2017
年央视
315
晚会上,网络安全再次被推上风口浪尖。在节目现场,人工智能专家将主持人的证件照、观众的自拍照通过一定的技术加工之后,使其变成了可受任何人控制的脸部模型,并以此攻破了人脸识别的安全认证。该专家表示,目前人脸认证技术还不能在所有场景下做到非常成熟,如使用不当或被恶意利用很可能埋下隐患。
不仅是人脸认证,在我国互联网产业高速发展的当下,已经拥有接近7亿的手机网民,他们在线上进行社交通讯与消费的同时,信息安全却未得到全面的保护。
随着网络技术的发展,网络信息化到处都潜伏着信息泄露的危机。
01.
信息安全隐患不可掉以轻心
密码是消费者信息安全的第一道防线。生活之中需要用到密码的场合无处不在,为了保障民众的信息安全,各类技术公司、企业持续更新、升级认证技术,短信验证码、指纹识别、虹膜识别、人脸识别不断推陈出新,传统的“用户名+密码”进化到当前“用户名+密码+生物特征+活体验证”等更高级、立体的防护体系。
面对科技含量越来越高的认证技术,无论是老百姓还是企业,都感到安全系数也随之提升,自己的信息安全有了更坚实的保障。然而事实并非如此。例如,人脸识别技术虽然看起来颇为先进,但是一旦有不法分子破解了其中的技术屏障,那么在提前获得消费者其他信息的条件下,直接通过“刷脸”的方式盗刷消费者钱财的可能性十分之大。
媒体曾曝光不少商家开设“网约车司机代办注册”的服务,为通过司机人像认证,商家根据身份证信息同步在网上购买对应的高清头像,然后按照央视315晚会上曝光的做法,帮助司机完成非法注册。这一方面给企业带来了损失,另一方面乘客的安全也难以得到保障,人脸认证形同虚设。
02.
生物认证的真正“痛点”
315曝出“刷脸”并不安全后,一些公司立即发文强调自己的生物认证技术安全,他们的技术不是简单的人脸认证,还会辅以活体检测阶段的把控、交叉手段验证等解决方案,以增强其安全性,保护用户的个人信息安全。一时之间,很多人开始热议生物识别认证的辨识度和辨识时的安全性。
然而在上海市信息安全行业协会会长,众人科技创始人、董事长谈剑峰看来,目前大部分的用户寻找的只是一种安全“感”。当商家或交易平台给用户营造出一种安全感觉,用户就会觉得这样的支付手段或密码防护是安全的,继而一直使用。
比如手机短信验证码,事实上攻击者可以通过木马病毒、伪基站、钓鱼网站等手段拦截获取验证码,已有无数的案例证明其并不安全,可是绝大部分用户感觉上既便捷又安全。
“诚然,生物认证在很多应用场景中并不安全。”谈剑峰指出,“当前很多讨论在认证时的匹配率有多高,如何用安全措施来提升识别的准确率,但是这些未切中生物识别的核心‘痛点’——生物特征的不可再生性。”
谈剑峰表示,从原理上讲,所有认证不外乎服务器端与认证端做对比认证。在互联网环境下,一旦采用生物特征认证,就一定会有特征数据库,然而所有的生物特征数据,只要进入计算机,就会被转换为0和1的机器码。只要是机器码就可以被截获、被重放、被重构。服务器端存储大量用户的特征数据库,特征数据库一旦被黑客或犯罪分子获取,后果无法挽回。“棱镜”事件和近期维基解密曝光CIA的机密文件就是很好的佐证。
“根据我们十年以来在信息安全身份认证技术方面的研究经验来说,只有不断变化的密码才是有效应对账户被盗风险的方式。但是这种防范行为对于生物认证技术而言,却难以实现。因为生物认证最大的共性是唯一性。我们有独一无二的脸、指纹和虹膜等。正是生物特征的唯一性,使得大家认为生物认证是安全的,也就是所谓的安全“感”,可正因如此,风险反而更大。生物特征库一旦被攻破,生物特征数据被盗,将永远不可能再生。这才是生物认证的真正‘痛点’。” 谈剑峰强调,“也就是这种不可再生性,使得生物认证技术并不适用在互联网环境下。”
03.
