“刷脸登录”有漏洞？专家：生物特征数据被盗更危险

显示全部楼层 · 2021-1-10 05:12:13

在央视3.15晚会上，主持人现场提供了一张自己的证件照，大约一分钟后，这张照片由静态变成了动态，能眨眼、微笑。之后，主持人打开手机中的某人脸识别App，按照刷脸登录步骤操作，直接登录成功。
　　主持人随机邀请了一位观众，并找到观众个人微博中一张公开发布的自拍照。经现场技术处理，这张照片被快速生成了与观众本人一模一样的3D人脸模型。随后，主持人对准手中的手机镜头，将观众的3D脸模套在自己的脸上直接“换脸”，按照App中活体检测的提示依次完成眨眼、转头、微笑等动作，竟然骗过了App，顺利完成了活体检测认证。　　主持人随机邀请了一位观众，并找到观众个人微博中一张公开发布的自拍照。经现场技术处理，这张照片被快速生成了与观众本人一模一样的3D人脸模型。随后，主持人对准手中的手机镜头，将观众的3D脸模套在自己的脸上直接“换脸”，按照App中活体检测的提示依次完成眨眼、转头、微笑等动作，竟然骗过了App，顺利完成了活体检测认证。
　　新华社上海3月19日电（记者何欣荣）凭借一张观众的自拍照，就成功“换脸”破解手机的人脸认证系统。近期，“刷脸登录”存在的安全漏洞，在315维权活动中备受关注。不过，相关信息安全专家认为，比起数据在传输和认证过程中的安全漏洞，后台的生物特征数据一旦被盗，给用户带来的风险将会更大。
　　随着技术的不断进步，指纹识别、虹膜识别、人脸识别等生物认证方式不断推陈出新，传统的“用户名+密码”已经进化到当前的“用户名+密码+生物特征+活体检测”等更高级、立体的防护体系。面对科技含量越来越高的认证技术，无论是老百姓还是企业，都感到安全系数也随之提升。
　　然而事实并非如此。比如，人脸识别技术虽然看起来颇为先进，但是一旦有不法分子破解了其中的技术屏障，在获得消费者其他信息的条件下，就可能通过“刷脸”的方式侵害消费者利益。

　　在人脸识别的安全漏洞被曝光后，不少互联网企业纷纷在第一时间发表声明，表示已经预见到了这种风险。360首席科学家颜水成就表示，现阶段人脸认证技术还不能在所有场合做到非常成熟，在涉及个人隐私、财产等重要信息的场景下，建议启用多重认证方式。
　　上海市信息安全行业协会会长谈剑峰也表示，从原理上讲，所有的认证不外乎服务器端与认证端进行信息对比。在互联网环境下，一旦采用生物特征认证，就会产生特征数据。而所有的生物特征数据，只要进入计算机，就会被转换为0和1的机器码在数据库中储存起来。
　　“生物认证最大的共性是唯一性。每个人都有独一无二的脸、指纹和虹膜等。正是这种唯一性，让大家认为生物认证是安全的。但生物特征数据库一旦被攻破，大量的带有唯一性的生物特征数据被盗取，带来的风险要比‘盗刷’严重得多。这才是生物认证方式的真正‘痛点’。” 谈剑峰说。
　　在谈剑峰看来，现阶段生物认证技术，其实更适合于不联网的本地化应用，比如门禁、保险箱和银行保险库等。在缺乏成熟的信息安全技术的支持下，互联网企业不应急于将这类带有安全隐患的技术作为“噱头”来吸引大众。

千问 · 2021-1-10 05:12:13

三星下一款Galaxyot智能手机称将是Galaxyote7，将采用全新生物识别功能。

千问 · 2021-1-10 05:12:13

想不到现在这个世道想偷个懒不想输入密码都这么不安全了，难道只有免密登录才是我最后的归宿？

千问 · 2021-1-10 05:12:13

现在这世道真的是什么都会被盗啊，那还有什么是安全的？
　　现在说免密登录只能通过识别SIM卡登录，其它手机登录不了，不会有一天SIM卡信息也能盗吧？

千问 · 2021-1-10 05:12:13

幸好我没有用刷脸登录这玩意儿，我还怕卸了妆它识别不了呢~
　　所以说这么多，这些高新科技都不可靠，还不如我老老实实记密码输密码呢
　　哦不对，起码免密登录还是能用的，还没听到它被破解的消息嘛

千问 · 2021-1-10 05:12:13

"在人脸识别的安全漏洞被曝光后，不少互联网企业纷纷在第一时间发表声明，表示已经预见到了这种风险”
　　这我能说什么好...都是马后炮，不过也幸好，我一直没有用生物识别这个功能，可能老了吧，觉得尖端科技不怎么可靠，想不记密码偷懒一下就会用免密登录功能

千问 · 2021-1-10 05:12:13

每当又爆料说什么什么不安全的时候，不知道为何我都习惯了...
　　不过都不关我事，我一直都在用免密登录，中国电信这么大的公司肯定会管的嘛