“刷脸”很酷，但不一定靠得住！有人只用10秒，就能破解你手机

前段时间黑客们制造了令人闻风丧胆的勒索病毒，这让人们感到在互联网时代，无处不在的风险。

而近日，一群用自己黑客技术来做好事的白帽黑客们却告诉你，连长在你身上的“脸”都不再值得信任！他们用“2分半钟破解人脸识别门禁”，“打印人脸照片10秒解锁手机”等黑客手法，硬生生打了追捧“刷脸”概念人群的脸……

2.5分钟破解“刷脸”门禁

打印照片10秒解锁手机

窃取关键人物的指纹、虹膜、声音(声纹)甚至人脸信息，突破警卫森严的宝库偷天换日，这是电影大片里的情节。

在刚刚结束的GeekPwn2017国际安全极客大赛上，白帽黑客们现场上演“谍中谍”，短短几分钟甚至几秒钟就能轻松攻破人脸识别、虹膜识别、指纹识别等生物识别系统。

评委在一台人脸识别门禁系统中录入自己的脸，只有这张脸才能打开门禁。浙江大学计算机系毕业的女黑客tyy用了不到2分30秒就成功通过了刷脸机。tyy解释说，她通过wifi进入门禁系统，利用系统漏洞，直接获取控制权限，修改人脸信息，也就是把设备中存储的评委人脸换成了自己的脸。

图片来源：视觉中国

更令人感到不安的是，来自百度安全实验室的“小灰灰”和高树鹏，用了不到10秒，就用一张打印的照片在一定光线环境下解锁了一部手机。理论上，只要拍到一张手机主人的清晰照片就可以解锁了。

“现场演示攻击并不是要制造恐慌，而是通过发现漏洞，督促厂商改进技术、修复漏洞。”GeekPwn大赛发起和创办人王琦说，大赛会将发现的漏洞反馈给厂商，让越来越多的企业和公众关注技术安全。

智能化产品也有脆弱的一面

每个人只有十个指纹、两个虹膜、一张脸，这些暴露在外的信息一旦被破解，就是严重威胁。

很多公司都宣称其人脸识别准确率超过99%，这指的是在一些世界知名人脸数据库比对中取得的成绩，但在现实运用中，这种准确度要大打折扣。人群样本更大，不同光线、姿态、分辨率等条件都可能给机器识别带来困难。

图片来源：视觉中国

并且在业界专家看来，这是一种技术“攻防战”。目前很多人脸识别公司都加大了在活体检测上的技术投入，确保系统检测到的是一个“活人”，提高对攻击的防御能力。

以人脸取款为例，人脸取款采用红外双目摄像头活体检测技术，同时对脸部细微动作和微表情进行检测，识别度远高于手机摄像头，假脸或者照片都不可能骗过系统。

那么我们的隐私会否泄露呢？

对此，上海市信息安全行业协会会长、众人科技董事长谈剑峰说：“生物特征是唯一特征，但这反而可能是不安全的。密码丢失后可以设置一个新的，但有大量生物特征信息的服务器一旦受到攻击，数据库被拿走，你不可能再有第二张脸。”

应尽快立法防止人脸“裸奔”

对于目前手机界最火的iPhoneX的刷脸功能，近日有媒体邀请了一对双胞胎兄弟进行人脸解锁测试。

图片来源：苹果官网

首先由双胞胎中的弟弟录入面部图像后，将手机转交给双胞胎哥哥后瞬时解锁成功;同时，兄弟两人在进行“摘眼镜”、“戴帽子”等换装后依旧解锁成功。

这样的测试正好印证了上面所说，智能化产品也有它脆弱的一面。

不管是厂商还是消费者，都不要出于赶时髦或者追捧概念去使用一些尚未成熟的技术。

从安全层面考虑，人脸识别最好跟多种验证方式交叉使用，尤其是对安全要求极高的金融场景。比如，为了防止照片、视频播放、3D头套等假脸攻击，银行刷脸取款都同时进行人脸识别、手机号码或身份证验证、密码验证三层防护。

图片来源：视觉中国

点点滴滴的个人隐私汇集起来就是国家信息安全。保护用户隐私不仅需要企业自律，更需要政府引导行业建立统一标准。最重要的是立法保护公民隐私，以及确定人脸识别等技术的使用边界。