生物识别安全隐患仍存:拿什么来保护我们的“身体密码”?

字号:

  生物识别技术正快速“走红”海内外众多领域。根据中国信通院2020年发布的《生物识别隐私保护研究报告》,自2010年以来,全球生物识别产业迅速增长,2017-2018年市场增速最快,增长率达到22.28%,2019年之后逐步稳定增长趋势,到2020年市场达到233亿美元。

  现今比较成熟的生物识别认证方式有指纹认证、人脸认证、声纹认证、虹膜认证、步态认证等。例如,系统进行活体检测时,用户“眨眨眼、点点头”即可快速实现线上身份确认;指纹、人脸还能用于免密登录认证、免密支付转账、线上合同签署操作;执法部门通过人脸识别对特定人员进行精准搜索和巡查……

  不可否认,生物识别技术让用户的认证方式变得简单、易操作,但应用过程中也会出现一些风险,有两类安全问题尤为突出。

  安全问题1:针对生物识别技术的安全攻击持续不断

  这些年,对于生物识别认证的攻击一直存在,攻击手法层出不穷,但大致归为两类:一种是通过网络对生物识别信息的截取,以便实现对认证系统的攻击,这种攻击方法主要针对远程人脸认证;另一种是通过深度伪造生物识别信息,做出极其逼真的3D人脸模具、指纹模具,实现以假乱真的效果。

  2017年央视315晚会现场,主持人凭借手机和一张正面照片,就使用“换脸”特效成功攻破人脸识别系统;2018年一篇《一块橘子皮就能秒开你的手机指纹锁还能转账付款》的文章被疯狂转载,攻击者使用特定的方法和工具,即可实现手机指纹解锁的破解;2019年1月,在德国黑客组织年度大会上,研究员使用照片制成的手摸绕过了静脉认证;同年3月,攻击者利用AI技术成功模仿并冒充英国某公司CEO的声音,诈骗22万欧元;近年来,使用3D打印面具,可呈现极度逼真的人脸模型,骗过某些手机终端人脸识别认证系统。

  实际上,我们需要通过优化生物识别认证算法,或结合其他安全认证原理,结合特定的应用场景,才能实现可靠性、安全性的防护,防止误认、漏认等风险的发生。比如,央行发布的《网上银行系统信息安全通用规范2020》明确指出,应把生物特征技术作为安全增强手段,并与其他身份认证技术相结合,增强交易安全。

  安全问题2:个人生物特征隐私保护亟待解决

  生物识别信息是每个人与生俱来的特征,一旦遭到泄露,将出现不可挽回的影响。目前,生物特征信息的采集、传输、存储等方面还缺少较为细化的安全措施规范。另外,现有的市场中存在生物信息采集过度,使用过度等乱象,一些企业未征得用户同意的情况下,任意使用生物特征(尤其是人脸信息),对用户隐私造成严重威胁。

  保护个人生物信息隐私,实际上需要从法律立法、加强监管、企业自律等多维度开展。近年来,我国相继发布了多个针对生物识别认证相关的标准规范,例如,《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》(GB∕T 36651-2018)、《信息安全技术 远程人脸识别系统技术要求》(GBT38671-2020)等。此外,为切实保护公民个人隐私安全,按照《关于开展摄像头偷窥等黑产集中治理的公告》要求,工信部网络安全管理局近期还组织开展了摄像头网络安全集中整治。

  基于多年来对生物识别领域的深度研究及探索实践,中国金融认证中心(CFCA)能为行业提供成熟的安全合规认证解决方案。该方案对接权威数据源,提供用户在线多要素和活体检测功能,认证用户的真实身份;提供基于FIDO标准的生物识别快速认证功能,实现生物特征识别+PKI高强度密码认证的复合身份验证方式,实现用户快速安全授权,优势显著:

  1.结合了生物识别技术和电子签名技术,实现密码和生物特征的绑定,加强了生物识别认证的安全强度;

  2.采用终端本地生物特征作为认证因子,无需建立指纹、人脸等生物特征存储库,可完全防止生物特征信息泄露风险,并已完成央行、公安部、国密局等监管机构相关资质认证,已获生物识别数字证书的专利申请。

  作者:赵烨昕