【文/觀察者網(wǎng)專欄作者：撓米成】

隨著iPhoneX中FaceID（人臉識別解鎖）功能的推出，人臉識別就開始火起來。如今，科技公司更是告訴我們“刷臉”將成為生活的日常：開設(shè)銀行賬戶、辦理酒店入住、小區(qū)門禁，手機(jī)解鎖、移動(dòng)支付、肯德基點(diǎn)餐，人臉識別將無所不在、無所不能。

先不要激動(dòng)，暢想還沒多久，24日發(fā)生的一幕似乎要澆上一盆冷水，在GeekPwn2017國際安全極客大賽上，90后女黑客“tyy”利用設(shè)備漏洞，僅用時(shí)兩分半就騙過了人臉識別系統(tǒng)，打開了門禁。

90后女黑客“tyy”現(xiàn)場演示

當(dāng)美好的未來和殘酷的現(xiàn)實(shí)交織在一起，我們也不得不再次思考那個(gè)問題：當(dāng)機(jī)器通過看臉就認(rèn)出你是誰，真的安全嗎？

人臉驗(yàn)證，真的更安全嗎？

至少專家是不看好的。“目前所有互聯(lián)網(wǎng)認(rèn)證技術(shù)中，生物識別認(rèn)證是最不安全的，”上海市信息安全行業(yè)協(xié)會(huì)會(huì)長談劍峰在媒體上公開表示?！坝腥苏J(rèn)為，生物特征在自己身上具有唯一性，因此，生物識別認(rèn)證技術(shù)應(yīng)該是安全的。但很多人沒有想到，這種唯一性也意味著，生物認(rèn)證信息一旦“丟失”就不可再生”， 談劍峰說。

從技術(shù)層面看，不管是人臉、指紋、聲音還是虹膜，這些人類的生物特征都不適合作為遠(yuǎn)程身份驗(yàn)證的安全密鑰，因?yàn)樗鼈兲菀妆环略炝恕o論你擁有的是志玲姐姐的臉還是鳳姐的臉，雖然在你自己看來這是獨(dú)一無二的物理特征，不可能被仿造被復(fù)制，但是對于計(jì)算機(jī)而言，這些特征就是一串0和1組成的數(shù)字，或者說，是一串密碼。而且，普通密碼不安全了不喜歡了，還可以重新改；但是生物特征信息被盜用后，不可能從物理上修改人的特征來修正密碼，因此無法再次使用。

而在眾多生物識別技術(shù)中，人臉識別又是技術(shù)風(fēng)險(xiǎn)最大的。虹膜、指紋等生物識別技術(shù)都具有良好的穩(wěn)定性，可以在很長時(shí)間內(nèi)保持穩(wěn)定，也不易受外部干擾影響。而人的臉部特征則不然，有的人喜歡化妝、有的人愛佩戴飾品，這些都會(huì)使得臉部特征發(fā)生改變，除此之外，整容、受傷、過敏、年齡增長等因素都會(huì)對臉部的識別產(chǎn)生影響，成為潛在的技術(shù)風(fēng)險(xiǎn)。

人的臉部特征容易復(fù)制也是問題之一。目前，復(fù)制指紋早已不是什么新鮮事。在某電商平臺輸入“指紋膜+打卡”就可以輕松找到若干賣家兜售可以在家DIY指紋套的材料，掌柜推薦的“豪華進(jìn)口四人用”版本只要五十多元，可以供四個(gè)人制作用于欺騙指紋打卡機(jī)的指紋套。

而復(fù)制臉部特征同樣很有可能，這一點(diǎn)007等間諜大片中已經(jīng)給我們演示了無數(shù)遍。相對于密碼、指紋等保密手段，人的臉部天天暴露在公眾之中，獲取起來更為容易。

除了電影，也有實(shí)操。去年8月，來自北卡羅來納大學(xué)的一個(gè)研究團(tuán)隊(duì)從Facebook上收集到了一些人的照片，利用電腦合成和渲染后生成了平面化的3D模型顯示在手機(jī)上。隨后他們利用這個(gè)模型進(jìn)行測試，發(fā)現(xiàn)有高達(dá)4/5的被測安全系統(tǒng)在55%到85%的被測時(shí)間內(nèi)，都可以被輕松騙過。更重要的是，他們在Facebook上能收集到的照片非常有限，質(zhì)量也沒有保證，有些還只是45度角的側(cè)臉。

雖然時(shí)過境遷，以iPhoneX的FaceID等為代表的識別技術(shù)已經(jīng)宣布可以邁過“靜態(tài)識別”這一步，能防止照片及其他一些簡單復(fù)制手段的欺騙，但那些同樣技術(shù)精良的犯罪團(tuán)伙，如果在未來推出像間諜大片中那樣逼真的人臉3D頭套時(shí)，臉部識別能否繼續(xù)保證安全？還要打個(gè)問號。

尼古拉斯·凱奇的電影《變臉》更是把臉都換了 你說能不能騙過人臉識別？

商用級的人臉識別可以被電腦合成的3D模型輕易騙過，個(gè)人信息數(shù)據(jù)庫更是各種犯罪分子攻擊的主要目標(biāo)。由于“刷臉支付”主要通過手機(jī)拍照后進(jìn)行數(shù)據(jù)傳輸。在傳輸過程中，也有可能受到黑客、病毒等攻擊，人臉信息在系統(tǒng)后臺服務(wù)器解析過程中，解析結(jié)果同樣可以被篡改盜。在本文的開頭，“tyy”就是利用設(shè)備漏洞，直接修改設(shè)備中的人臉信息，實(shí)現(xiàn)用任意人臉來“蒙騙”人臉識別系統(tǒng)，打開門禁。

更要命的是，如果“刷臉支付”被各家企業(yè)廣泛使用，那么各企業(yè)參差不齊的技術(shù)實(shí)力，使得人臉信息泄漏的風(fēng)險(xiǎn)直線上升?！拔冶容^擔(dān)心的是，假設(shè)我們的面部特征以及指紋、虹膜等生物特征信息被廣泛應(yīng)用，比如用于銀行支付等，而在這之前我們的生物特征數(shù)據(jù)已被各個(gè)銀行、手機(jī)廠商甚至不知名的APP廠商充分采集到，這個(gè)時(shí)候我認(rèn)為才是風(fēng)險(xiǎn)最大的時(shí)候，”大成天下CTO黃鑫在9月份舉辦的2017第二屆SSC安全峰會(huì)上說。

黃鑫認(rèn)為，風(fēng)險(xiǎn)主要來自于人們對自己生物特征數(shù)據(jù)的不夠重視，可能會(huì)讓別有用心的人隨便拖個(gè)庫（從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)），就能把這些數(shù)據(jù)拿到手?！叭蹩诹钣袉栴}還可以更改，指紋、虹膜這樣的生物特征數(shù)據(jù)就不是這么簡單了。在技術(shù)還不是非常成熟、運(yùn)用前景還不是很準(zhǔn)確的情況下，我和家人不會(huì)把自己的生物特征數(shù)據(jù)錄給不放心的廠商。”

作為網(wǎng)絡(luò)安全技術(shù)強(qiáng)國的以色列就發(fā)生過這種事情。2011年10月，以色列勞動(dòng)與社會(huì)福利部就曾有900萬人（以色列到2016年的人口只有855萬，這些數(shù)據(jù)中包括已故公民的數(shù)據(jù)）的個(gè)人信息被一個(gè)軟件承包商竊取。失竊的信息包括姓名、住址、出生日期、證件號和親屬關(guān)系等，并被放在一款名叫Agron2006的軟件上，銷售給需要不同信息的相關(guān)方。