你們最不希望看到的事情,最終還是發生了!
2020年12月,某銀行客戶報警,其帳戶被盜刷十幾萬。經銀行驗證,盜刷者是通過銀行APP實人認證後將資金刷取。而實人認證的人臉識別信息,則是用戶「本人」。
通過照片進行對比後發現,盜刷者利用儲戶身份證上的圖片「騙」過了銀行APP的人臉識別。凌晨2點,幾分鐘內先後通過人臉識別證明是本人後下載了手機盾證書,然後快速轉走了儲戶10多萬元,並未留下任何線索。
給大家普遍認為非常安全的人臉識別,澆了一盆冷水!
專業團夥盜刷,銀行APP也不安全?
如果從用戶視角來看,覺得轉帳後總會有記錄,並且銀行APP也會綁定手機號、手機硬體識別碼等等,會有很多渠道可以追溯。但事實呢?
據專家介紹,此類事件是專業團夥所為,首先,他們發現銀行APP的人臉識別並不是那麼無堅不摧,嘗試用儲戶身份證照片即可騙過;然後安裝手機銀行,完成實人認證後,嘗試一次幾元的小額轉款,成功後在幾分鐘內轉走儲戶10多萬;提供一個偽造的手機硬體識別碼並不難,一臺刷機後的安卓手機即可實現,轉帳後再去刷機或棄用;關於轉帳記錄,資金經過多次跳轉然後購入比特幣之類就能完成「洗白」。
因此,面對專業團夥作案,被盜資金追溯難度很高。
身份認證,數字時代的新痛點
那麼,上述問題的關鍵點在哪裡?
沒錯,就是線上身份識別!
那麼,在身份或者人臉識別方面,當前最大的難點在哪裡呢?
上海宜籤網絡科技有限公司總經理 董峰
近日,針對當前熱門的人臉識別安全問題筆者採訪到了上海宜籤網絡科技有限公司總經理董峰,來聽聽行業專家的解析。
初次提到宜籤公司,相信很多朋友都會感到些許陌生,主要還是因為它的業務更加偏向於後端,重點服務於金融、證券和保險企業。
上海宜籤網絡科技有限公司成立於2016年3月,是艾融軟體的子公司,專業從事金融認證產品和風控服務,是公安部網際網路+可信身份認證平臺在金融行業的合作夥伴。而艾融軟體則是多年來一直服務於工商銀行等金融機構的企業,有著豐富的金融領域經驗。
據董峰介紹,在智慧型手機還未普及的時候,最常見的遠程身份認證方式就是「U盾」。相信大家都有印象吧,這是一個U盤大小的物理設備,它相當於一部微型計算機,與電腦相連後可以進行加密通信,幫助用戶完成身份認證並支持轉帳等操作。
隨著技術的飛速發展,智慧型手機成為人們身邊必不可少的重要設備,手機銀行也因此應運而生。隨身攜帶U盾進行身份認證顯然不太方便,無法直接插到手機上,而且也容易丟失,所以金融企業開始嘗試各種其他的驗證方式。
發展至今,就是我們現在看到金融APP的樣子,通過簡訊、密碼和人臉識別等綜合方式認證,相對來說比較穩妥。
人臉識別不安全?人臉採集和傳輸過程安全性不足是關鍵
那麼,上述案例的問題出現在哪裡呢?董峰表示,從去年到今年幾個銀行出現的人臉識別案例來看,最大的問題就在採集和傳輸過程被攻擊,此外,商業用人臉識別軟體比對精度不高以及金融業務流程和實名認證流程不耦合也是導致基於人臉識別的實名身份認證失效的兩個原因。
僅用一張身份證照片就騙過了人臉識別,足見這家銀行採用的活體檢測技術還有很多不足。
據董峰介紹,活體檢測也並非完美,曾經有人做過實驗,列印一張真實人臉大小的照片,把眼睛和嘴巴位置掏空,然後放在臉上。根據APP提示做眨眼、張嘴和點頭等動作,也有很大概率可以「騙過」活體檢測。即便使用了較為安全的活體檢測技術,但是隨著3D列印技術的提高能獲得高精度的人臉蒙皮,隨著顯示屏精度和刷新率的提高可以提供更為精細的「顯示照片」,活體檢測技術也面臨殺毒軟體一樣的尷尬,手機前端人臉採集的活體檢測需要不斷升級甚至還要再結合服務端活體反欺詐檢測,這個過程無法做到一勞永逸。
活體檢測沒問題了,也還存在照片在手機端以及網際網路上傳輸過程中被替換、被重放的安全問題,這些顯然不是市面上傳統人臉識別廠家能解決的問題,需要信息安全廠家來做集成開發,尤其要利用對稱和非對稱密碼技術來增強網際網路身份認證系統的安全性。
所以人臉識別問題不是一個簡單人臉照片比對的問題,而是要解決基於網際網路怎麼實現實名身份認證的問題。
商業人臉識別軟體還有個問題就是人臉庫樣本不足。做人臉識別軟體的企業需要有大量樣本庫(也就是被標識過的海量人臉圖片集)進行學習,然後才能獲得更加精準的模型。
但對於企業而言,獲取案例庫的難度比較大,以歐美為例,他們非常看重個人隱私,也有相關立法,獲取案例庫的方式大都是通過網上尋找一些公開照片等等。
在國內,也是大概如此,不同之處在於企業可以通過一些途徑採集到人臉信息,用以模型訓練。這些途徑很多是通過網際網路企業,合法性方面我們暫且不討論,人臉庫數量方面不會很多,一般均為千萬數量級別,因此模型的準確性就不是很高。也正是因為如此,在人臉識別方面才會出現紕漏,導致盜刷現象出現。
權威+可靠,公安部的網際網路認證平臺
那麼,又有什麼方法能解決這些問題呢?
作為深耕於金融身份認證和電子籤名領域的專家,董峰表示,目前在人臉識別方面,最具權威的通道均隸屬公安部。共有三個通道:人行聯網核查系統(專線接公安部)、全國公民身份證號碼查詢服務中心、以及網際網路+可信身份認證平臺。
第一個通道是銀行櫃面人工輔助核驗通道,工作時間使用,不能滿足網際網路業務7*24小時服務。但是有些銀行將該系統的返回照片作為本地人臉比對的照片源,從信息安全角度是違規的,打通了金融專網和網際網路,給公安網造成較大的安全隱患。
第二個通道目前已經取消所有代理商,少量的直連的金融機構還能繼續免費使用服務,但是服務能力有限(每天的認證量和並發數都有限制)。
第三個通道就是2016年10月通過驗收的網際網路+可信身份認證平臺,也是目前公安部在國內電子警務、電子政務和金融等行業大力主推的新平臺,匯聚了全國十幾億公民的制證數據(含人臉照片信息),能夠訓練出企業遠遠不及的高精準度模型,並且自身有完善的安全機制,能保障網際網路身份認證過程中端到端的安全。基本不會出現網際網路企業那樣的洩露事件,集安全、精準於一身。
2018年後,線上戶籍辦理就是依託於公安部網際網路+可信身份認證平臺,目前面向市民的電子政務服務實名身份證也依託於該平臺。並且基於該平臺的認證服務都被公安部所認可,可靠性非常高。
身份認證領域,機遇與危機並存
現在,我們看到一個有意思的現象,就是做身份認證的企業在打價格戰。正常情況下,通過公安部網際網路+可信身份認證平臺認證每次的成本約為幾角錢,但有些網際網路企業甚至打出了幾分錢或者包年的超低價格,他們是怎麼做到的呢?據董峰介紹,這主要是早些年某些查詢中心的二三級代理商緩存數據導致的。比如客戶A第一次在某銀行進行人臉識別,是通過公安部平臺進行。第一次認證通過後,企業將客戶照片存至自己的資料庫裡,後續再進行多次認證時,會直接調取自己庫裡的照片比對,這樣基本就沒有成本了。而且,這些企業本身也有一定數量的「資源」,以此降低成本就不難理解了。近日,天津出臺了在某些場合禁止人臉識別的相關政策,重點將個人信息保護與法律相結合,防止被企業濫用。涉及到生物識別的用戶個人隱私的信息採集,必須有合法的業務用途並獲得本人授權。例如金融機構,通過宜籤這樣的技術服務商實現金融業務系統和公安部平臺的對接,並以加密形式傳送到公安部網際網路認證平臺去認證,再返回帶有公安部平臺電子籤名的認證結果給金融機構。金融機構與軟體企業都不直接存儲客戶個人照片等信息,這樣才能做到安全,並將盜刷、個人隱私等風險降至最低。
某網際網路大佬曾經說過一句非常有爭議的話:我們國人可能並不是十分重視個人隱私,願意用其來交換便利性。筆者認為這句話確實言行不妥,並且只能算是「說對了」一半,那種情形應該是在十幾年前,網際網路剛剛開始的階段,大家覺得洩露郵箱、個人日記之類的影響不大。但網際網路發展至今,人臉、指紋、手機號、銀行卡等等信息已經被廣泛用作支付,個人信息洩露所帶來的危害可以說是災難性的,所以必須重視起來。我們在此也期望金融證券機構、網際網路等企業能夠儘早完善身份認證技術與合規性升級,真正做到「萬花叢中過,片葉不沾身」,著實保護好公民個人信息,進一步降低被盜刷的風險!