原标题:
在央视3.15晚会上,主持人现场提供了一张自己的证件照,大约一分钟后,这张照片由静态变成了动态,能眨眼、微笑。之后,主持人打开手机中的某人脸识别APP,按照刷脸登录步骤操作,直接登录成功。
主持人随机邀请了一位观众,并找到观众个人微博中一张公开发布的自拍照。经现场技术处理,这张照片被快速生成了与观众本人一模一样的3D人脸模型。随后,主持人对准手中的手机镜头,将观众的3D脸模套在自己的脸上直接“换脸”,按照APP中活体检测的提示依次完成眨眼、转头、微笑等动作,竟然骗过了APP,顺利完成了活体检测认证。
新华社上海3月19日电(记者何欣荣)凭借一张观众的自拍照,就成功“换脸”破解手机的人脸认证系统。近期,“刷脸登录”存在的安全漏洞,在315维权活动中备受关注。不过,相关信息安全专家认为,比起数据在传输和认证过程中的安全漏洞,后台的生物特征数据一旦被盗,给用户带来的风险将会更大。
随着技术的不断进步,指纹识别、虹膜识别、人脸识别等生物认证方式不断推陈出新,传统的“用户名+密码”已经进化到当前的“用户名+密码+生物特征+活体检测”等更高级、立体的防护体系。面对科技含量越来越高的认证技术,无论是老百姓还是企业,都感到安全系数也随之提升。
然而事实并非如此。比如,人脸识别技术虽然看起来颇为先进,但是一旦有不法分子破解了其中的技术屏障,在获得消费者其他信息的条件下,就可能通过“刷脸”的方式侵害消费者利益。
在人脸识别的安全漏洞被曝光后,不少互联网企业纷纷在第一时间发表声明,表示已经预见到了这种风险。360首席科学家颜水成就表示,现阶段人脸认证技术还不能在所有场合做到非常成熟,在涉及个人隐私、财产等重要信息的场景下,建议启用多重认证方式。
上海市信息安全行业协会会长谈剑峰也表示,从原理上讲,所有的认证不外乎服务器端与认证端进行信息对比。在互联网环境下,一旦采用生物特征认证,就会产生特征数据。而所有的生物特征数据,只要进入计算机,就会被转换为0和1的机器码在数据库中储存起来。
“生物认证最大的共性是唯一性。每个人都有独一无二的脸、指纹和虹膜等。正是这种唯一性,让大家认为生物认证是安全的。但生物特征数据库一旦被攻破,大量的带有唯一性的生物特征数据被盗取,带来的风险要比‘盗刷’严重得多。这才是生物认证方式的真正‘痛点’。” 谈剑峰说。
在谈剑峰看来,现阶段生物认证技术,其实更适合于不联网的本地化应用,比如门禁、保险箱和银行保险库等。在缺乏成熟的信息安全技术的支持下,互联网企业不应急于将这类带有安全隐患的技术作为“噱头”来吸引大众。
【科普】人脸认证靠不靠谱?“换脸”怎么做到的?
今年央视3.15晚会上,一段测试人脸识别安全性的互动演示让人细思恐极。主持人在技术专家帮助下,不仅能让观众的一张自拍照会眨眼,还能让其变成可受任何人控制的脸部模型,并以此攻破了人脸认证。
这种“换脸”具体是怎么回事?360人工智能研究院视觉分析专家邱学侃解释说,人脸识别需要通过两点认证身份,一是人脸比对,即判断待验证的人脸是不是本人,二是活体检测,即判断待验证的人脸是不是真实有效的。而这次演示,在已经掌握清晰正面照的情况下,主要针对第二点进行破解。他说,针对刷脸登录的破解,根据主持人提供的证件照片,现场技术人员借助人脸关键点定位和自动化人脸动效技术,通过将自拍照由静态改为动态,可以完成刷脸登录需要的眨眼、微笑动作。而活体检测的破解,则通过3D建模将现场随机选择的观众照片转变成立体的人脸模型。