谈剑峰：不可再生性才是生物认证的真正“痛点”

人民网上海3月18日电

2017年央视315晚会上，网络安全再次被推上风口浪尖。在节目现场，人工智能专家将主持人的证件照、观众的自拍照通过一定的技术加工之后，使其变成了可受任何人控制的脸部模型，并以此攻破了人脸识别的安全认证。该专家表示，目前人脸认证技术还不能在所有场景下做到非常成熟，如使用不当或被恶意利用很可能埋下隐患。

不仅是人脸认证，在我国互联网产业高速发展的当下，已经拥有接近7亿的手机网民，他们在线上进行社交通讯与消费的同时，信息安全却未得到全面的保护。你以为只有自己知道的银行卡密码，其实早已不是个人隐私；你以为短信消息验证最能证明你是你，其实谁都可能成为你；你以为独一无二的人脸识别、指纹识别等生物认证技术，也早已有无数种破解方法。随着网络技术的发展，网络信息化到处都潜伏着信息泄露的危机。

信息安全隐患不可掉以轻心

密码是消费者信息安全的第一道防线。生活之中需要用到密码的场合无处不在，为了保障民众的信息安全，各类技术公司、企业持续更新、升级认证技术，短信验证码、指纹识别、虹膜识别、人脸识别不断推陈出新，传统的“用户名+密码”进化到当前“用户名+密码+生物特征+活体验证”等更高级、立体的防护体系。面对科技含量越来越高的认证技术，无论是老百姓还是企业，都感到安全系数也随之提升，自己的信息安全有了更坚实的保障。然而事实并非如此。例如，人脸识别技术虽然看起来颇为先进，但是一旦有不法分子破解了其中的技术屏障，那么在提前获得消费者其他信息的条件下，直接通过“刷脸”的方式盗刷消费者钱财的可能性十分之大。

媒体曾曝光不少商家开设“网约车司机代办注册”的服务，为通过司机人像认证，商家根据身份证信息同步在网上购买对应的高清头像，然后按照央视315晚会上曝光的做法，帮助司机完成非法注册。这一方面给企业带来了损失，另一方面乘客的安全也难以得到保障，人脸认证形同虚设。

生物认证的真正“痛点”

315曝出“刷脸”并不安全后，一些公司立即发文强调自己的生物认证技术安全，他们的技术不是简单的人脸认证，还会辅以活体检测阶段的把控、交叉手段验证等解决方案，以增强其安全性，保护用户的个人信息安全。一时之间，很多人开始热议生物识别认证的辨识度和辨识时的安全性。

然而在上海市信息安全行业协会会长，众人科技创始人、董事长谈剑峰看来，目前大部分的用户寻找的只是一种安全“感”。当商家或交易平台给用户营造出一种安全感觉，用户就会觉得这样的支付手段或密码防护是安全的，继而一直使用。比如手机短信验证码，事实上攻击者可以通过木马病毒、伪基站、钓鱼网站等手段拦截获取验证码，已有无数的案例证明其并不安全，可是绝大部分用户感觉上既便捷又安全。