出品：科普中国-铁流

制作方：中国科学院计算机网络信息中心

今年9月，阿里巴巴旗下蚂蚁金服宣布在杭州肯德基上线“刷脸支付”服务。同月，以苹果为代表的多家手机厂商纷纷推出具备人脸识别解锁功能的手机，苹果也宣称，人脸识别比指纹更安全。随即，不少媒体开始想象，人类即将进入刷脸时代，无论是开银行账户、解锁手机、线上支付，还是开小区门禁、自家大门，都将采用“刷脸”模式。

然而，在国际安全极客大赛上，一名黑客仅用两分半钟就骗过了人脸识别系统。那么人脸识别到底有多安全？它会带来哪些安全风险？

（黑客现场演示如何入侵人脸识别系统）

使用面部识别进行在线支付存在风险

随着移动支付的兴起，指纹支付、虹膜支付、人脸支付等生物识别支付方式纷纷涌现，尤其是阿里巴巴、苹果等大公司相继推出人脸识别、人脸支付等功能，让人脸支付变得十分时尚，而且相较于输入密码的支付方式，人脸支付也更加便捷。

然而正如便捷与安全无法同时实现，受黑客攻击以及人脸识别技术的限制，目前刷脸支付存在较大的安全风险。

首先，网络空间存在被黑客攻击的风险。去年，德国纽伦堡大学发表了一篇论文，在技术上通过模拟他人的脸部实现了远程身份认证。也就是说，黑客不需要你的面部生物特征数据，就可以完成人脸认证。

（依靠技术破解身份认证）

其次，高质量的模仿模型可以骗过人体识别安全系统。当刷脸支付的想法被提出时，有人开玩笑说：“如果我整容了怎么办？”“如果我毁容了怎么办？”“如果我生了双胞胎怎么办？”“如果我戴了人皮面具怎么办？”虽然这只是网友的玩笑，但风险却是客观存在的。

2016年，美国北卡罗来纳大学的一支技术团队，根据经过技术处理的照片，构建了3D人脸模型，然后用这个模型来测试人脸识别系统。测试结果令人震惊：80%的人脸3D模型骗过了系统的检测。也就是说，一旦犯罪分子使用高质量的仿人脸3D模型，或者间谍电影中的人皮面具，就很可能轻易骗过目前的人脸识别系统。

（人脸3D模型）

综上所述，人脸识别技术不宜在开放的网络空间、银行开户、大额支付等安全性较高的场景进行身份验证，否则将引发系统性风险。

虹膜和指纹：不适合高安全性场景

事实上，存在安全隐患的不仅仅是刷脸支付，指纹识别、虹膜识别等生物特征识别技术同样不适用于高安全场景。虽然目前很多手机、笔记本等电子设备都采用了指纹识别或虹膜识别，但该技术是否被广泛应用与技术安全水平并无直接关系。

公安部第三研究所物联网技术研究发展中心主任梅林介绍，“我们注意到，用指纹解锁手机、笔记本电脑，虽然很方便，但存在安全问题……我们公安部信息网络安全重点实验室，只需借助假肢攻击，就能轻松打开这些指纹锁。”

此外，人脸、指纹、虹膜等生物特征识别技术存在巨大风险，很难保证这些信息不会从电脑、笔记本或者刷脸支付设备中被窃取。由于生物特征对于每个人来说都是独一无二的、终身的、不可改变的身份信息，一旦生物特征信息大规模泄露，后果将是灾难性的。

具体来说，如果你的6位密码被盗，你只需要更改密码（可撤销）。但是，你的生物特征信息一旦泄露，将无法恢复（不可撤销）。

因为生物特征泄露危害如此之大，相关标准正在制定中。未来，生物特征采集设备的市场准入和强制检测会越来越严格，数据保护手段和数据安全应用也会越来越先进。同时，大家也要加强自我保护意识，切勿随意扫描面部、指纹或虹膜，轻易将自己的生物特征数据交给他人。

人脸识别技术应用方向

虽然并不适合应用在网上支付、银行开户、大额支付等安全性要求较高的场景，但是在安防等采集设备和环境可控的场景，人脸识别的技术应用前景非常广阔。

（面部特征采集与比对）

人脸识别技术可以与视频监控相结合，形成主动管控技术，将广泛应用于机场、高铁、地铁等场景，支撑智能化安防的进一步发展。依托人脸识别和人工智能技术，公安机关可以通过视频监控获取犯罪分子的面部信息数据，然后与数据库中的人脸进行比对，确认犯罪分子身份。

在警务服务方面，人脸识别技术同样潜力巨大。公安三局曾发布过一段宣传视频，小女孩失踪后，公安三局研发的守望者系统人脸识别技术确认了失踪女孩的面部特征。由于小女孩年龄过小，公安机关数据库中没有记录她的个人数据。人工智能从全城视频监控中寻找对小女孩有监护权的女子，再通过人脸识别技术确认女子身份，帮助小女孩找到了家人。

在“人证核验”场景中，可以在重点场所运用人脸识别技术，对现场人脸、证件中人脸进行身份核验。

总之，任何技术都有其适用场景，不能贪图便利而忽视安全风险，特别是存在系统性风险的情况下。