刷脸支付安全吗?最全解析来了!
随着人脸识别应用场景陆续落地,刷脸市场竞争已进入白热化阶段,甚至有人说刷脸支付或成为移动支付后的下一个大众支付风口。
那么,刷脸支付,你愿意尝试吗?
《经济参考报》日前在线上开展了一个小范围的问卷调查,调查结果显示,有不少受访者认为刷脸支付存在脸部信息泄露、照片视频和其他形式的伪冒、支付场景无法支持高效准确识别等安全风险。
针对用户的种种担忧,记者采访诸多业内人士,整体而言,人脸识别借助深度学习的应用与发展,识别通过率明显提升,但是和任何其他方案一样,没有一种单一的安全解决方案是“万全之策”,人脸识别的广泛应用绝不意味着要抛弃其他一些传统的安全认证方式。人脸识别支付确实给客户带来了更加便捷的体验,但是支付机构的创新必须建立在安全的基础之上。
记者了解到,有关部门目前正在推进人脸识别领域相关金融标准的制定。央行相关人士最近也明确指出,针对人脸识别、支付应用热点,由于线上开放的网络环境中存在诸多风险,应用条件不成熟,而线下应用风险相对可控,基本具备试点应用的条件,机构相关交易应该遵循支付交易要坚持多重认证的原则。
小调查:“刷脸支付”你敢吗?
有人认为,刷脸支付或成为移动支付后的下一个大众支付风口,它让支付脱离任何外在设备,让“懒人”获得更好的支付体验。
当前,随着人脸识别应用场景陆续落地,刷脸市场竞争已然进入白热化阶段。早在2017年8月底,京东在线下零售店京东之家开始测试“刷脸”支付服务。去年2月,支付宝在刷脸推介会上展示了最新的商用版刷脸产品——“蜻蜓”。微信作为支付宝的头号竞争对手,在今年3月,推出了自己的刷脸产品——“青蛙”。此外,工行、建行等银行均推出了刷脸支付相关方案,美团与小象生鲜曾合作试点刷脸支付,并且在北京地区有商业落地。
虽然刷脸支付快速普及,但用户对刷脸支付的安全性仍存在一定质疑。
你使用过刷脸支付吗?你认为刷脸支付安全吗?《经济参考报》近期开展了一个小范围调查,有效样本量为46人,其中男性18人,女性28人,年龄在18至25岁的样本人数占比为73%,本科及以上学历占比为75%。调查结果显示,不少受访者认为刷脸支付存在安全风险。
除设备不支持,线下应用场景不足等客观原因外,大部分受访者不使用刷脸支付的原因一方面是由于指纹支付在支付市场上仍占据主流地位。作为当今最流行的生物支付方式,部分受访者认为指纹支付比刷脸支付更便捷、更安全,一女性受访者表示“指纹支付已经够用,未来并不愿意尝试刷脸支付”。另一方面,对刷脸支付的安全性存在较多质疑是部分受访者不愿意使用或不愿意频繁使用的原因。
调查发现,受访者认为刷脸支付存在的安全风险主要有:
•脸部信息泄露
•照片、视频和其他形式的伪冒
•支付场景无法支持高效准确识别,如双胞胎识别
吸人眼球的负面报道和真假难辨的传言,潜移默化在影响用户的认知。一旦“刷脸支付”和“安全”两个关键词出现组合,“信息被泄露”、“双胞胎识别障碍”、“3D打印头像伪冒支付成功”等词语或事件也往往被自动触发。调查发现,用户是否选择启用新的支付方式,安全系数是最关键的指标。
刷脸安全吗?业内人士这么说
通过上面的小调查可以看出,普通大众对人脸识别这种新兴的支付方式或多或少还是存在一定质疑。那么,人脸识别究竟是否安全?
权威数据显示,人脸识别借助深度学习的应用与发展,识别通过率明显提升。例如,结合海量数据挖掘、神经网络等技术,千万级别人脸辨识的通过率可达99%以上。
而针对大家普遍存在的一些担忧,记者也采访了一些业内专家。
担忧一:用一张照片和一段视频就能成功刷脸?
业内人士表示,比起初代的2D人脸识别技术,现在市场上应用的3D人脸识别技术,基本可杜绝这类仿冒。3D人脸识别技术在进行人脸识别前,会通过软硬件结合的方式进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,有效避免人脸伪造带来的身份冒用。另外,很多的手机APP或是线下的智能终端在进行身份验证时,会要求用户眨眼睛或是做几个连续的指定动作,以确定为活体。
担忧二:双胞胎或长相非常相近的人能准确区分吗?
在2015年的汉诺威CeBIT展的开幕式上,针对刷脸支付是否能识别出双胞胎的提问,马云回答称,“双胞胎识别难度确实有点大,毕竟任何一种技术都不是万能的。但是如果加上一层指纹识别或密码验证就可以识别出来”。接受记者采访的业内人士也表示,“双胞胎”确实属于一个难以攻克的难题,单纯依靠人脸识别不能保证安全性,需要辅助其他手段来交叉验证。
担忧三:人脸信息泄露了怎么办?
伴随着人工智能、云计算、大数据等技术逐步规模应用,生物特征数据存储集中度越来越高。一旦热点应用的生物特征库被攻破,极易导致大规模隐私泄露,甚至会引发系统性风险。而生物信息的无法重建也更加剧了用户对信息泄露的担忧,毕竟我们没有另一张脸可以换。
万事达卡中国区总裁常青此前在接受《经济参考报》记者采访时表示,就人脸识别而言,众多实践都倾向于将生物识别信息应储存于设备而不是集中保存在某机构的数据库中,以防止因黑客攻击造成大规模的数据泄漏。“无论是指纹还是人脸识别,这些信息都储存在手机的加密安全芯片中,这些芯片只能被授权的应用读取,所以并没有泄露的风险。即便是在一定情形下,生物识别信息必须要由机构的数据库来保存,我们也认为应该建立一个分散保存的系统并且确保传输过程中信息不可被破解和追溯。”他说。
记者也了解到,有关部门目前正在推进人脸识别领域相关金融标准的制定,以明确在这部分信息采集、传输、存储、利用等环节的安全管理要求。
监管定调多因素认证更安全
事实上,人脸识别的相关风险也引起了监管部门的高度关注。近期,针对人脸识别风险问题,多个监管部门密集发声。
央行日前发布的《金融科技(FinTech)发展规划(2019-2021年)》提出,探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。
央行科技司司长李伟在9月20日举办的金融网络安全论坛上也表示,在网络空间仅依靠人脸等单一特征进行金融交易验证,存在严重交易隐患,机构在相关交易时,必须根据风险等级结合用户口令等其他因素进行多因素认证。
李伟认为,人脸属于弱隐私生物特征,信用误用风险比较大。现实生活中通常综合人脸、声音、体态等多个弱隐私特征来认识他人,不光看你的脸,还要听你的声音、看你的动作,综合判断你是谁,来认识一个人,这些特征普遍暴露在外,往往容易通过远程非接触的方式,在本人豪无察觉的情况下无声无息的采集,这是无法避免的现象。问题在于,部分机构高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征进行金融交易验证,存在严重交易隐患。
李伟表示,针对人脸识别、支付应用热点,由于线上开放的网络环境中存在诸多风险,应用条件条件不成熟,而线下应用风险相对可控,基本具备试点应用的条件,机构相关交易应该遵循支付交易要坚持多重认证的原则。
“考虑到人脸识别过程悄无声息,要严格落实消费者权益保护法,充分尊重用户的主观意愿、保护用户的知情权、财产安全权等合法权益,不得在用户不知情未授权的情况下擅自发起交易,不允许将人脸特征作为唯一的交易验证因素,必须根据风险等级结合用户口令等其他因素进行多因素认证,平衡好金融服务、安全与便捷。”李伟说。
交叉认证、多重认证的理念实际上是业内人士的共识,而生物识别只是多层级安全体系中的一部分。常青表示,面对安全风险,没有哪个单一的解决方案是刀枪不入的。但如果我们能同时使用多层次的安全措施,就能将风险最小化。在于今年6月在上海举行的Visa 2019亚太区安全峰会期间,Visa亚太区首席风险官Joe Cunningham认为,为了保证生物识别信息能够合适的存储并且合适的使用,应当鼓励标准,基于标准建立自己的创新体制。生物识别只是方便快捷的一部分,还有其他的支付方法让总体安全性更好。
事实上,在多家机构的人脸识别应用中,已开启多重因素认证以保护交易安全。多数银行手机APP为了确保交易的安全可靠,在一些安全等级较高的交易中均在推进多种方式组合在一起的交叉身份验证。记者从一些银行了解到,登陆手机APP可以单独应用人脸识别进行验证,但若用户运用银行手机APP进行转账等交易,并不会单独应用人脸识别,而是与密码等其他验证方式共同进行认证。
支付宝方面也表示,支付宝App的刷脸登录和刷脸支付,只能在密码登录和支付过的手机上才能开启。如果一台手机从未用密码登录过,则不可能仅通过刷脸就完成登录或支付。
整体而言,人脸识别支付确实给客户带来了更加便捷的体验,但是支付机构的创新必须建立在安全的基础上。
Visa产品和创新风险负责人Chackan Lai表示,生物信息的使用所带来的便捷和用户隐私保护之间需要一个平衡,其平衡点在哪取决于具体所在的国家和这个国家的文化。“通常来讲,东方文化相对注重社会总体的福祉,西方文化可能更注重个人隐私,我们密切关注刷脸支付动态的进展,同时确保生物识别像其他任何新技术一样,是非常负责任的被人们去使用的”。
作为用户,为了确保手机支付安全,可做到以下:
•使用多层级安全验证。没有100%的安全的支付方法,在设置生物识别的同时,叠加其他认证方式,可以有效降低安全风险;
•设置复杂的手机锁屏密码和手势验证,有条件的情况下设置指纹或人脸识别;
•开启隐私保护,尽量不在手机锁定的屏幕上展示短信内容,也不将短信内容自动备份至云服务器等远程位置;
•丢失手机后第一时间远程抹除手机数据,或使用设备锁等手机app提供的安全功能阻止其他用户登录自己的一些重要的app。 (记者 张莫 汪子旭)