人脸识别,是网络身份认证的新工具,但这些工具安全吗?金山毒霸安全研究人员建议谨慎对待。曾有网络安全专家指出,一旦人脸识别大规模应用,那些喜欢在社交媒体上晒自拍的人就有大麻烦了。
果然,央视315晚会向人们展示了针对人脸识别的攻击演示。直播中,可以轻易使用3D建模工具为一张人脸照片加上眨眼、动嘴、转头等动作。用这些动作来欺骗那些不够成熟的人脸识别认证系统,竟然还骗过去了。
人脸识别认证系统目前已有较广泛的应用,比如某些购物APP、支付工具已支持人脸识别认证。众多网站的实名制身份认证系统,会要求用户提供自拍正面人像照片、或手持身份证的照片,还会提示要求眨眨眼、动动嘴,或者根据屏幕提示念出几个词语。而这些动态的辅助人像识别,也可以使用软件来模拟正常操作。
315晚会的实验向人们揭示了这种危险:攻击者可以通过网络获得他人的照片或其他个人信息,利用3D建模软件或其他图像编辑工具,刻意伪装来欺骗在线身份认证系统,达到冒用他人身份的目的。
而公民手持身份证的照片流失到黑色产业链的有多少呢?可以说非常多,百度随便一搜就能发现一大把已泄露的此类照片。
难题如何解决?
金山毒霸安全专家建议如下:
首先,网民应尽可能防止自己的证件照、手持身份证的照片,以及重要证件的照片不留失。当你使用完这些照片后,应从手机端删除。如果是打印输出的文件,请在图片上加备注“仅用于XXX网站服务,最长有效期至X年X月X日”
其次,建议将人脸识别仅作辅助认证措施,现阶段,仍然建议使用用户名、密码+手机验证码或动态密码,也就是双重验证措施。比如微博微信都支持手机APP扫码登录,扫码登录,就是一种双重验证措施。手机银行app的登录,还会要求输入动态口令。
对于采用人像识别认证的网络服务相关单位或企业,建议升级人像识别认证系统,避免被简单手段欺骗。