當(dāng)前位置：主頁 > 資訊 >

人臉識別技術(shù)，真的能證明 “你就是你”嗎？

來源：虎嗅瀏覽數(shù)：
責(zé)任編輯：CHH 時間：2016-09-26 09:22

分享到：

[導(dǎo)讀]前兩年互聯(lián)網(wǎng)大咖花式秀了一把人臉識別，伴隨著網(wǎng)絡(luò)銀行成立的背景，全國一夜之間冒出了上百家人臉識別技術(shù)公司，隨后公安、人民銀行的謹(jǐn)慎試點(diǎn)態(tài)度出臺，狂熱的人臉識別技術(shù)

前兩年互聯(lián)網(wǎng)大咖花式秀了一把人臉識別，伴隨著網(wǎng)絡(luò)銀行成立的背景，全國一夜之間冒出了上百家人臉識別技術(shù)公司，隨后公安、人民銀行的謹(jǐn)慎試點(diǎn)態(tài)度出臺，狂熱的人臉識別技術(shù)投資熱潮被澆了一盆冷水。

上周一篇未來網(wǎng)首發(fā)的《公安部推廣“網(wǎng)絡(luò)身份證”應(yīng)用試點(diǎn) “刷臉”就能看病旅游住酒店》的文章，把已經(jīng)冷靜下來的人臉識別技術(shù)話題又炒了起來，而且還打出了公安部的名頭。作為一個有十幾年信息安全行業(yè)經(jīng)驗的從業(yè)人員，站在信息安全的角度探討一下為什么不能在互聯(lián)網(wǎng)上遠(yuǎn)程使用人臉識別技術(shù)識別身份，歡迎各路神仙拍磚。

第一，網(wǎng)上識別身份是一個嚴(yán)肅的信息安全問題

身份識別作為信息安全問題，本不用解釋，要解釋的是什么樣的信息安全問題。具體來說，身份一詞在漢語中有多種解釋，拋開職務(wù)、學(xué)歷、職稱的屬性信息，在信息安全領(lǐng)域，常見的就有賬戶身份識別和法定身份識別兩種，舉例來說，就是工作證和身份證的區(qū)別，經(jīng)常有人混淆這兩種應(yīng)用場景。

對賬戶身份的識別，可以用多種方式，用戶名口令就是最常見的技術(shù)方式，安全一點(diǎn)的可以用U盾，總而言之，企業(yè)和用戶愿意用什么技術(shù)就可以用什么技術(shù)，反正出了問題企業(yè)承擔(dān)責(zé)任，除了隱私問題（后面會詳細(xì)展開），只是企業(yè)行為導(dǎo)致局部風(fēng)險。

對法定身份的識別，則要嚴(yán)肅的多。畢竟應(yīng)用范圍廣，影響大，涉及國家行為，要做充分考慮，一個處理不慎，就會導(dǎo)致全局的風(fēng)險，甚至影響公共安全和國家安全。

第二，人臉識別技術(shù)缺乏理論基礎(chǔ)

人臉識別技術(shù)有硬傷，不客氣的說人臉識別技術(shù)基于經(jīng)驗而不是科學(xué)。目前并沒有可靠的理論基礎(chǔ)，也沒有權(quán)威的實驗證明是否任意兩個人的臉是不同的(互聯(lián)網(wǎng)上下求索而不得道，歡迎賜教)。

我們經(jīng)常在單位門禁、考勤設(shè)備中看到人臉識別技術(shù)的應(yīng)用，但是一般單位才多少人？放到海量用戶的背景下，這個經(jīng)驗還成立嗎？

歷史上最著名的人臉誤判案例可能是1903年在美國堪薩斯州發(fā)生的William West-Will West案件[2][3]。當(dāng)時一個名為威爾•韋斯特（Will West）的犯人正要被收押進(jìn)萊文沃思（Leavenworth）監(jiān)獄。監(jiān)獄職員看他面熟，問他以前是否來過這里，威爾說沒有。接著職員調(diào)出了William West的照片給威爾看，威爾說：“這的確是我，可是你們是怎么拿到這張照片的呢？以前我從未到這兒來過。”從此，從美國開始，各國監(jiān)獄和司法系統(tǒng)開始用指紋進(jìn)行罪犯身份登記和管理。

第三，網(wǎng)上人臉識別的技術(shù)可行性問題

人臉識別在網(wǎng)上大規(guī)模應(yīng)用本身面臨不小的技術(shù)難題：

首先，從技術(shù)上來說，人臉識別不是精確的信息比對，而是一個相似度比對，由于人臉識別算法技術(shù)路線不同，閾值的設(shè)定方法完全不同，評判的標(biāo)準(zhǔn)自然也不同，即使從識別實際效果看，包括誤識率、拒識率等（（1）誤識率(False Accept Rate, FAR)：這是將其他人誤作指定人員的概率；（2）拒識率(False Reject Rate, FRR)：這是將指定人員誤作其它人員的概率）。這些結(jié)果受到訓(xùn)練和測試空間樣本的影響，很難做出孰優(yōu)孰劣的判斷。

其次，大規(guī)模使用面臨資源問題，人臉圖片的采集如果不做活體檢測的話，很容易招致基于用戶照片的重放攻擊[[5]]。而活體檢測的話，對后臺的計算資源和網(wǎng)絡(luò)的傳輸資源要求較高，所以在目前實際上線的人臉識別都是非常容易攻破的，筆者親自嘗試過好幾個，這里就不點(diǎn)名了，至于在人臉識別基礎(chǔ)上發(fā)展的視頻識別技術(shù)就更別提了。

再次，人臉數(shù)據(jù)在網(wǎng)上采集難，如果基于公安人口庫在線下采集，在線上使用的話，誰能保證這個信息庫不被黑客攻破的，一旦出事，全中國人的臉就要在互聯(lián)網(wǎng)上丟盡了，非常危險。

第四，網(wǎng)上人臉識別的抗攻擊問題

一個人具有生物特征，包括人臉、指紋、虹膜、DNA等，這些特征在一起，可以確定我們的身份，但是當(dāng)這些特征被各種傳感器信息化提取后放到互聯(lián)網(wǎng)上，就成了生物特征信息。生物特征信息能不能證明自己的身份，就要看這個提取過程是否安全，會不會被復(fù)制、偽造、合成?在網(wǎng)上使用人臉識別技術(shù)用于法定身份識別是不是經(jīng)過對抗性分析？在網(wǎng)上使用人臉識別的過程中，面部信息被存留怎么辦？采集的面部信息被盜取怎么辦？ 2011年，csdn密碼泄露（據(jù)說還有人人、天涯、開心網(wǎng)），結(jié)果全國網(wǎng)民紛紛改密碼，如果有一天，我們的人臉庫泄露了，我們該怎么辦？換臉嗎？

第五，隱私保護(hù)問題

最后一個問題事關(guān)你我。

現(xiàn)在網(wǎng)絡(luò)上各類隱私信息泄露已呈泛濫趨勢，有人說面部信息不是隱私，那賓館不能把酒店住客的監(jiān)控錄像放到網(wǎng)上?如果賓館不可以，那能不能在大街上每個單位門口按一個攝像頭？Google地圖中為什么要給面部打碼。

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與納金網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

TAGS：人臉識別