中国消费者报 |举张照片也能成功刷脸?人脸不应作为重要场景的唯一密码

一位女性手拿一张打印的男性照片挡在自己脸前 , 对着某品牌人脸识别门禁打卡机打卡 , 居然成功地被识别为这位男员工——这是中国信息通信研究院云计算与大数据研究所(以下简称信通院云大所)测试团队 , 在真实场景下进行的一项人脸识别测试 。
很多人都觉得人脸识别非常方便 , 且潜意识里认为人脸信息是唯一的、不可更改的 , 因此是最安全的 。 但在互联网安全专家看来 , 将人脸识别作为唯一且重要的安全密码 , 是非常危险的 。 越是重要的应用 , 例如银行卡、家庭门锁等 , 用刷脸来做密码 , 就越发不安全 。
 人脸识别技术良莠不齐
拿起手机不到一秒钟 , 就自动解锁;凑近智能门锁 , 门就自动开了;使用银行APP时抬起手机 , 就能自动登录……如今 , 人们已经对生活中随处可见的人脸识别应用习以为常 。
信通院云大所相关负责人对《中国消费者报》采访人员说 , 自2021年6月起 , 该所启动了对可信人脸识别评测 , 上述以男性照片骗过门禁卡的实验 , 就是测试项目之一 。
【中国消费者报 |举张照片也能成功刷脸?人脸不应作为重要场景的唯一密码】其实 , 人们早就对刷脸技术的安全性产生了担忧 。 2019年10月 , 浙江嘉兴上外秀洲外国语学校的同学们在一次课外科学实验中发现 , 只要用一张打印照片就能代替真人刷脸 , 骗过小区的丰巢智能柜取出快递件 。 当时有媒体采访人员验证后发现确实如此 。
像支付宝或者银行的人脸识别系统 , 应该是属于技术或安保程度比较高的 , 但也发生过问题 。 曾有被告人用别人的人脸信息 , 轻易绕过支付宝的人脸认证系统 , 顺利开设了账户 , 而被告人并不是什么高级黑客 。 中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友对《中国消费者报》采访人员说 。
说实话 , 人脸识别并没有那么准确和安全可靠 。 石佳友说 , 从纯技术角度看 , 人脸识别算法的品质本身差异就会非常大;镜头所拍摄照片的质量对匹配的精度也有显著影响 。 此外 , 识别度有一个置信度阈值(Confidence thresholds) , 如果识别度过高 , 可能会导致更多的漏网 , 识别度过低 , 又会误识别一大片 , 准确率又太低 , 这本身就是一个矛盾 。
据信通院云大所相关人士介绍 , 目前市场上人脸识别系统安全防护能力良莠不齐 , 一些人脸识别技术或产品存在明显的安全漏洞 , 在当前人脸识别技术广泛应用的背景下 , 给消费者的人身财产安全带来了极大的风险 。
智能骗脸技术门槛低
做过人脸识别录入的用户都知道 , 被采集者需要通过眨眼、转头、张嘴等动作来配合采集活体信息 。
一张照片用那种活化程序 , 普通人都能够做到让照片摇头、眨眼睛 。 清华大学法学院教授劳东燕对《中国消费者报》采访人员说 , 那种软件技术层级比较低 。
过去人们常说有图有真相 , 但在智能换脸术面前 , 别说图了 , 连视频都不可信 。 奇安信集团行业安全研究中心主任裴智勇博士对《中国消费者报》采访人员说 , 通过人工智能技术 , 可以将一张普通的静态照片(正面、侧面均可) , 转化生成一张表情生动的人脸 , 甚至可以轻松地贴在另一个人的脸上 , 随着另一个人的动作和表情自动变化 。
裴智勇说 , 以2017年左右的技术水平 , 已经完全有能力骗过绝大多数人脸识别系统 , 不过当时能够掌握这种技术的主要是人工智能专家 。 而随着技术的成熟 , 各种软件层出不穷 , 现如今这种操作普通人也能轻易做到 。
劳东燕认为 , 虽然所有的个人信息泄露后都有风险 , 但人脸识别技术有其特殊性 。 其他的个人信息可能需要结合另外一些个人信息 , 才能识别到具体的某个人 , 而人脸本身就具有单一的可识别性 , 即用人脸信息直接就可以识别到特定的个人 , 因此风险更大 。
智能换脸的技术门槛比绝大多数人的想象要低得多 , 裴智勇说 , 我们既然可以通过满大街的摄像头轻易捕捉到动态的人脸 , 那么用人工智能技术给这张脸换一套皮肤也不是什么难事 。
人脸信息不符合密码规则
我个人是非常反对生物特征的人脸识别作为用户的密码 , 去访问一些重要服务的 。 科大讯飞副总裁、大数据研究院院长刘鹏对《中国消费者报》采访人员说 , 人脸作为密码去访问服务 , 除非是非常小额的支付 , 或者是无关紧要的一些登录 。 从人脸识别的生物特征看 , 它是违反密码基本原则的 。 密码的基本原则之一 , 就是用户可以随时更改 , 而人脸改不了 。