【文/观察者网专栏作者：挠米成】

随着iPhoneX中FaceID（人脸识别解锁）功能的推出，人脸识别就开始火起来。如今，科技公司更是告诉我们“刷脸”将成为生活的日常：开设银行账户、办理酒店入住、小区门禁，手机解锁、移动支付、肯德基点餐，人脸识别将无所不在、无所不能。

先不要激动，畅想还没多久，24日发生的一幕似乎要浇上一盆冷水，在GeekPwn2017国际安全极客大赛上，90后女黑客“tyy”利用设备漏洞，仅用时两分半就骗过了人脸识别系统，打开了门禁。

90后女黑客“tyy”现场演示

当美好的未来和残酷的现实交织在一起，我们也不得不再次思考那个问题：当机器通过看脸就认出你是谁，真的安全吗？

人脸验证，真的更安全吗？

至少专家是不看好的。“目前所有互联网认证技术中，生物识别认证是最不安全的，”上海市信息安全行业协会会长谈剑峰在媒体上公开表示。“有人认为，生物特征在自己身上具有唯一性，因此，生物识别认证技术应该是安全的。但很多人没有想到，这种唯一性也意味着，生物认证信息一旦“丢失”就不可再生”， 谈剑峰说。

从技术层面看，不管是人脸、指纹、声音还是虹膜，这些人类的生物特征都不适合作为远程身份验证的安全密钥，因为它们太容易被仿造了。无论你拥有的是志玲姐姐的脸还是凤姐的脸，虽然在你自己看来这是独一无二的物理特征，不可能被仿造被复制，但是对于计算机而言，这些特征就是一串0和1组成的数字，或者说，是一串密码。而且，普通密码不安全了不喜欢了，还可以重新改；但是生物特征信息被盗用后，不可能从物理上修改人的特征来修正密码，因此无法再次使用。

而在众多生物识别技术中，人脸识别又是技术风险最大的。虹膜、指纹等生物识别技术都具有良好的稳定性，可以在很长时间内保持稳定，也不易受外部干扰影响。而人的脸部特征则不然，有的人喜欢化妆、有的人爱佩戴饰品，这些都会使得脸部特征发生改变，除此之外，整容、受伤、过敏、年龄增长等因素都会对脸部的识别产生影响，成为潜在的技术风险。

人的脸部特征容易复制也是问题之一。目前，复制指纹早已不是什么新鲜事。在某电商平台输入“指纹膜+打卡”就可以轻松找到若干卖家兜售可以在家DIY指纹套的材料，掌柜推荐的“豪华进口四人用”版本只要五十多元，可以供四个人制作用于欺骗指纹打卡机的指纹套。

而复制脸部特征同样很有可能，这一点007等间谍大片中已经给我们演示了无数遍。相对于密码、指纹等保密手段，人的脸部天天暴露在公众之中，获取起来更为容易。

除了电影，也有实操。去年8月，来自北卡罗来纳大学的一个研究团队从Facebook上收集到了一些人的照片，利用电脑合成和渲染后生成了平面化的3D模型显示在手机上。随后他们利用这个模型进行测试，发现有高达4/5的被测安全系统在55%到85%的被测时间内，都可以被轻松骗过。更重要的是，他们在Facebook上能收集到的照片非常有限，质量也没有保证，有些还只是45度角的侧脸。

虽然时过境迁，以iPhoneX的FaceID等为代表的识别技术已经宣布可以迈过“静态识别”这一步，能防止照片及其他一些简单复制手段的欺骗，但那些同样技术精良的犯罪团伙，如果在未来推出像间谍大片中那样逼真的人脸3D头套时，脸部识别能否继续保证安全？还要打个问号。

尼古拉斯·凯奇的电影《变脸》更是把脸都换了 你说能不能骗过人脸识别？

商用级的人脸识别可以被电脑合成的3D模型轻易骗过，个人信息数据库更是各种犯罪分子攻击的主要目标。由于“刷脸支付”主要通过手机拍照后进行数据传输。在传输过程中，也有可能受到黑客、病毒等攻击，人脸信息在系统后台服务器解析过程中，解析结果同样可以被篡改盗。在本文的开头，“tyy”就是利用设备漏洞，直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，打开门禁。

更要命的是，如果“刷脸支付”被各家企业广泛使用，那么各企业参差不齐的技术实力，使得人脸信息泄漏的风险直线上升。“我比较担心的是，假设我们的面部特征以及指纹、虹膜等生物特征信息被广泛应用，比如用于银行支付等，而在这之前我们的生物特征数据已被各个银行、手机厂商甚至不知名的APP厂商充分采集到，这个时候我认为才是风险最大的时候，”大成天下CTO黄鑫在9月份举办的2017第二届SSC安全峰会上说。

黄鑫认为，风险主要来自于人们对自己生物特征数据的不够重视，可能会让别有用心的人随便拖个库（从数据库中导出数据），就能把这些数据拿到手。“弱口令有问题还可以更改，指纹、虹膜这样的生物特征数据就不是这么简单了。在技术还不是非常成熟、运用前景还不是很准确的情况下，我和家人不会把自己的生物特征数据录给不放心的厂商。”

作为网络安全技术强国的以色列就发生过这种事情。2011年10月，以色列劳动与社会福利部就曾有900万人（以色列到2016年的人口只有855万，这些数据中包括已故公民的数据）的个人信息被一个软件承包商窃取。失窃的信息包括姓名、住址、出生日期、证件号和亲属关系等，并被放在一款名叫Agron2006的软件上，销售给需要不同信息的相关方。

人脸技术：适于身份识别，不适于身份验证

尽管人脸识别技术的火爆是近年的事，但对人脸识别的研究却早在19世纪末就开始了。英国人类学家、气象学家、地理学家弗朗西斯·高尔顿（Francis Galton，1822－1911）在1888年和1910年分别在《Nature》杂志发表文章，对人类自身的人脸识别功能进行了分析（每个人都有五官，而且大体位置关系基本固定，但我们是通过什么来识别出两张不同的脸的）。

20世纪60年代至90年代，人脸识别被作为一般性的模式识别问题来研究，主要的研究集中在对于剪影（Profile）的研究上。1991年到1997年期间，诞生了若干个最有代表性的算法，美国军方还组织了著名的FERET人脸识别算法测试，并出现了商业化运作的人脸识别系统。此后，人脸识别的商业系统进一步发展，越来越多的技术革新用于解决室内外光照变化、姿态、时间跨度等变化条件给识别的有效性带来的挑战。

但是，这一切技术革新的主要目的是为了实现远程的身份识别，而非身份验证。例如，在人脸识别系统的帮助下，公安部门可以在机场、体育场、超市等公共场所对人群进行监控，防止恐怖分子登机或帮助抓捕嫌犯。当人脸识别系统锁定了嫌疑人以后，还需要民警现场抓捕的时候再次确认嫌疑人的身份，真正的身份确认过程是发生在公安人员与嫌犯面对面的“近场”，而不是视频监控系统的线上“远程认证”。

相反，要使用人脸识别技术作为线上支付的密匙，就等于是在支付系统的云端直接凭借接收到的人脸信息做出身份认证，这是非常不严谨的。因为，云端的系统并不能保证它接收到的信息是来自人的，还是计算机模拟出来的。

互联网时代刚刚到来的时候，我们曾戏谑地开玩笑：你不知道网络对面和你聊天的是一个人还是一只狗。但在那个时候，网络并没有侵入到包括人们银行账户在内物理生活空间，所以，我们其实完全不必在意是和人还是狗聊天。随着移动支付时代的到来，线上空间和物理生活空间极大地融合了，网络身份验证的复杂性和重要性也出现了颠覆性的变化。

在移动支付时代到来之前，使用网上银行交易的用户大多是容易学习和接受新鲜事物的年轻人。那个时代要使用网银转账或者第三方支付软件支付，至少需要记住网络银行的登录密码、U盾密码和交易密码三个密码，而且还需要在电脑及浏览器上安装各种各样的插件，这在客观上阻止了很多人使用网络支付服务。

移动支付时代的到来使得网络支付的流程越来越简化，在很多的场景下仅需要手机的验证码就可以登录账户，而不需要多重身份验证了，甚至出现了小额免密支付等更加简化的流程。因此我们可以看到移动支付的迅速普及，无论是超市、餐厅、路边摆摊卖菜的大妈，几乎每个商家都接受移动支付，几乎每个人都在使用移动支付。

更加便捷、低价的银行服务对于用户来说是好事，更加广阔的市场对于移动支付公司来说也是好事，但是在实现“双赢”的过程中，也应把网络安全风险放在第一位。以生物特征作为远程验证的秘钥，虽然获得了最大程度的便捷性，但若是以牺牲安全性为代价，将是得不偿失的。

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。