前兩年互聯(lián)網(wǎng)大咖花式秀了一把人臉識別,伴隨著網(wǎng)絡(luò)銀行成立的背景,全國一夜之間冒出了上百家人臉識別技術(shù)公司,隨后公安、人民銀行的謹慎試點態(tài)度出臺,狂熱的人臉識別技術(shù)投資熱潮被澆了一盆冷水。
上周一篇未來網(wǎng)首發(fā)的《公安部推廣 網(wǎng)絡(luò)身份證 應(yīng)用試點 刷臉 就能看病旅游住酒店》的文章,把已經(jīng)冷靜下來的人臉識別技術(shù)話題又炒了起來,而且還打出了公安部的名頭。作為一個有十幾年信息安全行業(yè)經(jīng)驗的從業(yè)人員,站在信息安全的角度探討一下為什么不能在互聯(lián)網(wǎng)上遠程使用人臉識別技術(shù)識別身份,歡迎各路神仙拍磚。
第一,網(wǎng)上識別身份是一個嚴肅的信息安全問題
身份識別作為信息安全問題,本不用解釋,要解釋的是什么樣的信息安全問題。具體來說,身份一詞在漢語中有多種解釋,拋開職務(wù)、學(xué)歷、職稱的屬性信息,在信息安全領(lǐng)域,常見的就有賬戶身份識別和法定身份識別兩種,舉例來說,就是工作證和身份證的區(qū)別,經(jīng)常有人混淆這兩種應(yīng)用場景。
對賬戶身份的識別,可以用多種方式,用戶名口令就是最常見的技術(shù)方式,安全一點的可以用U盾,總而言之,企業(yè)和用戶愿意用什么技術(shù)就可以用什么技術(shù),反正出了問題企業(yè)承擔責任,除了隱私問題(后面會詳細展開),只是企業(yè)行為導(dǎo)致局部風險。
對法定身份的識別,則要嚴肅的多。畢竟應(yīng)用范圍廣,影響大,涉及國家行為,要做充分考慮,一個處理不慎,就會導(dǎo)致全局的風險,甚至影響公共安全和國家安全。
2014年10月14日,BBC新聞報道 韓國的身份證系統(tǒng)將推倒重來 。報道稱:韓國政府正考慮給17歲以上的公民發(fā)放新的身份號碼,整個重建過程將耗資幾十億美元、耗時10年以上!重建的原因是自2004年以來,韓國在網(wǎng)上普遍采用基于身份信息比對的身份認證措施,導(dǎo)致韓國大量的公民信息被盜,全國5000萬人口中有80%人口的身份證號和個人隱私信息,被黑客從銀行和其他網(wǎng)絡(luò)服務(wù)商的服務(wù)器中竊取。
現(xiàn)在的問題是,在業(yè)務(wù)快速整合的互聯(lián)網(wǎng)環(huán)境下,賬戶管理方和應(yīng)用方甚至可以不是同一家,比如我們可以用qq號和qq密碼登錄各類論壇,大型公司(不僅僅是互聯(lián)網(wǎng)公司)聚集了海量用戶,在通過開放平臺為這些用戶提供和接入更多的互聯(lián)網(wǎng)服務(wù)時,不可避免的要介入一些傳統(tǒng)法定身份識別要求的領(lǐng)域,如銀行開戶,政務(wù)民生,由于國內(nèi)在網(wǎng)上法定身份的識別方面技術(shù)和業(yè)務(wù)的不明確,才導(dǎo)致各類網(wǎng)上賬戶身份識別技術(shù)向網(wǎng)上法定身份識別業(yè)務(wù)發(fā)起挑戰(zhàn)。
為了避免無謂的爭論(人臉識別技術(shù)用于賬戶身份識別不屬于本文討論的范圍),顯然,今天我們重點討論的是互聯(lián)網(wǎng)上法定身份識別能不能采用人臉識別技術(shù)。
第二,人臉識別技術(shù)缺乏理論基礎(chǔ)
人臉識別技術(shù)有硬傷,不客氣的說人臉識別技術(shù)基于經(jīng)驗而不是科學(xué)。目前并沒有可靠的理論基礎(chǔ),也沒有權(quán)威的實驗證明是否任意兩個人的臉是不同的(互聯(lián)網(wǎng)上下求索而不得道,歡迎賜教)。
我們經(jīng)常在單位門禁、考勤設(shè)備中看到人臉識別技術(shù)的應(yīng)用,但是一般單位才多少人?放到海量用戶的背景下,這個經(jīng)驗還成立嗎?
歷史上最著名的人臉誤判案例可能是1903年在美國堪薩斯州發(fā)生的William West-Will West案件。當時一個名為威爾?韋斯特(Will West)的犯人正要被收押進萊文沃思(Leavenworth)監(jiān)獄。監(jiān)獄職員看他面熟,問他以前是否來過這里,威爾說沒有。接著職員調(diào)出了William West的照片給威爾看,威爾說: 這的確是我,可是你們是怎么拿到這張照片的呢?以前我從未到這兒來過。 從此,從美國開始,各國監(jiān)獄和司法系統(tǒng)開始用指紋進行罪犯身份登記和管理。