在今年的315晚会上,一段由主持人现场演示的人脸识别安全性漏洞触目惊心。一张静态照片,只要通过一定的图像处理和动态合成技术,就能够顺利通过人脸识别验证,登录个人账户。
让我们先来回顾一下,人脸识别系统是如何被攻破的?
晚会上,主持人打开手机软件当中的人脸识别界面,对准一张经过技术处理的动态照片,顺利完成了一个APP的人脸识别验证。
在随后的互动中,主持人现场选了一位观众,从其微博中选取一张照片,通过技术处理让这张照片变成受控的 3D 脸部模型,实现了扭动头部、眨眼睛的效果。并根据语音提示操作,完成了“眨眼”、“右转头”、“左转头”、“左右摇头”、“微笑”等更为复杂的面部动作,成功通过了手机APP身份安全认证,完成了刷脸登录。
看完对现场实验的还原,你是否觉得触目惊心?试想,如果黑客用这一方式登录的是你本人的账户,结果又会怎样?你的账户余额是不是就会被术实力参差不齐,无疑给人脸识别身份认证埋下了重重安全隐患。
在技术没有足够成熟之前,急于推向市场,使得人脸识别本身,更像是一个获客噱头,其安全漏洞一旦被黑客利用,将不可避免的给用户隐私信息和财产安全带来难以挽回的损失。
单一手段身份认证隐患重重
3.15晚会上,人脸识别登录问题的破解,使得身份认证的安全问题真正意义上进入到公众的视线。纵观国内的身份认证领域,目前,大部分金融支付机构相关业务场景中均采取单一因素进行身份认证,无论是PIN码认证、短信验证码认证、指纹认证、人脸识别等认证方式,都因为认证因素过于单一,而在安全性上得不到强有力的保障。
以短信验证码身份认证为例,2016年4月,央视系列专题片集中报道了《起底“电信诈骗术”之“验证码”骗局》等节目,揭露了不法分子通过地下黑色产业链,盗取用户银行卡信息,拦截用户验证码短信,进而盗刷用户银行卡的全过程。“这种短信认证方式貌似简单便捷,但不法分子通过木马病毒、补卡攻击、克隆攻击、无线电监听等诸多方式,悄无声息就可以截取到用户的短信验证码内容。”通付盾区块链身份认证实验室主任郭宇对短信验证码的安全问题深表忧虑。
而生物识别认证呢?从此次曝光的情况,不难看出,以人脸识别为代表的高科技身份认证方式有其难以逾越的问题。360首席科学家颜水成此前曾表示,“各大厂商现阶段仍然需要对人脸识别进行提防,防止人工智能‘快跑’带来的安全隐患。”
由此可见,单一手段身份认证技术带来的局限性也越来越明显,多种安全机制整合应用正在成为新的趋势。
多因子身份认证提高安全门槛
“一个最简单的8位密码加验证码,只能阻挡黑客半小时。而人脸识别、活体检测等认证手段只能作为辅助的身份认证措施。”在通付盾董事长汪德嘉看来,身份认证安全必须通过多因子、多纬度来保证。
汪德嘉建议,对于广大专注身份认证技术研究的厂商来说,一方面,是要提高研发能力,提高以人脸识别为代表的活体检测的准确率;另一方面,更重要的,则是注意区分身份识别的使用场景,在涉及隐私、支付等高级别安全场景使用时,将生物特征与多种因子相融合,多个方面同时发力,从而提高安全门槛,保障用户安全。
经过多年打磨,通付盾创造性地推出了HUE多因子身份认证解决方案,该方案集安全扫码、重要信息确认、手势密码等于一身,用户只需持移动设备(如手机)即可完成身份认证、电子签名,兼具高安全性与便捷性。
相较于传统的单一因子身份认证方式,通付盾HUE多因子身份认证解决方案具有诸多独到优势:
第一、兼顾移动端与PC web端身份认证。用户无需携带除手机外的任何额外认证设备(如U盾)即可完成身份认证;
第二、安全强度媲美U盾。综合运用通付盾独有的设备指纹、时空码、区块链等多项安全专利技术,及PKI、数字签名等通用技术,安全强度达到准U盾级;更重要的是,通付盾HUE多因子身份认证产品已通过中国信息安全测评中心EAL3级资质认证,以及国家密码管理局的检测及资质评审,安全级别得到国家权威机构的一致认可;
第三、保护用户隐私信息。无需获取用户数据(如姓名、身份证等),无数据泄露风险。
第四、节约大量成本。无需使用额外认证设备(如USB Key),同时减少因使用USB Key而带来的运维管理,大大降低银行的业务运营成本。
综上所述,通付盾HUE多因子身份认证解决方案综合判断时间、空间、设备、生物、行为等多重因子识别用户身份,帮助企业客户安全、便捷地解决平台用户账号登录、管理授权、转账汇款、支付交易、资金提现等关键业务场景的二次身份确认问题,保障用户的信息和财产安全。
我来说两句排行榜