刷臉支付成為了今年支付行業的香餑餑,支付寶和微信支付接連推出自己的刷臉機具,銀聯也推出了自己的“刷臉付”,三者眼瞅著又要開始一場刷臉支付大戰,產業鏈上下游企業搖旗吶喊,各路推廣、服務商準備擼起袖子大幹一場。
大家都在期待刷臉支付可以達到當年二維碼支付的火熱程度,但是市場的反應無疑是讓人失望的。在人民網的採訪中,大部分消費者表示:“直接刷臉錢就被付出去了,臉就是行走的密碼,擔心不安全”、“不喜歡這種支付方式,擔心信息洩露”。約40名選擇自助結賬的消費者僅2人使用了刷臉支付。
無疑,消費者對於安全的擔憂成為了阻攔刷臉支付推廣的最大難題,各大主流媒體都指出了刷臉支付的安全性存在問題,並絕大部分問題都集中在“人臉信息洩露難以防範”這一點上,這樣的報道本身並沒有錯誤,但是很容易讓人誤解“刷臉支付”業務只有數據安全難以保證這一個問題。
事實上,刷臉支付應用目前還存在很多問題。
數據安全是刷臉應用共有的問題
人臉識別技術存在眾多落地應用,刷臉支付只是其中之一。刷臉開門、刷臉打卡、刷臉取紙等應用在全國各地四處開花,無一不掀起熱潮和追捧。在這些應用中,人臉識別技術作為核心完成了身份認證環節。
無疑,想要完成身份認證必須採集人臉生物特徵信息,通常相關應用運營商會選擇建立數據庫保存採集到的人臉特徵信息。因此這些應用都要面對同一個問題:數據庫中的人臉特徵信息安全嗎?
今年2月深網視界的數據庫漏洞事件震驚了整個互聯網,超過250萬條數據可以被提取,包括人臉信息、身份證信息等等敏感數據。這一事件讓所有人都認識到,人臉特徵信息數據庫和其他數據庫一樣有漏洞,有可能被有心人利用。
更為重要的是,刷臉應用的數據安全問題存在一定的關聯性。假使一個人可以使用同樣的鑰匙打開兩個不一樣的櫃子,如果一個櫃子的鎖被破解,那麼另一個櫃子會是安全的嗎?刷臉取紙、刷臉開門應用發生數據洩露,洩露出來的數據不會對刷臉支付安全造成影響嗎?
每個人只有一張臉,因此人臉特徵信息具有唯一性,可以解決目前密碼易失竊、易複製、易濫用的問題。但是正是由於生物特徵的唯一性,所以其一旦洩露後果十分嚴重,密碼丟了可以再換,臉如何再換呢?
今年9月上旬,有媒體報道,在網絡商城中有商家公開售賣“人臉數據”,數量達17萬條。在商家發佈的商品信息中可以看到,這些“人臉數據”涵蓋2000人的肖像,每個人約有50到100張照片。此外,每張照片搭配有一份數據文件,除了人臉位置的信息外,還有人臉的106處關鍵點,如眼睛、耳朵、鼻子、嘴、眉毛等的輪廓信息。網絡商城運營方在認定涉事商家違規後,將涉事商品下架處理。
這些“人臉數據”來自於哪裡、是誰採集、如何採集至今一無所知。
人臉識別技術本身並不完美
通過人臉識別技術完成用戶身份認證,並對用戶綁定的賬戶進行扣款,這是目前支付寶和微信支付刷臉支付業務的核心流程。很明顯,人臉識別技術在整個流程中位於核心地位,如果人臉識別技術出現問題,業務必然會出現問題。
那麼破解人臉識別技術困難嗎?答案是:沒有那麼困難。幾天前,一群小學生破解了豐巢刷臉取件的事情在網上引起了普遍關注。簡簡單單一張照片就騙過了豐巢的人臉識別,打開了快遞櫃。不明所以的人都在問:“人臉識別技術靠譜嗎?”
豐巢採用的人臉識別不靠譜。豐巢採用的是2D人臉識別,對於圖片和3D模型的攻擊抵抗性非常差。不過先進2D+人臉識別技術和更加先進的3D人臉識別技術可以很好的解決類似問題。那麼更加先進3D人臉識別技術就沒問題嗎?
在一般消費者心目中,蘋果公司的3D結構光人臉識別技術無疑是目前多種人臉識別中最安全的。但事實上,蘋果的3D結構光人臉識別在推出後相繼爆出雙胞胎誤識別、同事誤識別、閨蜜誤識別、情侶誤識別等等安全事件。雖然以上都屬於小几率出現的偶然事件,但是必須認識到:人臉識別技術是一項存在誤差的技術,無法做到100%準確。
在今年的黑帽大會上,蘋果的3D結構光人臉識別更是被爆出誰都可以利用的大Bug。騰訊的研究人員發現了繞過的方法,道具僅僅是一副眼鏡和黑白兩色膠帶。給受害人帶上這副眼鏡,就可以繞過活體檢測功能,打開受害人的手機。
不僅僅是蘋果,谷歌剛剛發佈的全新旗艦新機Pixel 4被爆出類似漏洞,用戶即使閉著眼睛也可以使用人臉識別來解鎖Pixel 4。也就是說,攻擊者無需得到手機主人的許可即可輕鬆地解鎖設備。
當然,蘋果和谷歌的技術漏洞並不能直接對刷臉支付業務造成任何不利影響。但是足以說明,人臉識別技術的成熟度還不夠高,這項技術的本身還存在瑕疵,需要繼續改進。
刷臉支付的問題不全在人臉識別技術
上文說過,人臉識別技術是存在問題的。不過這些問題不足以威脅刷臉支付的業務安全,因為目前的刷臉支付機具都採用了不落後於蘋果的3D人臉識別技術,並且處於公共開放的場景中,很難出現可以利用漏洞的機會。
真正的安全威脅大多數來自於刷臉支付業務的其他環節當中,比如信息交換、賬戶扣款等等,其中賬戶扣款環節的問題較為直接,爭議也比較大。前文提到過支付寶和微信支付目前的刷臉支付的基本流程,在用戶完成身份認證過後,就會在綁定賬戶中完成扣款。
也就是說,在目前的刷臉支付業務流程中,人臉信息既是賬戶又是密碼,如果發生了誤操作,極容易發生扣款扣錯賬戶的錯誤。如果有心人加以利用,不難想象會出現盜刷事件。
這也就是我們常說的“刷臉支付不能體現支付意願”的安全問題。面對這個問題,支付寶和微信支付改進了刷臉支付業務流程,在進行人臉識別過後出現了“確認支付”的選項按鈕,以此來體現消費者支付意願。
這是一個非常好的辦法,既滿足了體現支付意願的需求,又沒有對刷臉支付的使用體驗產生特別大的影響。不過,央行科技司司長李偉曾表示:相關部門經過前期深入調查研究,結合行業實踐探索情況,目前來看,“人臉識別+支付口令”是兼顧安全與便捷的實現方式。
近日,銀聯推出了自己的“刷臉付”產品,採用了“人臉識別+支付口令”的模式,在完成人臉識別過後需要輸入支付口令完成支付,徹底滿足了多因素驗證要求,極大的加強了刷臉支付的安全性。但是對刷臉支付體驗的影響有多大,目前還猶未可知。
很明顯,支付寶和微信支付的改進和銀聯採用的模式存在比較大的差異。但無論是支付寶、微信支付的改進還是銀聯的“刷臉付”都說明了刷臉支付業務在相關方面存在安全問題。
此外刷臉支付還需要警惕移機盜刷、信息篡改等等安全問題。
未來是充滿希望的
人臉識別技術存在漏洞、刷臉應用存在數據安全問題、刷臉支付存在業務安全問題,這些問題並不能阻擋人臉識別技術在支付領域的應用。從體驗上來說,人臉識別技術是目前對用戶最友好的技術,可以惠及二維碼支付、網絡支付無法顧及到的弱勢群體。
從安全性上來說,人臉識別技術在支付領域的應用可以確定用戶本人身份,結合多因素驗證可以大幅提高支付安全性。這是一項優勢無比明顯的技術,只不過目前它的劣勢一樣明顯。
刷臉支付的未來充滿希望,不過需要看清眼下的情況,才可以更好的前進。
閱讀更多 移動支付網 的文章
