黑客2分半破解人脸识别门禁生物识别安全惹争议

在GeekPwn2017的现场，90后女黑客通过利用设备本身存在的漏洞，仅用两分半钟的时间就能直接修改设备中的人脸信息，从而实现用任意人脸欺骗门禁系统。

　　在不久前结束的GeekPwn2017国际安全极客大赛上，白帽黑客们现场上演“谍中谍”，生物识别这一堪称“将改变世界”的技术暗藏危险，在GeekPwn2017的现场，90后女黑客通过利用设备本身存在的漏洞，仅用两分半钟的时间就能直接修改设备中的人脸信息，从而实现用任意人脸欺骗门禁系统。

　　更令人感到不安的是，来自百度安全实验室的“小灰灰”和高树鹏，用了不到10秒，就用一张打印的照片在一定光线环境下解锁了一部手机。

　　“现场演示攻击并不是要制造恐慌，而是通过发现漏洞，督促厂商改进技术、修复漏洞。”GeekP-wn大赛发起和创办人王琦说，大赛会将发现的漏洞反馈给厂商，让越来越多的企业和公众关注技术安全。

　　“每个人只有十个指纹、两个虹膜、一张脸，这些暴露在外的信息一旦被破解，就是严重威胁。”白帽黑客“小灰灰”的话说出了普通大众真实的心声：看起来高大上又方便的人脸识别技术安全吗?智能度越高的产品，安全会不会越脆弱?

　　技术是否成熟?很多公司都宣称自己的人脸识别准确率超过99%，对此，长期研究机器学习的西安交通大学电信学院特聘教授龚怡宏介绍，这指的是在一些世界知名人脸数据库比对中取得的成绩，但在现实运用中，这种准确度要大打折扣。人群样本更大，不同光线、姿态、分辨率等条件都可能给机器识别带来困难。

　　安全是否可控?小偷有没有可能用假脸欺骗门禁进入小区?金融罪犯会不会用“仿冒人脸”登录银行系统窃取钱财?

　　在业界专家看来，这是一种技术“攻防战”。目前很多人脸识别公司都加大了在活体检测上的技术投入，确保系统检测到的是一个“活人”，提高对攻击的防御能力。以人脸取款为例，农业银行上海分行个人金融部经理杨晟栋告诉记者，人脸取款采用红外双目摄像头活体检测技术，同时对脸部细微动作和微表情进行检测，识别度远高于手机摄像头，假脸或者照片都不可能骗过系统。

　　隐私会否泄露?上海市信息安全行业协会会长、众人科技董事长谈剑峰说：“生物特征是唯一特征，但这反而可能是不安全的。密码丢失后可以设置一个新的，但有大量生物特征信息的服务器一旦受到攻击，数据库被拿走，你不可能再有第二张脸。”

　　生物识别专家英飞拓表示，任何技术都是在攻防的过程中不断演变升级，最终在安全性和便捷性之间达到平衡，目前为了进一步保证识别技术的安全性，还需要多重识别技术叠加使用，避免人脸、指纹裸奔，从而造成安全漏洞。

黑客2分半破解人脸识别门禁 生物识别安全惹争议