誰在背后反復炒作人臉識別技術? 2016年09月28日10:57 來源:虎嗅網|
前兩年互聯網大咖花式秀了一把人臉識別�,伴隨著網絡銀行成立的背景,全國一夜之間冒出了上百家人臉識別技術公司��,隨后公安��、人民銀行的謹慎試點態度出臺��,狂熱的人臉識別技術投資熱潮被澆了一盆冷水����。
上周一篇未來網首發的《公安部推廣“網絡身份證”應用試點“刷臉”就能看病旅游住酒店》的文章,把已經冷靜下來的人臉識別技術話題又炒了起來��,而且還打出了公安部的名頭�。作為一個有十幾年行業經驗的從業人員��,站在信息安全的角度探討一下為什么不能在互聯網上遠程使用人臉識別技術識別身份,歡迎各路神仙拍磚��。
第一����,網上識別身份是一個嚴肅的信息安全問題
身份識別作為信息安全問題,本不用解釋����,要解釋的是什么樣的信息安全問題。具體來說����,身份一詞在漢語中有多種解釋,拋開職務��、學歷�、職稱的屬性信息,在信息安全領域��,常見的就有賬戶身份識別和法定身份識別兩種����,舉例來說,就是工作證和身份證的區別����,經常有人混淆這兩種應用場景�。
對賬戶身份的識別����,可以用多種方式,用戶名口令就是最常見的技術方式�,安全一點的可以用U盾,總而言之�,企業和用戶愿意用什么技術就可以用什么技術,反正出了問題企業承擔責任����,除了問題(后面會詳細展開),只是企業行為導致局部風險�。
對法定身份的識別,則要嚴肅的多����。畢竟應用范圍廣,影響大����,涉及國家行為,要做充分考慮,一個處理不慎�,就會導致全局的風險,甚至影響公共安全和國家安全�。
2014年10月14日�,BBC新聞報道“韓國的身份證系統將推倒重來”。報道稱:韓國政府正考慮給17歲以上的公民發放新的身份號碼����,整個重建過程將耗資幾十億美元、耗時10年以上�!重建的原因是自2004年以來,韓國在網上普遍采用基于身份信息比對的身份措施�,導致韓國大量的公民信息被盜,全國5000萬人口中有80%人口的身份證號和個人隱私信息��,被黑客從銀行和其他網絡服務商的服務器中竊取��。
現在的問題是����,在業務快速整合的互聯網環境下,賬戶管理方和應用方甚至可以不是同一家��,比如我們可以用qq號和qq密碼登錄各類論壇��,大型公司(不僅僅是互聯網公司)聚集了海量用戶,在通過開放平臺為這些用戶提供和接入更多的互聯網服務時����,不可避免的要介入一些傳統法定身份識別要求的領域,如銀行開戶�,政務民生,由于國內在網上法定身份的識別方面技術和業務的不明確�,才導致各類網上賬戶身份識別技術向網上法定身份識別業務發起挑戰。
為了避免無謂的爭論(人臉識別技術用于賬戶身份識別不屬于本文討論的范圍)����,顯然,今天我們重點討論的是互聯網上法定身份識別能不能采用人臉識別技術��。
第二�,人臉識別技術缺乏理論基礎
人臉識別技術有硬傷,不客氣的說人臉識別技術基于經驗而不是科學����。目前并沒有可靠的理論基礎,也沒有權威的實驗證明是否任意兩個人的臉是不同的(互聯網上下求索而不得道�,歡迎賜教)。
我們經常在單位門禁����、考勤設備中看到人臉識別技術的應用��,但是一般單位才多少人��?放到海量用戶的背景下����,這個經驗還成立嗎�?
歷史上最著名的人臉誤判可能是1903年在美國堪薩斯州發生的WilliamWest-WillWest案件��。當時一個名為威爾����?韋斯特(WillWest)的犯人正要被收押進萊文沃思(Leavenworth)監獄。監獄職員看他面熟����,問他以前是否來過這里,威爾說沒有�。接著職員調出了WilliamWest的照片給威爾看,威爾說:“這的確是我����,可是你們是怎么拿到這張照片的呢?以前我從未到這兒來過��。”從此�,從美國開始,各國監獄和司法系統開始用指紋進行罪犯身份登記和管理����。
最近一次的人臉烏龍應該就是趙薇家司機偷賣別墅案了。司機為何能賣掉趙薇老公黃有龍的房產呢�?究其原因,竟然是該司機冒充黃有龍到公證處��,通過人臉識別技術辦理了委托公證證明����,委托另一人將房屋賣給了武某。事情敗露�,該房屋自然無法騰退交付,黃有龍也就被武某告上了法庭����,要求交付房屋。那么這里有一個細節相信大家都已經注意到了����,那就是公證處的人臉識別技術。
據了解��,目前已有部分公證處引進了人臉識別技術,人臉識別系統采用最新人臉識別方法����,通過攝像頭捕獲到的人像或是指定的人像與數據庫中已登記的某一對象作比對核實,確定其是否為同一人����。對于識別精度,某人臉識別系統的廣告稱����,識別率高于98.3%����。由此看來,要騙過人臉識別系統不是容易的事����,但這位司機為何能冒充黃有龍通過人臉識別呢?
說到這里��,如果要說哪一種技術用于法定身份識別更有前途的話��,我會選擇指紋識別技術��,這個判斷是有法律依據。
我們知道�,目前第二代身份證還不能掛失、“人證合一”要靠查驗人對著持證人和身份證照片費勁地主觀對比�,這些弊端一直在被大眾所詬病。現在����,人臉識別技術在線下實體環境作為人證合一的輔助手段,可以解決身份證線下應用的部分弊端�,但這一技術在線下并未得到官方認可。相反�,從2012年1月1日起施行的《中華人民共和國居民身份證法》已說明新辦二代身份證要強制加載指紋,加載指紋的二代身份證和可識別指紋的二代身份證普及后��,靠二代身份證加指紋識別而不是人臉識別才是解決線下“人證合一”問題的正確之道�。
第三,網上人臉識別的技術可行性問題
人臉識別在網上大規模應用本身面臨不小的技術難題:
首先�,從技術上來說,人臉識別不是精確的信息比對����,而是一個相似度比對,由于人臉識別算法技術路線不同����,閾值的設定方法完全不同����,評判的自然也不同����,即使從識別實際效果看,包括誤識率�、拒識率等((1)誤識率(FalseAcceptRate,FAR):這是將其他人誤作指定人員的概率����;(2)拒識率(FalseRejectRate,FRR):這是將指定人員誤作其它人員的概率)�。這些結果受到訓練和測試空間樣本的影響,很難做出孰優孰劣的判斷��。
其次����,大規模使用面臨資源問題��,人臉圖片的采集如果不做活體檢測的話����,很容易招致基于用戶照片的重放攻擊��。而活體檢測的話�,對后臺的計算資源和網絡的傳輸資源要求較高�,所以在目前實際上線的人臉識別都是非常容易攻破的,筆者親自嘗試過好幾個��,這里就不點名了��,至于在人臉識別基礎上發展的視頻識別技術就更別提了�。
再次,人臉數據在網上采集難��,如果基于公安人口庫在線下采集�,在線上使用的話,誰能保證這個信息庫不被黑客攻破的��,一旦出事��,全中國人的臉就要在互聯網上丟盡了����,非常危險。
第四��,網上人臉識別的抗攻擊問題
一個人具有生物特征,包括人臉����、指紋、虹膜����、DNA等,這些特征在一起����,可以確定我們的身份,但是當這些特征被各種傳感器信息化提取后放到互聯網上�,就成了生物特征信息。生物特征信息能不能證明自己的身份�,就要看這個提取過程是否安全,會不會被復制��、偽造����、合成?在網上使用人臉識別技術用于法定身份識別是不是經過對抗性分析����?在網上使用人臉識別的過程中��,面部信息被存留怎么辦?采集的面部信息被盜取怎么辦�?2011年,csdn密碼泄露(據說還有人人�、天涯、開心網)����,結果全國網民紛紛改密碼,如果有一天�,我們的人臉庫泄露了,我們該怎么辦����?換臉嗎?
信息安全行業對于任何新技術的應用都是慎之又慎的�,許多問題太專業,我就不展開了�,挑幾個典型的例子吧。
生物識別技術起源于西方發達國家�,那么好的技術為什么沒有一個發達國家在網上大規模用于身份識別?
第五��,隱私保護問題
最后一個問題事關你我�。
現在網絡上各類隱私信息泄露已呈泛濫趨勢,有人說面部信息不是隱私,那賓館不能把酒店住客的監控錄像放到網上����?如果賓館不可以,那能不能在大街上每個單位門口按一個攝像頭�?Google地圖中為什么要給面部打碼。
最后����,生物識別因其不易更改性,不滿足一般訪問控制機制里對身份識別憑證能定期更改以降低風險的要求��,根本就不是個適合大規模身份識別的選擇����。種種不可為,很多人也明白�,筆者不禁要問,誰在背后反復炒作��?意欲何為����?
責任編輯:鐘娟娟
