人脸识别不安全，有更安全的技术么？

在今年9月，阿里巴巴旗下蚂蚁金服宣布在杭州KFC首推"刷脸支付"服务。同月，以苹果公司为代表的数家手机厂商重磅推出具备人脸识别解锁功能的手机。苹果公司还宣称，人脸识别提供了比指纹更高的安全性。随即，不少媒体开始畅想人类即将进入刷脸时代，无论是开设银行账户、手机解锁、网络支付，还是打开小区门禁和自家房门，都将采用"刷脸"模式。

然而，在GeekPwn2017国际安全极客大赛上，一位黑客仅用时两分半就骗过了人脸识别系统。那么人脸识别安全性究竟怎么样呢？到底存在哪些安全风险？

（黑客现场演示攻破人脸识别系统）

人脸识别用于网络支付存在风险

随着移动支付的兴起，指纹支付、虹膜支付、刷脸支付等生物特征支付方式层出不穷。特别是阿里和苹果这样的大公司先后推出人脸识别和刷脸支付这样的功能，使刷脸支付显得非常时髦。而且相对于输入密码的支付模式，刷脸支付也会更加便捷。

不过，正如便捷性和安全性不可兼得。由于黑客攻击和人类识别技术的局限性，就目前来说，刷脸支付其实是存在较大安全风险的。

首先，网络空间存在被黑客攻击的风险。在去年，德国纽伦堡大学发表了一篇face2face的论文，从技术上已经实现了远程用模拟他人人脸进行身份认证。也就是说，黑客根本不需要你的人脸生物特征数据，就可完成人脸进行身份认证。

（依靠技术破解身份认证）

其次，高仿模型可以骗过人类识别安全系统。在刷脸支付的想法被提出时，就有人调侃："整容了这么办？""毁容了怎么办？""双胞胎怎么办？""人皮面具怎么办？"。虽然这只是网友的调侃，但其中的风险是客观存在的。

在2016年，美国北卡罗来纳大学的技术团队依靠照片进行技术处理之后，建成了人脸3D模型，然后利用这个模型去测试人类识别系统。测试的结果让人惊骇：80%的人类3D模型骗过了系统的检测。也就是说，一旦犯罪分子使用高仿人脸3D模型，或者间谍电影中的人皮面具，那么，很可能将轻松骗过现在的人脸识别系统。

（人脸3D模型）

人类识别技术的应用方向

虽然在网络支付、银行开户和大额支付高安全级别场景不适合应用，但是在采集设备可控、环境可控的安防等场景，人脸识别的技术应用前景非常广泛。

（面部特征采集比对）

人脸识别技术可以与视频监控相结合的主动布控技术，将广泛的用于机场、高铁、地铁等场景，支撑安保智能化的进一步发展。依托人脸识别和人工智能技术，公安机关可以通过视频监控捕获犯罪分子的人脸信息数据，然后再跟数据库的人脸进行比较，确认犯罪分子的身份。

在警务服务方面，人脸识别技术也大有可为。公安三所曾经公布过一段宣传片。在小女孩走失后，公安三所开发的守望者系统人脸识别技术确认了走失小女孩的面部特征。由于小女孩年龄太小，个人数据并未被记录在公安机关的数据库内，人工智能从全城的视频监控中搜索与该小女孩有监护行为的女子，然后通过人脸识别技术确认了这位女子的身份，帮助小女孩找到了家人。

在"人证合一"核验的场景中，人脸识别技术可以应用于重点场所进行现场人脸和证件中人脸的同一性认定。

在影视动漫行业，人脸识别技术将大幅推动CG（Computer Graphics）动漫影视作品的发展。

总之，任何技术都有其适用场景，不能因为方便而不顾安全隐患，特别是在存在系统性风险的情况下。

人脸识别不安全，有更安全的技术么

就目前来说，人脸、指纹、虹膜等生物特征识别不应当作为判断身份的关键手段，而应当作为物理空间身份查验中"人证合一"的辅助手段，即判别持证人是否持本人的身份证。

在政府推行的"一号一窗一网"的互联网＋政务服务中，解决"一网"问题的最好最安全可靠的方案就是eID。实事求是地说，对于网络空间的身份认证，最安全做法的是通过"公安部公民网络身份识别系统"，采用eID来进行网络身份认证。

eID是以密码技术为基础、以智能安全芯片为载体，由公安部公民网络身份识别系统签发给公民的网络身份证，能够在不泄露身份信息的前提下在线远程识别身份。

首先，eID具有真实性和唯一性。这款网络身份证由公安部门审核签发，每位公民只可以选择一张银行卡的智能芯片加载eID。这就保障了个人身份的真实性和eID载体的唯一性。

其次，eID具有非常高的安全机制。eID采用了特殊算法，通过高强度安全机制，可以确保密码信息无法被读取、复制、篡改或非法使用。

再次，eID能有效防止公民信息泄漏。很多需要实名的网站，在注册时需要用户填写一些个人隐私信息，例如身份证号、电话、家庭住址等，这就会造成公民个人信息和隐私被泄漏出去。在拥有了eID之后，用户只需凭eID就可以在实名的网站完成注册，而真实的个人信息保存在公安部数据库中，网站则将eID提交给公安数据库进行验证。这样一来，既达到了实名的真实性要求，又达到了保护个人隐私的目的。

最后，eID能够提升网络支付的安全性。目前，微信支付、京东支付、支付宝等网络支付模式已经深入老百姓的生活中。而一旦用户的微信、京东、支付宝等网络帐号被盗，很有会造成一定的财产损失。在有了eID之后，只要用户设定了网络支付必须使用eID，且eID还在用户手上。那么，即便网络帐号被盗也不会对用户造成损失。

诚然，安全性和便捷性不可兼得，eID也有自己的不足。不过，随着eID将在全国推广，这项最安全最可靠的方案有望被越来越多的用户选择和青睐。