中新网首页| 安徽| 北京| 重庆| 福建| 甘肃| 贵州| 广东| 广西| 海南| 河北| 河南| 湖北| 湖南| 江苏| 江西| 吉林| 辽宁| 山东| 山西| 陕西| 广东| 四川| 香港| 新疆| 兵团| 云南| 浙江

谈剑峰:不可再生性才是生物认证的真正“痛点”
2017年03月19日 18:20   来源:  

中新上海网3月19日电2017年央视315晚会上网络安全再次被推上风口浪尖。在节目现场,人工智能专家将主持人的证件照、观众的自拍照通过一定的技术加工之后,使其变成了可受任何人控制的脸部模型,并以此攻破了人脸识别的安全认证。该专家表示,目前人脸认证技术还不能在所有场景下做到非常成熟,如使用不当或被恶意利用很可能埋下隐患。
  不仅是人脸认证,在我国互联网产业高速发展的当下,已经拥有接近7亿的手机网民,他们在线上进行社交通讯与消费的同时,信息安全却未得到全面的保护。你以为只有自己知道的银行卡密码,其实早已不是个人隐私;你以为短信消息验证最能证明你是你,其实谁都可能成为你;你以为独一无二的人脸识别、指纹识别等生物认证技术,也早已有无数种破解方法。随着网络技术的发展,网络信息化到处都潜伏着信息泄露的危机。
  信息安全隐患不可掉以轻心
  密码是消费者信息安全的第一道防线。生活之中需要用到密码的场合无处不在,为了保障民众的信息安全,各类技术公司、企业持续更新、升级认证技术,短信验证码、指纹识别、虹膜识别、人脸识别不断推陈出新,传统的“用户名+密码”进化到当前“用户名+密码+生物特征+活体验证”等更高级、立体的防护体系。面对科技含量越来越高的认证技术,无论是老百姓还是企业,都感到安全系数也随之提升,自己的信息安全有了更坚实的保障。然而事实并非如此。例如,人脸识别技术虽然看起来颇为先进,但是一旦有不法分子破解了其中的技术屏障,那么在提前获得消费者其他信息的条件下,直接通过“刷脸”的方式盗刷消费者钱财的可能性十分之大。
  媒体曾曝光不少商家开设“网约车司机代办注册”的服务,为通过司机人像认证,商家根据身份证信息同步在网上购买对应的高清头像,然后按照央视315晚会上曝光的做法,帮助司机完成非法注册。这一方面给企业带来了损失,另一方面乘客的安全也难以得到保障,人脸认证形同虚设。
  生物认证的真正“痛点”
  315曝出“刷脸”并不安全后,一些公司立即发文强调自己的生物认证技术安全,他们的技术不是简单的人脸认证,还会辅以活体检测阶段的把控、交叉手段验证等解决方案,以增强其安全性,保护用户的个人信息安全。一时之间,很多人开始热议生物识别认证的辨识度和辨识时的安全性。
  然而在上海市信息安全行业协会会长,众人科技创始人、董事长谈剑峰看来,目前大部分的用户寻找的只是一种安全“感”。当商家或交易平台给用户营造出一种安全感觉,用户就会觉得这样的支付手段或密码防护是安全的,继而一直使用。比如手机短信验证码,事实上攻击者可以通过木马病毒、伪基站、钓鱼网站等手段拦截获取验证码,已有无数的案例证明其并不安全,可是绝大部分用户感觉上既便捷又安全。
  “诚然,生物认证在很多应用场景中并不安全。”谈剑峰指出,“当前很多讨论在认证时的匹配率有多高,如何用安全措施来提升识别的准确率,但是这些未切中生物识别的核心‘痛点’——生物特征的不可再生性。”
  谈剑峰表示,从原理上讲,所有认证不外乎服务器端与认证端做对比认证。在互联网环境下,一旦采用生物特征认证,就一定会有特征数据库,然而所有的生物特征数据,只要进入计算机,就会被转换为0和1的机器码。只要是机器码就可以被截获、被重放、被重构。服务器端存储大量用户的特征数据库,特征数据库一旦被黑客或犯罪分子获取,后果无法挽回。“棱镜”事件和近期维基解密曝光CIA的机密文件就是很好的佐证。
  “根据我们十年以来在信息安全身份认证技术方面的研究经验来说,只有不断变化的密码才是有效应对账户被盗风险的方式。但是这种防范行为对于生物认证技术而言,却难以实现。因为生物认证最大的共性是唯一性。我们有独一无二的脸、指纹和虹膜等。正是生物特征的唯一性,使得大家认为生物认证是安全的,也就是所谓的安全“感”,可正因如此,风险反而更大。生物特征库一旦被攻破,生物特征数据被盗,将永远不可能再生。这才是生物认证的真正‘痛点’。”谈剑峰强调,“也就是这种不可再生性,使得生物认证技术并不适用在互联网环境下。”
  加强信息安全需众人之力
  生物认证技术也不应被“全盘否定”,其适合于不联网的本地化应用,比如门禁、保险箱、银行保险库和金库等。不过,谈剑峰提醒,在缺乏成熟的信息安全技术的支持下,各行业和互联网企业不应急于将这类带有安全隐患的技术作为“噱头”来吸引大众。他指出,虽然现在一些互联网企业声称在后台进行的仍然是传统的密码技术传输,并不是用户的指纹和脸部等特征数据,但这并不意味着用户的生物特征数据就没有被记录、采集。这些互联网企业拥有着海量的用户信息,但绝大部分缺乏防范意识或能力,无力研发、采购安全技术和安全产品,或者以看似先进却并不安全的技术吸引大众,这就使得用户的个人信息面临着巨大的被泄露的风险。作为互联网企业,在业务发展的过程中不能一味追求便捷性,从社会责任的角度,应该把安全放在突出和重要的位置,采用成熟的安全技术和风险控制措施,切实保障好用户的信息安全,这才是真正服务用户、获得用户信任的双赢方法。
  信息安全关乎个人隐私与财产安全,乃至国家安全,而315晚会上的警钟,让人们再次意识到护卫信息安全的重要性。构建安全的网络环境,除了政府和企业等多方参与,还需要民众提升个人的信息安全意识。“当前很多民众的信息安全知识匮乏,大家的安全意识还很淡薄。因此,信息安全知识要广而告之式普及,进行积极有效地宣传,让用户有更多的渠道了解并学习到相关常识和知识,不断提高自身的安全辨识和风险防范能力。”(完)

 

 

 

注:请在转载文章内容时务必注明出处!   编辑:缪璐

5
热点视频
阿拉微上海
上海新闻网官方微信
上海人、上海事。
专业媒体、靠谱新闻。
图片报道
本网站所刊载信息,不代表中新社和中新网观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
常年法律顾问:上海金茂律师事务所