央视曝光人脸识别安全漏洞,一个眼镜就可以解锁19款手机,这新闻火了。
从图中,可以看出,试验者带着包含眼部、鼻部主要特征的图片,通过了手机的人脸识别解锁。
专家称,即使是开发者也无法安全控制算法的输出、算法的执行逻辑。
算法非常不安全。
实际上,这并不是第一次报道人脸识别被假冒者骗过。去年10月,央视报道,科研测试面具代替人脸。参见《【紧急】"人脸识别"很危险!P一下图,分分钟掏空你的账户!》。
再往前,2017年315晚会上演的手机变脸,软件可以将一个人的脸贴到视频中另一个人上,还不影响视频的播放。
现在我们的手机开机、上班打卡、开门等都通过人脸识别,这是不是很危险呢?其实,并没有那么可怕。
首先,安全是分级别的,不同级别的应用,对应的安全级别是不一样的。例如手机开机,实际是级别非常低的应用。例如,去年由于受疫情影响,人们外出时都戴上了口罩,多款手机都支持戴着口罩时人脸识别开机,虽然之前保存的人脸数据并没戴口罩,但系统仍通过了。上班打卡级别可能更低。有多少人会为了待打卡准备人脸面具?
相比而言,银行自助办卡转账或在人脸识别ATM机上取款,就要求严格多了。也没看有多少人借机偷盗的。如果该银行造成了“巨额损失”,银行早把这些设备都当废品卖了。
其次,人工智能的计算能力在不断加强,计算能力加强,会推动更精准的识别,逐步减小错误识别被骗过的可能。人工智能的模式,结果不受开发者干预,但一代产品会比上一代准确率更高(如果准确率降低,为什么还要升级呢?)。
第三,就像手机APP一样,漏洞出现,开发者会根据漏洞的严重程度进行轻重缓急分类,然后快速解决影响较大的安全问题。例如,最开始手机号码远程实名认证时,用户只要提交身份证正面、背面以及手持身份证本身照就可以了。后来发现有人买卖他人的身份信息,然后用他人身份办理实名,运营商就改为通过视频认证了,去年为了打击人号分离(有人将自己实名办理的手机号码卖给诈骗分子),又引入了使用环境比对,如环境发生变化,运营商会再次发起远程视频认证。再例如,手机人脸识别开机,最开始照片就可以骗过去,现在需要3D人脸模型了,因为越来越多的手机中存储的人脸数据不再是平面的,增加了立体的“景深”信息。
与其关注,人脸识别的安全漏洞,还不如关注一下人脸数据的管理。到处都是摄像头,都收集数据。去年还曝出了房地产售楼处暗藏摄像头,以偷拍并识别用户是否是“老用户”,类似行为不少,这些都过度使用了个人人脸信息。
对人脸识别的管理应遵从几个原则:
1、非必需不采集,采集需明示,且“用后即焚”。
2、非必要不存储,存储需经审计,(1)判定确实必要,(2)存储信息有安全保障。
3、使用前已获得许可。包括行业许可和被采集信息的用户许可。返回搜狐,查看更多
责任编辑: