“刷脸时代”信息安全的种种担忧被苹果手机十年纪念版iPhone X引发。
生物识别技术很成熟
全屏、home键取消,用Face ID(俗称刷脸)解锁屏幕,iPhone X虽诸多新科技加身,公众最关注的却是早就应用于各种场景的“刷脸”。
网络安全初创公司志翔科技产品副总裁伍海桑说:“指纹、虹膜、人脸等生物识别技术已很成熟,被广泛应用于公安、反恐、商业等诸多场景。为什么直到iPhone X才流传这么多段子?这不仅反映了苹果强大的影响力,更因为生物识别认证技术此前多用于工业和公共安全等领域,当它通过手机从庙堂入江湖,就不一样了,它几乎和每个消费者密切相关。”
伍海桑表示,公众对刷脸识别的安全性担忧,主要来自于指纹识别、虹膜识别必须主动采集,而刷脸识别则有可能不知不觉间就被采集到,尤其是很多影视作品所展现的场景,更加重了公众的心理顾虑。
虽然真正的产品还没看到,但是,伍海桑说:“苹果及其他厂家在将产品推向公众用户时,会比我们想象得更加严谨。当然,随着用户的使用和很多习惯性应用场景的出现,产品或技术总会暴露其中的不足,企业一定会据此完善。只是,从当前生物识别技术的成熟度看,即使苹果iPhone X刷脸识别出现‘BUG’,只要不是硬件或固件的问题,打几个软件包就能很快解决。”
从苹果发布的公开信息看,iPhone X刷脸识别错误率比指纹识别低得多,相同指纹破解的概率是五万分之一,相同面部破解的概率是百万分之一。
“也就是说,撞脸比撞指纹的概率小得多。”伍海桑说,“睡觉被解锁,更是一句玩笑。目前一般的人脸识别系统都会加入‘对着摄像头眨眼睛’等活体检测验证。如果不是睁眼睡觉,就不会被梦中刷脸。”
公民生物信息监管是空白
虽然伍海桑认为,苹果将刷脸识别用于iPhone X在技术上不用担忧,但个人生物信息会不会就这样被苹果等企业采集?
众人科技董事长、上海市信息安全行业协会会长谈剑峰表示,由于生物特征的唯一性和不可再生性,若大量生物识别信息集中留存在后台服务器,一旦数据库遭受攻击,后果不堪设想。
“和密码不同,生物信息数据库一旦被攻破,用户不可能换脸应对。”谈剑峰认为,生物识别认证适用于数据只留存在本地,或作为金融机构等认证的辅助手段。
早已在手机中加入虹膜识别功能的三星手机认为,目前手机所采用的生物识别技术,用户隐私安全可控。三星手机技术人员对科技日报记者说:“用户的生物信息被储存在处理器芯片的安全区域,三星无法获得。并且,这部分数据经最高级的加密处理,即使用户手机丢失也不用担心个人生物信息流出。”
苹果同样承诺,iPhone X用户的生物信息存储在本地专用安全芯片中,不会上传至服务器或云端。
据伍海桑介绍,针对个人生物信息的采集、存储、利用,全球都在论证中,如何让个人生物信息的采集过程更准确,如何防止个人信息存储不当被泄露,如何防止个人生物信息被滥用,谁能把握和比对我们的信息……当种种问题都处于论证时,目前除了国家公权部门,商业机构及企业均不能主动收集公民的生物信息。
“也许很多人并不知道,非常流行的手机指纹支付,不过是给用户提供了一个更简单的密码输入手段。这个过程是,本地指纹采集后‘翻译’成了支付密码,指纹未上传第三方或银行,校验过程还是密码。”伍海桑说,“虽然银行若能用个人生物信息进行校验,安全性会更高,但对个人生物隐私却形成挑战。”
毫无疑问,生物识别已成为新的安全边界,中科院自动化所研究员张文生在接受科技日报记者采访时强调,这个阶段对生物识别安全问题的拷问,不是技术,而是在全球都属空白的监管领域,很多规则急需建立。(记者刘艳)