安全專家談劍峰:人臉識别在互聯網身份認證中(zhōng)最不安全

發布日期:2017-09-20首頁 > IT資(zī)訊

安全專家談劍峰:人臉識别在互聯網身份認證中(zhōng)最不安全-E安全

作者:商(shāng)西

專訪

在2017國家網絡安全周開(kāi)幕式上,上海市信息安全行業協會會長、衆人科技董事長談劍峰獲“網絡安全優秀人才”稱号。接受南(nán)方都市報專訪時,談劍峰給當下(xià)熱門的人臉識别技術潑了一(yī)盆冷水,認爲可能會給用戶帶來巨大(dà)的安全隐患。

南(nán)都:蘋果手機最新推出了Face?ID功能,人臉識别等生(shēng)物(wù)認證技術也廣泛應用在移動支付等領域,大(dà)家很關心,它的安全性怎樣?

談劍峰:蘋果iPhoneX,我(wǒ)給它安全評分(fēn)是“大(dà)叉”!其實生(shēng)物(wù)特征,指紋也好刷臉也好,都是唯一(yī)特征,我(wǒ)們老百姓爲什麽覺得生(shēng)物(wù)識别技術安全?就是覺得臉長在自己身上,是唯一(yī)的,但這反而是最不安全的。我(wǒ)們腦子裏的密碼丢失後,可以再設置一(yī)個新的,但有大(dà)量生(shēng)物(wù)特征信息的服務器一(yī)旦受到攻擊,數據庫被拿走,對不起,你不可能再有第二張臉。很多廠商(shāng)和媒體(tǐ)都避開(kāi)這個點,說我(wǒ)的識别率多高,所以用戶可以放(fàng)心———放(fàng)心什麽呀,你識别率越高我(wǒ)的安全問題越大(dà)。

我(wǒ)認爲生(shēng)物(wù)認證是互聯網身份認證應用中(zhōng)最不安全的一(yī)種技術。現在銀行把生(shēng)物(wù)特征作爲輔助認證,相對好一(yī)點,因爲金融機構的風險防範和安全等級相對高,但在互聯網進行廣泛應用是不是合适,這個老百姓自有判斷。

南(nán)都:有些公司說數據儲存在本地,不會上傳到服務器,這樣能保證安全嗎(ma)?

談劍峰:現在很多标準組織或廠商(shāng)說手機終端隻做認證,識别後從手機往服務器端傳輸時,是用傳統的加密方式傳輸的,不傳輸生(shēng)物(wù)特征。問題是哪個廠商(shāng)、哪個App會把這麽好的大(dà)數據放(fàng)在本地?我(wǒ)個人認爲,不可能。爲什麽我(wǒ)們今天沒有個人隐私,因爲大(dà)數據時代下(xià),每一(yī)個App都在搜集我(wǒ)們的數據。你作爲廠商(shāng)會不采集嗎(ma)?我(wǒ)這個問号就打給你。

南(nán)都:在你看來,生(shēng)物(wù)識别技術有其發展的必要嗎(ma)?

談劍峰:生(shēng)物(wù)識别技術和生(shēng)物(wù)識别認證應用是兩回事,技術當然越準确越好,應用在公安的抓捕、公共場所信息的抓取,這些工(gōng)作需要識别率高。但是我(wǒ)們不能一(yī)味追求便捷、方便,因爲同時也帶來很大(dà)的安全隐患。

南(nán)都:那手機用戶怎麽設置密碼最安全?

談劍峰:在手機上,回歸最傳統的六位數、八位數的Pin碼(個人識别碼),這反而是相對安全的。生(shēng)物(wù)特征可以替代Pin碼,但有時候由于手指出汗等緣故導緻手機無法識别,還是需要使用Pin碼,那幹什麽要把生(shēng)物(wù)特征上傳,給自己埋下(xià)不安全的隐患呢?