IT时报 -V2 特刊-
2特刊
  • ·你的手机一直在“偷听你”吗?
  • ·人脸到底是不是最安全的密码?
  • ·无标题
  • ·无标题

人脸到底是不是最安全的密码?

  

真相2 调查记者:潘少颖相关报道《政协委员拒用人脸识别,一旦泄露,你无法再有第二张脸》
  指纹、刷脸、虹膜……人体上的每一个部位似乎都可以成为“钥匙”,这把“钥匙”最大的优势就是唯一性和不可复制性,这也是生物识别迅速普及的主要原因。从方便程度而言,生物识别的确有不可替代的优势。
  自从有了移动支付,便捷和安全一直成不了一对“好CP”,生物识别解决了这个问题,验证一步到位,你的脸就是你的脸,无法替代。
  然而,生物信息带来的另外一个安全问题是个人生物信息的泄露,和密码被破解相比,个人生物信息如果被破解盗取,就是自己被“扒光”,而且还是永久性的。“我至今不用指纹解锁,也不用人脸解锁,手机设置密码保护。密码丢了可以换,但生物信息不可再生,一旦泄露,你不可能再有第二张脸了。”在《政协委员拒用人脸识别,一旦泄露,你无法再有第二张脸》中,全国政协委员谈剑锋如是说。
  这句话并非耸人听闻,因生物信息泄露而引发的生物识别风险事件已经发生。比如2017年的“315”晚会上,主持人现场利用软件后期修改人脸图片的方式进行脸部识别,绕过了网络实名认证系统,也就是说,只需要用修图软件处理一下晒在微博、朋友圈的照片,就能通过某些银行支付App的活体检验,可能引发资金安全威胁;2019年1月,四川省公安机关网安部门打掉了一个使用软件制作动态人脸图片、破解人脸识别系统、盗窃支付宝资金的犯罪团伙,查获了3000余万条公民个人信息数据。
  当个人信息安全被推入更大的不确定风险中,细思极恐,指纹、虹膜、人脸等信息被传至云端,云服务器被黑,黑客拿到生物数据再和真实身份匹配,身份证号码、银行卡号、密码、人脸、指纹都有了,就等于敞开了家里的智能锁、保险柜、银行卡……写完这篇报道后,以前很爽快地愿意使用刷脸、指纹等信息的我,现在如果可以有其他不涉及生物信息的方式,一定会优先选择其他方式。
  或许,生物识别的初衷是好的,但为何会引发更大的风险?
  一是因为采集数据范围太广,似乎一个地方只要装人脸识别机器就能显得高大上,哪怕上厕所取个手纸都需要刷脸,名曰“节约用纸”。
  进公园要刷脸、取快递要刷脸,有必要吗?这种情况有点像App过度索权,一个天气软件问我要通讯录干吗?一个阅读软件问我要位置信息干吗?索要的权限和实际需要并不相符,必要性存疑。也正因为随便什么地方都可以要脸、指纹、虹膜等,才造成了数据太容易泄露。
  这就引出第二个问题,数据采集之后的储存有没有到位?
  根据《个人信息安全规范》,个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部识别特征等个人生物识别信息属于个人敏感信息,必须经过个人信息主体的明示同意方可收集,而在储存方面,也有特殊要求,比如要做到标识化处理,同时储存时间要遵循所需时间的最短需求,在信息的传输过程中也必须做到高度的安全防范措施。但现实情况并非如此。
  以大多数公司都有的刷脸签到为例,我亲眼所见,员工的脸直接以明文形式储存,没有马赛克处理,姓名、部门、上下班时间、身份证号、车牌号等凡是录入的信息都可以清楚看到,谁来为这些信息负责?
  技术本身并没有错,错的是人心。