“刷臉登錄”有漏洞？專(zhuān)家：生物特征數據被盜更危險

憑借一張觀(guān)眾的自拍照，就成功“換臉”破解手機的人臉認證系統。近期，“刷臉登錄”存在的安全漏洞，在３１５維權活動(dòng)中備受關(guān)注。不過(guò)，相關(guān)信息安全專(zhuān)家認為，比起數據在傳輸和認證過(guò)程中的安全漏洞，后臺的生物特征數據一旦被盜，給用戶(hù)帶來(lái)的風(fēng)險將會(huì )更大。

隨著(zhù)技術(shù)的不斷進(jìn)步，指紋識別、虹膜識別、人臉識別等生物認證方式不斷推陳出新，傳統的“用戶(hù)名+密碼”已經(jīng)進(jìn)化到當前的“用戶(hù)名+密碼+生物特征+活體檢測”等更高級、立體的防護體系。面對科技含量越來(lái)越高的認證技術(shù)，無(wú)論是老百姓還是企業(yè)，都感到安全系數也隨之提升。

然而事實(shí)并非如此。比如，人臉識別技術(shù)雖然看起來(lái)頗為先進(jìn)，但是一旦有不法分子破解了其中的技術(shù)屏障，在獲得消費者其他信息的條件下，就可能通過(guò)“刷臉”的方式侵害消費者利益。

在人臉識別的安全漏洞被曝光后，不少互聯(lián)網(wǎng)企業(yè)紛紛在第一時(shí)間發(fā)表聲明，表示已經(jīng)預見(jiàn)到了這種風(fēng)險。３６０首席科學(xué)家顏水成就表示，現階段人臉認證技術(shù)還不能在所有場(chǎng)合做到非常成熟，在涉及個(gè)人隱私、財產(chǎn)等重要信息的場(chǎng)景下，建議啟用多重認證方式。

上海市信息安全行業(yè)協(xié)會(huì )會(huì )長(cháng)談劍峰也表示，從原理上講，所有的認證不外乎服務(wù)器端與認證端進(jìn)行信息對比。在互聯(lián)網(wǎng)環(huán)境下，一旦采用生物特征認證，就會(huì )產(chǎn)生特征數據。而所有的生物特征數據，只要進(jìn)入計算機，就會(huì )被轉換為０和１的機器碼在數據庫中儲存起來(lái)。

“生物認證最大的共性是唯一性。每個(gè)人都有獨一無(wú)二的臉、指紋和虹膜等。正是這種唯一性，讓大家認為生物認證是安全的。但生物特征數據庫一旦被攻破，大量的帶有唯一性的生物特征數據被盜取，帶來(lái)的風(fēng)險要比‘盜刷’嚴重得多。這才是生物認證方式的真正‘痛點(diǎn)’。” 談劍峰說(shuō)。

在談劍峰看來(lái)，現階段生物認證技術(shù)，其實(shí)更適合于不聯(lián)網(wǎng)的本地化應用，比如門(mén)禁、保險箱和銀行保險庫等。在缺乏成熟的信息安全技術(shù)的支持下，互聯(lián)網(wǎng)企業(yè)不應急于將這類(lèi)帶有安全隱患的技術(shù)作為“噱頭”來(lái)吸引大眾。