誰(shuí)在背后反復(fù)炒作人臉識(shí)別技術(shù)? 2016年09月28日10:57 來(lái)源:虎嗅網(wǎng)|
前兩年互聯(lián)網(wǎng)大咖花式秀了一把人臉識(shí)別,伴隨著網(wǎng)絡(luò)銀行成立的背景,全國(guó)一夜之間冒出了上百家人臉識(shí)別技術(shù)公司,隨后公安、人民銀行的謹(jǐn)慎試點(diǎn)態(tài)度出臺(tái),狂熱的人臉識(shí)別技術(shù)投資熱潮被澆了一盆冷水。
上周一篇未來(lái)網(wǎng)首發(fā)的《公安部推廣“網(wǎng)絡(luò)身份證”應(yīng)用試點(diǎn)“刷臉”就能看病旅游住酒店》的文章,把已經(jīng)冷靜下來(lái)的人臉識(shí)別技術(shù)話題又炒了起來(lái),而且還打出了公安部的名頭。作為一個(gè)有十幾年行業(yè)經(jīng)驗(yàn)的從業(yè)人員,站在信息安全的角度探討一下為什么不能在互聯(lián)網(wǎng)上遠(yuǎn)程使用人臉識(shí)別技術(shù)識(shí)別身份,歡迎各路神仙拍磚。
第一,網(wǎng)上識(shí)別身份是一個(gè)嚴(yán)肅的信息安全問(wèn)題
身份識(shí)別作為信息安全問(wèn)題,本不用解釋,要解釋的是什么樣的信息安全問(wèn)題。具體來(lái)說(shuō),身份一詞在漢語(yǔ)中有多種解釋,拋開(kāi)職務(wù)、學(xué)歷、職稱的屬性信息,在信息安全領(lǐng)域,常見(jiàn)的就有賬戶身份識(shí)別和法定身份識(shí)別兩種,舉例來(lái)說(shuō),就是工作證和身份證的區(qū)別,經(jīng)常有人混淆這兩種應(yīng)用場(chǎng)景。
對(duì)賬戶身份的識(shí)別,可以用多種方式,用戶名口令就是最常見(jiàn)的技術(shù)方式,安全一點(diǎn)的可以用U盾,總而言之,企業(yè)和用戶愿意用什么技術(shù)就可以用什么技術(shù),反正出了問(wèn)題企業(yè)承擔(dān)責(zé)任,除了問(wèn)題(后面會(huì)詳細(xì)展開(kāi)),只是企業(yè)行為導(dǎo)致局部風(fēng)險(xiǎn)。
對(duì)法定身份的識(shí)別,則要嚴(yán)肅的多。畢竟應(yīng)用范圍廣,影響大,涉及國(guó)家行為,要做充分考慮,一個(gè)處理不慎,就會(huì)導(dǎo)致全局的風(fēng)險(xiǎn),甚至影響公共安全和國(guó)家安全。
2014年10月14日,BBC新聞報(bào)道“韓國(guó)的身份證系統(tǒng)將推倒重來(lái)”。報(bào)道稱:韓國(guó)政府正考慮給17歲以上的公民發(fā)放新的身份號(hào)碼,整個(gè)重建過(guò)程將耗資幾十億美元、耗時(shí)10年以上!重建的原因是自2004年以來(lái),韓國(guó)在網(wǎng)上普遍采用基于身份信息比對(duì)的身份措施,導(dǎo)致韓國(guó)大量的公民信息被盜,全國(guó)5000萬(wàn)人口中有80%人口的身份證號(hào)和個(gè)人隱私信息,被黑客從銀行和其他網(wǎng)絡(luò)服務(wù)商的服務(wù)器中竊取。
現(xiàn)在的問(wèn)題是,在業(yè)務(wù)快速整合的互聯(lián)網(wǎng)環(huán)境下,賬戶管理方和應(yīng)用方甚至可以不是同一家,比如我們可以用qq號(hào)和qq密碼登錄各類論壇,大型公司(不僅僅是互聯(lián)網(wǎng)公司)聚集了海量用戶,在通過(guò)開(kāi)放平臺(tái)為這些用戶提供和接入更多的互聯(lián)網(wǎng)服務(wù)時(shí),不可避免的要介入一些傳統(tǒng)法定身份識(shí)別要求的領(lǐng)域,如銀行開(kāi)戶,政務(wù)民生,由于國(guó)內(nèi)在網(wǎng)上法定身份的識(shí)別方面技術(shù)和業(yè)務(wù)的不明確,才導(dǎo)致各類網(wǎng)上賬戶身份識(shí)別技術(shù)向網(wǎng)上法定身份識(shí)別業(yè)務(wù)發(fā)起挑戰(zhàn)。
為了避免無(wú)謂的爭(zhēng)論(人臉識(shí)別技術(shù)用于賬戶身份識(shí)別不屬于本文討論的范圍),顯然,今天我們重點(diǎn)討論的是互聯(lián)網(wǎng)上法定身份識(shí)別能不能采用人臉識(shí)別技術(shù)。
第二,人臉識(shí)別技術(shù)缺乏理論基礎(chǔ)
人臉識(shí)別技術(shù)有硬傷,不客氣的說(shuō)人臉識(shí)別技術(shù)基于經(jīng)驗(yàn)而不是科學(xué)。目前并沒(méi)有可靠的理論基礎(chǔ),也沒(méi)有權(quán)威的實(shí)驗(yàn)證明是否任意兩個(gè)人的臉是不同的(互聯(lián)網(wǎng)上下求索而不得道,歡迎賜教)。
我們經(jīng)常在單位門禁、考勤設(shè)備中看到人臉識(shí)別技術(shù)的應(yīng)用,但是一般單位才多少人?放到海量用戶的背景下,這個(gè)經(jīng)驗(yàn)還成立嗎?
歷史上最著名的人臉誤判可能是1903年在美國(guó)堪薩斯州發(fā)生的WilliamWest-WillWest案件。當(dāng)時(shí)一個(gè)名為威爾?韋斯特(WillWest)的犯人正要被收押進(jìn)萊文沃思(Leavenworth)監(jiān)獄。監(jiān)獄職員看他面熟,問(wèn)他以前是否來(lái)過(guò)這里,威爾說(shuō)沒(méi)有。接著職員調(diào)出了WilliamWest的照片給威爾看,威爾說(shuō):“這的確是我,可是你們是怎么拿到這張照片的呢?以前我從未到這兒來(lái)過(guò)。”從此,從美國(guó)開(kāi)始,各國(guó)監(jiān)獄和司法系統(tǒng)開(kāi)始用指紋進(jìn)行罪犯身份登記和管理。
最近一次的人臉烏龍應(yīng)該就是趙薇家司機(jī)偷賣別墅案了。司機(jī)為何能賣掉趙薇老公黃有龍的房產(chǎn)呢?究其原因,竟然是該司機(jī)冒充黃有龍到公證處,通過(guò)人臉識(shí)別技術(shù)辦理了委托公證證明,委托另一人將房屋賣給了武某。事情敗露,該房屋自然無(wú)法騰退交付,黃有龍也就被武某告上了法庭,要求交付房屋。那么這里有一個(gè)細(xì)節(jié)相信大家都已經(jīng)注意到了,那就是公證處的人臉識(shí)別技術(shù)。
據(jù)了解,目前已有部分公證處引進(jìn)了人臉識(shí)別技術(shù),人臉識(shí)別系統(tǒng)采用最新人臉識(shí)別方法,通過(guò)攝像頭捕獲到的人像或是指定的人像與數(shù)據(jù)庫(kù)中已登記的某一對(duì)象作比對(duì)核實(shí),確定其是否為同一人。對(duì)于識(shí)別精度,某人臉識(shí)別系統(tǒng)的廣告稱,識(shí)別率高于98.3%。由此看來(lái),要騙過(guò)人臉識(shí)別系統(tǒng)不是容易的事,但這位司機(jī)為何能冒充黃有龍通過(guò)人臉識(shí)別呢?
說(shuō)到這里,如果要說(shuō)哪一種技術(shù)用于法定身份識(shí)別更有前途的話,我會(huì)選擇指紋識(shí)別技術(shù),這個(gè)判斷是有法律依據(jù)。
我們知道,目前第二代身份證還不能掛失、“人證合一”要靠查驗(yàn)人對(duì)著持證人和身份證照片費(fèi)勁地主觀對(duì)比,這些弊端一直在被大眾所詬病?,F(xiàn)在,人臉識(shí)別技術(shù)在線下實(shí)體環(huán)境作為人證合一的輔助手段,可以解決身份證線下應(yīng)用的部分弊端,但這一技術(shù)在線下并未得到官方認(rèn)可。相反,從2012年1月1日起施行的《中華人民共和國(guó)居民身份證法》已說(shuō)明新辦二代身份證要強(qiáng)制加載指紋,加載指紋的二代身份證和可識(shí)別指紋的二代身份證普及后,靠二代身份證加指紋識(shí)別而不是人臉識(shí)別才是解決線下“人證合一”問(wèn)題的正確之道。
第三,網(wǎng)上人臉識(shí)別的技術(shù)可行性問(wèn)題
人臉識(shí)別在網(wǎng)上大規(guī)模應(yīng)用本身面臨不小的技術(shù)難題:
首先,從技術(shù)上來(lái)說(shuō),人臉識(shí)別不是精確的信息比對(duì),而是一個(gè)相似度比對(duì),由于人臉識(shí)別算法技術(shù)路線不同,閾值的設(shè)定方法完全不同,評(píng)判的自然也不同,即使從識(shí)別實(shí)際效果看,包括誤識(shí)率、拒識(shí)率等((1)誤識(shí)率(FalseAcceptRate,F(xiàn)AR):這是將其他人誤作指定人員的概率;(2)拒識(shí)率(FalseRejectRate,F(xiàn)RR):這是將指定人員誤作其它人員的概率)。這些結(jié)果受到訓(xùn)練和測(cè)試空間樣本的影響,很難做出孰優(yōu)孰劣的判斷。
其次,大規(guī)模使用面臨資源問(wèn)題,人臉圖片的采集如果不做活體檢測(cè)的話,很容易招致基于用戶照片的重放攻擊。而活體檢測(cè)的話,對(duì)后臺(tái)的計(jì)算資源和網(wǎng)絡(luò)的傳輸資源要求較高,所以在目前實(shí)際上線的人臉識(shí)別都是非常容易攻破的,筆者親自嘗試過(guò)好幾個(gè),這里就不點(diǎn)名了,至于在人臉識(shí)別基礎(chǔ)上發(fā)展的視頻識(shí)別技術(shù)就更別提了。
再次,人臉數(shù)據(jù)在網(wǎng)上采集難,如果基于公安人口庫(kù)在線下采集,在線上使用的話,誰(shuí)能保證這個(gè)信息庫(kù)不被黑客攻破的,一旦出事,全中國(guó)人的臉就要在互聯(lián)網(wǎng)上丟盡了,非常危險(xiǎn)。
第四,網(wǎng)上人臉識(shí)別的抗攻擊問(wèn)題
一個(gè)人具有生物特征,包括人臉、指紋、虹膜、DNA等,這些特征在一起,可以確定我們的身份,但是當(dāng)這些特征被各種傳感器信息化提取后放到互聯(lián)網(wǎng)上,就成了生物特征信息。生物特征信息能不能證明自己的身份,就要看這個(gè)提取過(guò)程是否安全,會(huì)不會(huì)被復(fù)制、偽造、合成?在網(wǎng)上使用人臉識(shí)別技術(shù)用于法定身份識(shí)別是不是經(jīng)過(guò)對(duì)抗性分析?在網(wǎng)上使用人臉識(shí)別的過(guò)程中,面部信息被存留怎么辦?采集的面部信息被盜取怎么辦?2011年,csdn密碼泄露(據(jù)說(shuō)還有人人、天涯、開(kāi)心網(wǎng)),結(jié)果全國(guó)網(wǎng)民紛紛改密碼,如果有一天,我們的人臉庫(kù)泄露了,我們?cè)撛趺崔k?換臉嗎?
信息安全行業(yè)對(duì)于任何新技術(shù)的應(yīng)用都是慎之又慎的,許多問(wèn)題太專業(yè),我就不展開(kāi)了,挑幾個(gè)典型的例子吧。
生物識(shí)別技術(shù)起源于西方發(fā)達(dá)國(guó)家,那么好的技術(shù)為什么沒(méi)有一個(gè)發(fā)達(dá)國(guó)家在網(wǎng)上大規(guī)模用于身份識(shí)別?
第五,隱私保護(hù)問(wèn)題
最后一個(gè)問(wèn)題事關(guān)你我。
現(xiàn)在網(wǎng)絡(luò)上各類隱私信息泄露已呈泛濫趨勢(shì),有人說(shuō)面部信息不是隱私,那賓館不能把酒店住客的監(jiān)控錄像放到網(wǎng)上?如果賓館不可以,那能不能在大街上每個(gè)單位門口按一個(gè)攝像頭?Google地圖中為什么要給面部打碼。
最后,生物識(shí)別因其不易更改性,不滿足一般訪問(wèn)控制機(jī)制里對(duì)身份識(shí)別憑證能定期更改以降低風(fēng)險(xiǎn)的要求,根本就不是個(gè)適合大規(guī)模身份識(shí)別的選擇。種種不可為,很多人也明白,筆者不禁要問(wèn),誰(shuí)在背后反復(fù)炒作?意欲何為?
責(zé)任編輯:鐘娟娟