“刷脸登录”有漏洞生物特征被盗麻烦大

　　今年央视的“3·15”晚会上，主持人现场演示了人脸识别技术目前存在的安全性漏洞：一张观众的自拍照片，只要通过一定的图像处理和动态合成技术，就能够顺利通过人脸识别验证，登录个人账户。

　　看到这一段，估计平时觉得“刷脸登录”酷炫十足的小伙伴都会心中一惊。原来普普通通的静态照片，通过技术手段处理后，竟然可以变成动态的3D人脸模型，而且还可以根据语音提示操作，完成眨眼、右转头、左转头、左右摇头、微笑等复杂的面部动作，成功通过手机APP身份安全认证，完成刷脸登录。如果普通人脸照片都可以在人脸识别时变成蒙混过关的“幌子”，这岂不是意味着以后都不敢随意发布自己的自拍照了？

　　更让人吃惊的还在后面，相关信息安全专家认为，比起数据在传输和认证过程中的安全漏洞，后台的生物特征数据一旦被盗，给用户带来的风险将会更大。

　　随着技术的不断进步，指纹识别、虹膜识别、人脸识别等生物认证方式不断推陈出新，传统的“用户名+密码”已经进化到当前的“用户名+密码+生物特征+活体检测”等更高级、立体的防护体系。面对科技含量越来越高的认证技术，无论是老百姓还是企业，都感到安全系数也随之提升。

　　然而事实并非如此。比如，人脸识别技术虽然看起来颇为先进，但是一旦有不法分子破解了其中的技术屏障，在获得消费者其他信息的条件下，就可能通过“刷脸”的方式侵害消费者利益。

　　在人脸识别的安全漏洞被曝光后，不少互联网企业纷纷在第一时间发表声明，表示已经预见到了这种风险。360首席科学家颜水成就表示，现阶段人脸认证技术还不能在所有场合做到非常成熟，在涉及个人隐私、财产等重要信息的场景下，建议启用多重认证方式。

　　上海市信息安全行业协会会长谈剑峰也表示，从原理上讲，所有的认证不外乎服务器端与认证端进行信息对比。在互联网环境下，一旦采用生物特征认证，就会产生特征数据。而所有的生物特征数据，只要进入计算机，就会被转换为0和1的机器码在数据库中储存起来。

　　“生物认证最大的共性是唯一性。每个人都有独一无二的脸、指纹和虹膜等。正是这种唯一性，让大家认为生物认证是安全的。但生物特征数据库一旦被攻破，大量的带有唯一性的生物特征数据被盗取，带来的风险要比‘盗刷’严重得多。这才是生物认证方式的真正‘痛点’。” 谈剑峰说。

　　在谈剑峰看来，现阶段生物认证技术，其实更适合于不联网的本地化应用，比如门禁、保险箱和银行保险库等。在缺乏成熟的信息安全技术的支持下，互联网企业不应急于将这类带有安全隐患的技术作为“噱头”来吸引大众。