支付寶人臉識別被“破解”,我們的錢不安全了么?
常在河邊走,哪有不濕鞋。
支付寶這個支付老大哥,也在小陰溝里翻了個船。
竊取 2000 萬個人信息,“騙過”支付寶人臉驗證
根據浙江省衢州市中級人民法院的判決書顯示,從 2018 年 7 月份開始,張x的團伙雇傭姚xx,使用其購買的公民個人身份信息注冊支付寶賬號,并使用軟件將公民頭像照片制作成公民 3D 頭像,從而通過支付寶人臉識別認證。
該團伙通過這種方式來獲取支付寶提供的邀請注冊新支付寶用戶的相應紅包獎勵,每個新注冊支付寶至少可以獲取 28 元收益。
從 2018 年 7 月份至今,共使用他人公民個人身份信息注冊成功至少 547 個通過人臉識別認證的實名支付寶賬戶,從中非法獲利 15316 元。
支付寶不安全了么?
首先要說的是,支付寶還是目前安全性最高的支付平臺之一。
早在 2017 年央視披露人臉支付漏洞的時候,支付寶的人臉識別技術就已經可以結合眼紋等多因子驗證,達到 99.99% 的準確率。在實際應用場景中,也采用了活體檢測算法進行檢測(判斷采集到的人臉是活體信息而不是照片偽造、視頻偽造或者其他軟件模擬生成的)。
但技術總歸是不斷發展進步的,壞人掌握的技術也是一樣。并且,任何一個技術都有被黑被破解的可能,只是成本問題。
在人臉識別的破解這塊兒,這兩年興起了兩種新技術,即便加了活體檢測,也一樣可以繞過:
1.3D人臉仿真面具
顧名思義,就是通過 3D 打印技術打印出一張“人臉面具”,從而通過人臉檢測識別。這種方式可以通過大部分的人臉識別技術,門檻就在于制作成本較高。
2.人臉模型實時重建
這種方式對于技術能力的要求更高一些。通過仿真的人臉建模,實時進行面部動作調整,從而實現真人動作模擬。
看到這里大家就知道了,平常保護自己的生物信息隱私也是很重要的,隨著技術的發展,這些違法的操作成本和難度下降,不法分子們拿走我們的臉就像拿走我們的手機號一樣簡單。
那么支付寶的人臉識別就不安全了么?
也不盡然吶~
雖然都叫人臉識別,但不同平臺、不同操作步驟的識別算法和活體檢測算法是不完全一樣的。不能因為個例,就認定人臉識別都不可靠、認定支付寶的人臉識別不可靠,能得出的結論只是技術仍有漏洞、同志仍需努力。
也是因為考慮到人臉識別不能 100% 保證安全,支付寶其實也有一些其他的應對措施。
比如只對在當前手機上用密碼登錄成功過的用戶才開放人臉登錄(上述犯罪團伙也是同步掌握了相關賬戶和密碼信息才破解成功),換句話說,人臉識別是為風控多加的一把鎖,而不是唯一的一把鎖。從數據上看,正是因為新增了人臉校驗,一些通過撞庫的盜刷才得以避免。
生物識別為解決撞庫這一安全行業經典難題提供了解決的新思路和新方式,帶來的價值是不可忽視的。
另外,如果因為人臉登錄出現狀況導致賬號資金損失,支付寶也會進行全額賠償。所以,我還是愿意相信支付寶的~
人臉識別的現狀
現在的人臉識別從技術方案上分為 2D 和 3D 兩種。在 2D 方向上,一般會有活體識別技術(就像銀行系統需要眨眼抬頭張嘴之類的)、聲紋識別技術等配合人臉識別,這就確保了不會被低廉的技術手段來破解,比如下圖這個小學生用照片破解豐巢的人臉識別。
關于豐巢這個事兒,要為順豐說一句,這真不是他們技術的問題。我曾經在一次采訪中問過這件事,豐巢的這個設定從產品角度來講,因為存到豐巢中的快遞價值,并不值得添加活體檢測,快遞柜應用的人臉識別只是為了用戶使用更便捷而已,而安全性則是其次的。畢竟研發和應用活體識別價格不菲,這么做也可以理解。
說完正題。3D 方向以蘋果的結構光為主流。人臉識別技術發展至今,公開的技術資料當中,3D 人臉識別目前仍然是業界安全系數最高的方案,3D 結構光、TOF 飛行時間、雙目立體視覺識別是其中的三類主流方案。
個人認為未來人臉識別會讓大部分的數據信息變得更加安全,技術本身的防破解能力更強、應用的實際意義更大。
但技術總歸是一把雙刃劍,雖然這項技術在日常生活中的某些方面保障了人的安全,但也不可避免的存在著各種各樣的問題:個人信息被冒充、隱私信息被竊取等等。國外有媒體報道,人臉識別技術對我們隱私的侵犯或許讓人無法想象。
因此,有很多聲音呼吁“禁用人臉識別”。
但中國科學院人工智能倫理與安全研究中心負責人曾毅在一次采訪中表示,仍有 83% 的中國人支持「合理使用」人臉識別。不過,由于沒有具體的例子可表明何謂合理使用、何謂不合理使用,很難確定公眾意見,何況這項技術仍處于發展的初期階段。
人類不斷地發明創造新的技術,目標是提高生產力,創造更先進便捷的新社會、新秩序,但在發展的過程中,難免有波動。所以還是應該多注意一下“弱勢群體” —— 也就是我們這些被動接受社會發展的普通人。
我們期待社會發展進步,但不希望成為發展過程中的犧牲品。
