淘宝刷脸支付安全吗?面临可复制性和不稳定性风险

23.03.2015  12:33

这几天,刷脸成了网络、微信上的话题热点,在德国汉诺威CeBIT展会开幕式上,阿里巴巴集团执行主席马云发布并现场演示了一种支付认证技术:人脸识别支付技术。通俗地说,以后用支付宝付款时,只需刷脸就可以完成支付了。消息传出后,引发了一场不小的骚动,毕竟淘宝推出的人脸支付把那些科幻大片中的场景变成了现实。

的确,人脸支付很时髦,但淘宝推出的这项新技术仍有一些漏洞存在。在讨论人脸支付前,我们先探讨一下人脸支付的识别技术,这直接影响到支付的安全性。按照百度百科的定义:人脸识别技术是基于人的脸部特征,对输入的人脸图像或者视频流,与已知的人脸进行对比,从而识别出每个人的身份。与传统的密码识别和指纹识别技术一样,人脸支付同样需要跟系统存储的信息进行比对验证。在很多人看来,人的脸部特征有很强的唯一性,这使得人脸支付安全性得到了最大限度的保障。

按照淘宝人脸支付的流程,支付宝系统会提前采集每一位用户的人脸特征,用户支付时刷脸,与系统采集的人脸进行对比验证。按照人脸特征有很强个性化的说法,支付宝人脸支付确实很安全。可是,一些外部因素,会让淘宝的人脸支付有太多的风险——

风险一:可复制性。

复制是破解密码的最常用手段,窃取数字密码以及套取指纹来解密手段已经相当普遍。同样,人脸特征更容易被复制。人脸每天都暴露在外面,通过拍照完全可以获得一个人的脸部特征,并进行复制。由于密码是记录在人的大脑或其他介质上面,窃取难度比较高。相比之下,天天暴露在外面的人脸用在支付验证上无疑有很大的风险。使用数码相机拍到一个人的脸部特征后,利用整容技术完全可以破解掉人脸支付。

即使抛开整容复制人脸这一方法不谈,使用数码相机拍到人脸照片,然后用照片识别,同样有可能骗过人脸支付系统。目前,淘宝的人脸支付识别系统,还是基于静态头像识别,不支持动态识别。

风险二:不稳定性。

与数字密码或指纹验证不同的是,人的脸部特征有不稳定性。举个简单的例子,很多女性总是习惯化上浓妆。一旦用户化上浓妆,脸部特征就会发生变化,机器就会无法识别。即便不化妆,戴上墨镜或者其他饰品,也会影响人脸识别的准确率。除化妆外,过敏、受伤、整容都会导致脸部特征有很大变化,这无疑是人脸识别技术的一个潜在风险。

在谈及人脸支付的安全性能时,与支付宝战略合作的人脸识别服务商Face++的联合创始人兼CEO印奇16日在接受《第一财经日报》记者采访时说,该公司技术目前的识别率在99.6%以上,能准确区分照片和真人,但任何单一的生物识别技术都有其局限性,多种识别手段互补将是未来安全认证环节的主流。

据一位资深黑客透露,目前国外第五代的人脸识别系统准确率也只能达到97%左右,而且是基于政府监管部门的技术,民用人脸识别技术的准确率在95%左右。正如Face++联合创始人所说,单一的人脸识别技术有很大局限性,这意味着单纯的人脸支付有很大安全风险。

正是因为人脸识别技术仍有一定的安全隐患,基于这一技术的应用才没有大面积普及。在笔记本电脑领域,联想开发了人脸识别的验证系统,但很多用户没有去开启这一功能。去年3月,网易邮箱推出人脸识别插件,通过摄像头识别人脸信息,在登录网易邮箱时对用户身份进行认证,防止邮箱账号被盗。一年过去了,网易邮箱的人脸登录仍未大面积推广,安全仍是一道难以逾越的大山。

其实,人脸识别技术是一个涉及取样、计算、识别等多个技术环节的系统工程。尽管人脸识别技术已经在考勤、安防等领域使用,但这一技术仍有诸多安全隐患。所以,支付宝推出人脸识别技术还需谨慎对待,毕竟这是人脸识别在支付领域的首次试水。(贾敬华)