今年央视3.15晚会曝光了人脸识别厂家的技术漏洞,一时间“人脸识别技术到底能不能用?”就开始刷遍了朋友圈。
艾融软件旗下的上海宜签网络有限公司(专注于互联网身份识别和安全认证)总经理、网络安全技术专家——董峰先生,结合在银行实名认证系统建设的实践,分享了自己的看法。
1 人脸识别技术回归理性
2014年国际上深度学习算法获得突破,加上国内互联网金融的火爆,使得人脸识别技术成为市场上的宠儿。无论是招行的刷脸取款,还是马云在德国CeBIT上的刷脸支付,都让这个火热的市场更加沸腾了。一时间各个银行都在做人脸识别的选型测试,部分商业银行甚至直接启动了声纹、指纹、虹膜等识别技术的生物平台的建设。
但是,随着人民银行2015年底《加强账户管理的通知》出台,文中对人脸识别的定位是身份认证的辅助手段,给人脸识别沸腾市场浇了一瓢冷水,人脸识别市场迅速降温,很多银行在技术测试后,并没有实际启动人脸识别系统的建设。
今年的3.15节目更是把人脸识别技术推到了风口浪尖,短短两年,人脸识别恍如过山车。其实,人脸识别没有强大到可以解决银行所有业务的身份认证问题,也没有像媒体渲染的那样不堪,关键看你怎么去用。
2 单一的人脸识别技术不能解决互联网身份认证的问题
人脸识别技术本身是利用生物特征来识别人身份的一项技术。但是在计算机世界里,人脸特征作为每个人固有的生物特征需要量化为生物特征信息,也就是人脸的特征值来测量。因此,这个特征信息实际上在计算机中是静态的一串数值。如果拿它作为互联网身份认证的凭证,它就相当于静态口令(password ),只不过是长度较长的复杂度较高的口令而已。因此,所有静态口令的安全问题,它一样具有。
但是,口令泄密后可以修改,人脸特征信息泄露后,人是不能改变脸部特征的,除非你整容。从这个角度来看,人脸识别技术相比静态口令应用于互联网身份证时更加不合适,所有生物特征信息都不适合在互联网上传输。
十年前,安全界有位院士曾经在会议上说密码技术特别是非对称密码技术是解决网络信息安全的唯一技术。这句话对现在仍然具有理论指导意义:互联网身份认证问题受限是个网络安全问题。所以,必须以密码技术作为基础,需要解决信息采集、网络传输、中间人攻击、重放攻击等一系列安全问题。否则,人脸识别即便是100%的识别率,也不能用来做网络实名认证。显然,之前银行在方案设计和产品选型测试时,只关注了一点:人脸识别算法的识别率。
这样建设的身份认证系统,即使在活体检测阶段不出漏洞,在整个认证流程环节也会漏洞百出。
3 人脸识别技术在实际应用中还存在一些问题,但是仍然可用。
人脸识别技术在实际应用中,仍然受到室内外光线照射强度、光线照射角度、人像照片拍摄角度等多种因素的影响,会影响活体检测的成功率和人像对比的准确度。
但是,只要实际应用是做相应的优化,用户使用的易用性会大大加强。本人使用公安部的实名认证APP在地铁、有射灯的会议室内、不是强光直射的室外,甚至是路灯下测试:均能有效识别。
3.15曝光的漏洞让大家震动很大,我却没啥触动,其实这个问题早在2016年就有解决办法。只不过,360找了一个存在漏洞的公司产品进行攻击,再经过媒体这么一渲染,好像所有人脸识别产品都有问题。据我所知,公安部的APP、商汤科技的产品就不存在这样的问题。
当然,现在人脸识别技术还需要研究,怎么对易容术欺骗进行过滤? 尽管现在的易容术,很难骗过目前的人脸识别算法,但是谁能预计到未来3D打印技术有怎样的突破呢?
4 人脸识别技术可以在银行线下某些场合的应用
在2016中国国际金融展,上海宜签网络科技有限公司展台连续四天都非常火爆,每日都有参展嘉宾前来展台体验基于人脸识别技术的VIP客户识别系统,最高峰时段平均每10秒就有一人前来体验,这说明人脸识别技术在金融领域还是有应用的场景。
比如:银行网点VIP客户的识别,通过和柜面系统对接,可以给个人VIP用户提供很好的用户体验。我们在某行的数据中心,也将人脸识别应用于IT合作厂商人员的活动范围管理等。
5 人脸识别在互联网实名身份认证的辅助作用
在公安部2015年新建的“互联网+身份认证服务平台”就采用了人脸识别技术来保证人证合一性。
该整体方案由沈昌祥院士打造,在密码技术基础上,通过客户端的SDK和服务端的安全接入组件(密码设备),保障了身份信息、证件信息从采集到传输的安全,最后由公安系统判断是不是本人,完全满足人行账户管理办法中用户持本人真实、有效身份证件来办理开户业务的要求。
上海宜签网络科技有限公司是该平台在金融行业的接入服务商,可为银行接入该平台提供技术支持服务。
