近日,一条来自国外的新闻开始在网上流传,一家美国公司通过制作高精度3D打印面具在全世界各地欺骗了人脸识别系统,其中就包括支付宝和微信支付,此外该公司还宣称他们使用同样的方法进入了中国的火车站。
新闻一经发出迅速引起热议,不少网友对人脸识别的可靠性产生了质疑,目前支付宝、微信还未对此事做出任何回应。
攻破的是什么设备?
在新闻报道中,我们只知道该公司使用3D面具欺骗了支付宝和微信的人脸识别,但不知道他们是针对哪些设备进行的试验。设备不同采用的人脸识别技术也不同,如今年10月被小学生用照片破解的丰巢快递柜使用的就是2D人脸识别技术,目前大部分手机搭载的也是2D人脸识别系统。
除了手机之外,一般的人脸识别装置由于开发难度、成本等诸多原因也不一定会搭载真正意义上的3D人脸识别系统,而是搭载更为简单的2D+人脸识别,这种技术的安全性比2D人脸识别具有更高但是比3D人脸识别低,不过成本比3D人脸识别低很多。
而真正搭载3D人脸识别系统的装置在技术上也有区别,通常来说有三种,3D结构光方案、TOF 3D方案以及双目立体成像方案。三种方案技术路线完全不一样,目前主流认为3D结构光方案安全性最高,但是开发难度极大,而且苹果和华为垄断了大部分专利,TOF 3D方案性能不亚于3D结构光方案,但是其成本太高,双目立体成像方案则是容易受到环境影响。
由于设备不同采用的人脸识别技术不同,以及攻击环境的不同,3D面具对于人脸识别系统的攻击结果是可以预料的。
使用3D面具攻击落后的2D人脸识别设备或者低成本的2D+人脸识别设备有极大的可能性可以骗过人脸识别系统,如果在光线条件不好的情况下攻击双目立体3D人脸识别设备也有一定的成功率,但是攻击目前最先进,且不受光线影响、精度较高的3D结构光以及TOF 3D人脸识别设备成功率会低到可怜。
事实上,该公司也明确指出他们没有成功骗过苹果设备的人脸识别系统,换句话说,该公司不过是使用最先进的3D打印技术产品去攻击人脸识别技术中比较落后的技术成果,并不能说明人脸识别技术不安全。
人脸识别不安全账户也会不安全?
想要制作一个骗过人脸识别系统的3D面具不是那么容易的事情,首先要采集到目标对象头部高精度3D模型,其次要不计成本完成毫米级精度制作,力求完美,最后还要拿到相应的账户信息或用户手机。
如果拿不到账户信息或用户手机就没有办法在线上进行盗刷,如果进行线下盗刷,骗过机器容易骗过收银员就不容易了。对于人脸支付,央行一直倡导进行人脸识别+支付口令双重认证,一旦普及,即使3D面具再天衣无缝、以假乱真也无法进行盗刷。
任何技术的发展不可能一蹴而就,人脸识别技术也是如此,目前最安全的3D人脸识别方案由于种种原因没有普及,但并不意味着安全得不到保障,人脸识别+支付口令就是一个很好的方案,此外,支付宝盗刷全赔的承诺一样可以对资金安全带来保障。
除了双重认证、盗刷赔付之外,大数据风控也是保护账户安全的技术方法。每一个用户在一定时间内只会在一定范围进行活动,活动的内容和类型虽然繁复多样,但具有一定规律和特征,超出一定规律和特征的行为称之为敏感行为,大数据风控的主要作用就是实时进行敏感行为识别,从而保护安全。
或许只是一次营销
人脸识别技术有一点劣势,它不是一项必须100%正确才可以通过的身份认证技术,但是它也有不可否认的优势,它可以有效保证人证合一,实人实证。一项技术有劣势有优势才是正常,没有一项技术是完美无缺的,不可因为优势忽略劣势,也不可因为劣势忽略优势。
如前文所说,美国公司的攻击行动没有超出预料,也很难进行复制,更大的可能性,只是这家人工智能公司为了推销自己的产品做的一次碰瓷宣传。这种宣传动作带有一定的法律风险,使用3D面具攻击他人支付宝账号是否构成盗窃罪先不论,假冒他人身份、使用他人身份证本身违法。
《中华人民共和国居民身份证法》第十七条规定,冒用他人居民身份证由公安机关处二百元以上一千元以下罚款,或者处十日以下拘留,有违法所得的,没收违法所得。