最近,上海一商家推出了脸谱支付系统,通过对人脸的扫描确定支付人,从而划走其账户资金完成支付。其实,人脸支付不是头一回听闻,指纹、掌纹、笔迹、声音、人脸……这些人体生物特征作为密码,“随身携带”更便捷,“量身定制”更唯一。然而,也正是因为它的唯一性,让很多人忧心:身体密码如果被盗取复制或者需要更换时怎么办,“身体支付”相对于传统支付是否更安全?
人脸识别精度有多高
换个发型、戴了眼镜,高质量设备照样能认出你
戴上眼镜、变了发型,机器还能不能识别出你的脸?最新推出的人脸支付系统,为了增强识别精度,除了扫描人脸之外还需要支付者“按个手印”,通过指纹数据比对配合,才能最终完成支付确认。
“目前,在受控场景一对一的人脸识别身份认证准确率可以超过99%。”中国科学院自动化研究所模式识别国家重点实验室研究员孙哲南介绍,人脸和指纹识别技术已经有50年的发展历史,积累了比较成熟的技术体系,即使戴眼镜换发型,也基本都能识别出来。
“同样,在受控条件下,指纹、人脸、虹膜等主流生物特征模态识别精度和速度都能满足金融支付应用。”孙哲南详细解释了受控条件这个高精度识别的前提,“主要是指设备、用户和环境等因素都有利于识别的情况,例如高质量的图像采集装置、用户配合、光照均匀等。”
“这也是为什么人脸和指纹识别技术很早以前就在强制性较高的公安领域应用,却还没在金融支付领域普及的原因。”支付宝安全技术资深总监曹恺表示,金融过程尤其是消费支付过程时间很短,并且用户一般是远程支付而不是面对面配合,这就对识别技术的准确性、可靠性包括用户体验提出了更高的要求。
如今,人脸支付等利用生物识别技术付款的方式越来越具备普及的基础。近几年生物识别技术在采集设备和识别方法上都有重要突破。“例如深度机器学习方法使人脸识别精度大幅提升,近期测试结果表明通过大规模数据训练后在限定图像测试库上电脑的人脸比对精度超过人脑。”孙哲南说。同时,传感器等采集设备的发展和普及也让人脸识别技术越来越接近日常使用。目前国际上已经有一些银行认可指纹、虹膜、静脉作为身份标识开展银行业务。
假脸骗得了计算机吗
通过多摄像头和动作检测等手段,可抵御攻击,但没有绝对的安全
不久前,德国的一个实验室证明可以用假指纹解锁苹果公司的iPhone6手机,从而获得包括支付在内的各种应用通行证。类似经验恐怕普通人也曾有过,买一个指纹贴,复制上别人指纹贴在自己手指上,就能帮迟到的同事“作弊”代打卡了。
同样,如果利用你的头像照片或是视频,是否也能骗过机器“登堂入室”?这些都是生物识别系统前端采集环节最常见的攻击。孙哲南认为,目前还没有比较低成本、高可靠的指纹和人脸防伪手段,因此安全风险较高。但这并不意味着技术上没有办法,如果提高技术成本,有效的防攻击手段并不少。
比如传统的刮擦式指纹传感设备抗攻击能力比较弱,但是新的电容式传感器已经能够很好地监测真皮层的纹路来获取指纹,通过只复制了表面的指纹贴很难攻击成功。比如通过多个摄像头可以检测人脸是否为三维立体,从而有效防止二维的照片和视频攻击,或者在识别用户的过程中让用户随机做一些动作,提前准备好的假体视频很难应付这种动态检测。
“攻防的过程可以说是魔高一尺、道高一丈,没有绝对的安全,但防攻击手段的提升能拉高攻击的门槛,当攻击成本高于收益,就意味着攻击没有了价值。”曹恺说,不久前支付宝在其安全开放日发布了人脸等生物识别支付技术,“这些技术在实验室内测中已经得到了不错的结果。”
身体密码被盗怎么办
将人脸图像数据与动态参数绑定,如被窃只需挂失动态参数
如果将人脸作为支付密码,在支付过程中人脸数据被黑客截走,难道需要“挂失”现在的模样,换一张脸才行吗?这当然只是个可怕的想象。在支付以及密码数据接收的这一中间和终端环节中,专家通过对生物模板的脱敏和加密保护来实现用户生物特征的保护。