,新技术的发展使得人脸识别成本极低。当下大多数手机均有摄像头功能,硬件基础条件与几年前相比已有了大跃进。人脸识别做为登陆、支付和转账的辅助安全手段,几乎不需要付出任何成本,而且整个过程是傻瓜化的,操作流程顺畅,老人小孩均能轻松掌握。人脸识别在过去其实是一种军用级别的安全技术,当前有机会下探到民用领域,让更多人享受到高科技的安全防护措施,意义非常重大。

Face 的运作模式是,将技术成果打包成为SDK,应用开发者、电信、银行、网贷平台等可以将SDK集成到自己的产品中或者直接调用Face 提供的专业认证云服务FaceID,使得其App或各类智能设备拥有人脸识别登录功能,或在支付、转账等各环节应用。也许会有犯罪分子冒用他人身份证和手机号码干坏事,但绝不会有犯罪分子愿意用自己的那张脸进行身份验证,那基本是给自己做了张通缉令。人脸识别在应用上,还是可以非常有效阻止电信诈骗等多种犯罪行为的。

3·15晚会对人脸识别的预警,实际上更应该被解读为是对运用新技术来保障人安全的关心。虽然人脸识别在做为最强信息安全护盾的道路上还有很长的路要走,但是Face 正同行业内的有志之士合力快马加鞭。未来,人脸识别如果能茁壮成长并且得以推广,或许网络信息安全环境将得到有效改善,电信诈骗将逐渐消失,网络黑客攻击将变得昂贵无比且充满高风险,互联网将会变得安全起来,而这又将进一步刺激网上交易和其他经济活动的活跃,让人们真正享受到安全、便捷、高效的网上生活。

内容加载中