本帖最后由 飞机飞行 于 2017-3-16 07:51 编辑
今年315晚会上,一段测试人脸识别安全性的互动演示让人细思极恐。主持人在360人工智能研究院技术专家帮助下,不仅能让观众的一张自拍照会眨眼,还能让其变成可受任何人控制的脸部模型,并以此攻破了人脸认证。
360社区
图:315现场人脸识别破解 这意味着,金融、互联网等各领域十分青睐的人脸识别,同样存在安全风险。360首席科学家、人工智能研究院院长颜水成表示,目前人脸认证技术尚不能在所有场景下做到非常成熟,尤其对活体检测的努力还不够,如使用不当或被恶意利用很可能埋下隐患。 骗子可能钻空子 个人隐私钱财遭殃 如今,人们需要使用密码的地方越来越多,继数字字母组合、手势、指纹之后,人脸识别作为一种新的密码形式备受推崇,尤其是一些包含个人隐私信息的软件、各种支付系统、银行类软件等正在逐步普及,刷脸登录、刷脸开户、刷脸取款等都已成为现实。
360社区
设想一下,以刷脸取款为例,如果厂商对风险考虑不周,一旦有诈骗分子发现了破解方式,在提前获取到诈骗对象的网银四大件(身份证、银行卡、密码、手机号)等真实信息情况下,直接通过刷脸无卡取款骗走钱财并非不可能。 要知道,由于个人信息泄露严重,网络黑市倒卖网银四大件现象已经屡见不鲜。同时,诈骗分子中不乏技术能人,近年来电信网络诈骗形势也正逐步向高科技方向发展。 再比如,未来刷脸进小区、刷脸进门都可能成为现实,如果有小偷抓住人脸识别可能存在的漏洞进行恶意利用,潜入公司或居民家中盗窃,后果不堪设想。 不法商家恶意牟利 企业“人财两失” 对于企业级用户而言,人脸识别被攻破不仅可能造成管理风险和利益损失,还可能间接对企业服务的用户造成影响。 比如不久前,就有媒体曾报道某打车软件的人像认证被攻破。不法商家以“司机代办注册”为名,在网上购得与买家同名同姓的司机身份信息,帮买家注册软件。 为通过司机人像认证,商家根据身份证信息同步在网上购买对应的高清头像,然后利用一款脸部动画制作软件将静态人物头像制作出仿真的脸部动画,使之变成动态图像。当买家用审核通过的账号密码登录软件出现人像验证提示后,直接将手机对着制作好的动画人脸,按照语音提示眨眼、张嘴便可顺利通过验证。 商家一边收取买家的注册费,帮助买家违规注册网约车司机,另一边则将买家注册的号与自己手中的账号绑定,领取打车软件给予的奖金福利。而原本用来进一步保障用户乘车安全的人像认证,最终形同虚设。 【安全建议】 融合多种认证手段 提高安全门槛 360首席科学家、人工智能研究院院长颜水成表示,除了上述领域,人脸识别也正在逐步应用到医疗保险、社会保障福利计划、铁路设施接驳和机场安保等多种领域,其安全性关系到个人、企业甚至国家安防等各个层级,“各大厂商现阶段仍然需要对人脸识别进行提防,防止人工智能‘快跑’带来的安全隐患。” 颜水成建议,相关技术厂商不仅要关注人脸比对的准确率,还应重视活体检测及人脸识别系统的使用场景,提高研发能力,在涉及隐私、支付等高级别安全场景使用时,注意将人脸与声纹、指纹、虹膜及其他生物认证信号相融合,多个方面同时发力,从而提高安全门槛,保障用户安全。 另外,3.15晚会上的人脸识别登录破解也主要暴露了针对身份认证的安全问题。360企业安全移动安全专家赵刚认为:除了晚会上展示的针对人脸识别登录的攻击破解,在互联网环境中,各种针对身份认证登录的攻击无所不在,如盗取用户银行登陆信息,窃取用户财产;盗取企业或政府员工的邮件账号窃取重要的机密邮件信息;盗取员工的账号信息登录企业内网进行恶意攻击等等,大多针对企业的攻击都是从身份盗用开始的。
360社区
针对身份认证的安全问题,360企业安全推出的360ID安全方案采用全新的身份认证体系,采用软件动态口令、二维码认证的方式,将硬件动态令牌软件化,对认证信息进行加密,并且将身份令牌平台和业务系统在内网直接进行交互,可以有效的解决因口令欺诈、中间人攻击而导致的重大损失,防止恶意入侵者或人为攻击,保护个人及企业的数据信息安全。 |
评论
直达楼层