9月5日,正是中国传统节日“中元节”。
按照中国的古老传说,这一天会有众多鬼怪出没,袭扰民间。当然这是迷信的说法,现在人们也只当成茶余饭后来调剂下生活,类似于西方的“万圣节”。但今年的“中元节”,恰好有一只出没于互联网科技空间的“技术鬼怪”搅得大家不得安宁,它的绝技就是“偷脸盗号”!
4日深夜一起安全事件的报道引起了广泛关注。据称某支付宝用户因接到一个陌生FaceTime视频被盗取了脸部图像,进而使得采用人脸认证的支付宝账户金额被非法盗取。支付宝官方举报了该条报道,并发文认为该报道严重失实,而且对支付宝人脸认证技术的安全可靠性进行了诋毁,在用户中制造了恐慌。
▲对支付宝人脸认证技术的安全可靠性进行诋毁
“人脸识别”是现在非常火热的人工智能概念之一,而且还涉及到两家互联网公司掐架,一下子让这条消息在网上火爆起来!看热闹的很多,但跟多的人是担心人脸识别技术是否真的有如此大的漏洞?偷脸盗号技术是否真的可行?抛开“盗刷支付宝”事件的争论,我们还是来梳理和认识下“人脸识别”技术真正的优缺点吧!
“人脸识别”可以归结到生物特征识别,指纹验证、虹膜验证、声纹验证大家都不陌生,有的已经融合到我们每天的生活当中。生物特征识别作为账户密码验证的优点在于唯一性、便捷性。
▲人脸识别技术
▲人脸识别技术
从生物学的角度来说,没有两个人的生物特征是完全相同的,即使是同卵双生的双胞胎也会有细微差异。“唯一性”是生物特征作为密码验证的最初出发点,可以达到密码复杂性和用户记忆能力之间的平衡,再也不用费力记忆或者存储位数超乎想象的高安全性密码,这无疑是一场密码学的革命。
同时,作为用户身体的一部分,生物特征验证让丢失也不会遗忘验证设备的尴尬不再上演,随时随地获得账户的登录权限,便捷实用也成为生物特征识别得以迅速被用户接受和推广的重要原因。
但是细分到“人脸识别登录”这个生物特征密码的具体分支,也有很多不安全因素就会凸显。
第一是人脸数据的易得性。如同这个支付宝被盗刷案例(真假还未定论)中的用户仅仅因为接了FaceTime视频就被复制了人脸数据,在社交媒体高度发的今天,人脸图像数据很容易被黑客获得,并通过计算机建模技术进行复制。不像虹膜、指纹那样难以窃取,从这个角度上看,人脸识别作为账户登录验证确实值得商榷。
第二是不可更改性。这个也是生物特征密码的通病,虽然使用方便了,可是一旦得知自身生物特征数据泄露,但用户自身也难以更改密码,唯一有效的措施就是废弃不用,这对账户的安全性提出新的挑战。
从技术防范的角度,业内也做了很多的尝试。最常见的主要有:1.提升人脸识别技术本身的智能化和可靠性,比如对照片、视频、模具的排除能力和动态人脸识别技术;2.将人脸识别登录作为密码登录的辅助,即先使用密码登录后,开启用人脸识别功能作为便捷方式;3.设备绑定,将人脸识别数据与特定设备进行绑定,杜绝远程获取人脸数据异地入侵账户的可能。
综合我们列举的优缺点,我们可以从各执一词的纷乱中理清对于人脸识别登录的基本看法。这项利用人脸生物特征进行账户验证的技术,是科技的创新也是未来密码安全领域发展的一个重要选项;但是还有诸多潜在的隐患漏洞需要去解决,用户需要根据自身账户的安全等级需求和辅助安全策略来选择是否使用,在便捷性和安全性上做好自己的平衡。
百度安全观点:目前情况下建议人脸识别配合密码、短信验证等组合使用,增加安全系数。为了应对层出不穷的诈骗方法和技术窃取手段,用户不仅需要保护好传统的数字密码、个人信息和认证设备等,还要有意识地关注自身生物特征数据,例如人脸数据,声纹,指纹等,不给窃取者可乘之机。
我来说两句排行榜