忽如一夜春风来,刷脸登录火起来。先说我的观点,人脸识别,适合于人机识别,而不是用户认证。我们要对识别出的用户说萨瓦迪卡,而不是刷我滴卡

今天看到了一个视频,是一个团队用一个女孩的几张照片做了个3D模型就绕过支付宝的刷脸登录。支付宝的回应是,人脸登录功能仅在密码登录过的手机上才会开启

这个回应的意思是,只有很有限的场景才有攻击风险,比如

  1. 朋友要用你的手机,然后你退了支付宝再给他,但他仍有机会进入你的支付宝
  2. 你在别人手机上用完支付宝,然后退出了,别人也可能有机会进入你的支付宝
  3. 攻击者盗取你的支付宝后登陆成功,你修改了支付宝密码,但攻击者仍然可以使用刷脸的漏洞继续登陆支付宝

有些人会说,转账消费需要支付密码,这个不算什么事。这个只能说总体的危害小,不代表这不是一个小漏洞。我们做安全的仍然要以做安全的态度去面对每一个小问题,每个环节的小漏洞都有可能造成其他层面的攻击

哪怕是被别人看到了账单那也是不得了的。网上有女网友曾表示,宁可被男友看到了偷情记录,也不能被看到购物账单的记录

而且别的APP的傻产品经理们抄的时候可不一定会抄袭支付宝的这个细节,可能直接就用人脸识别用于公共的认证了

我认为的认证凭证,起码得有如下特性,秘密性、获取难度大。而人脸识别显然不可用于重要的公众系统认证登录

让我们对比下几种认证方式的优缺点:

密码认证
优点:秘密性、获取难度大
缺点:用户体验不够简单,所以存在弱密码和社工库的风险。存在比较大的泄露风险。需要使用者有好的密码使用习惯


短信动态口令
优点:秘密性、获取难度大,可以代表个人
缺点:有费用支出,用户体验成本比较高、而且短信的产生和传输环节不够安全


令牌动态口令
优点:秘密性、获取难度大,可以代表个人
缺点:用户体验成本极高


指纹登录
优点:方便便捷,有一定的秘密性,有一定的获取难度,攻击者伪造成本高
缺点:有被骗取或泄露的可能,一旦泄露,无法更改。一旦被攻破,所有用户都受影响


刷脸认证
优点:方便便捷,攻击者伪造成本高
缺点:用户无秘密。很容易泄露,一旦泄露,无法更改。认证强度依赖伪造成本和识别精度,不确定性大。一旦被攻破,所有用户都受影响

刷脸认证的特点是便捷,之所以让人们误以为可以做认证,可能是基于下面这些逻辑:“我们看到一个人后会知道他是谁”,现在刷脸的唯一识别算法的精确度还可以,而且在大众范围内目前没多少攻防对抗,所以攻击技术不普及,导致攻击成本高。但只要利益够大,伪造技术是可以提高的,加上有的识别技术再弱点,攻击者很容易就可以冒充他人身份。人眼能识别出人脸,并用于认证,那是因为人眼可以分辨出人的活的,他的语音,他的行为特征等等,并且经过了大脑的思考,人工智能现在都那么弱,所以这些目前都是机器做不到的。更别说人眼也是可能会被双胞胎或是魔术骗过的

综上所述,刷脸认证的强度依赖伪造成本和识别精度,不确定性大。最大的缺点是一旦被攻破,所有用户都受影响。而且这类静态特征的认证,一旦泄露你连修改的机会都没有。用户自己本人没有掌握任何秘密,一旦被人打劫,连撒谎的机会都没有。敏感的公共系统千万不能用这个认证

手机可以用指纹认证,目前看起来还不错,那是因为能接触到你手机的人有限,相当于已经有了一个ACL。ACL里的人有黑客能力的概率比较小。但可能会被蓄意攻击。支付宝的刷脸登录也一样,是得你使用密码登录过以后,再登录的话可以使用刷脸,可以理解成某种意义的ACL或者双因素,但支付宝目前这个刷脸登录的体验其实并不是特别便捷,只能算试验性的功能,不比输密码方便到哪去

我认为的好的用户认证逻辑,应该是依赖用户自己的保管强度,用户一定要拥有自己的秘密,这样用户才有安全感。而不是依赖用户无法掌控的外界的各种因素,比如攻击手段的普及,识别的精确度,算法的逻辑等等

刷脸不能直接用在公共系统的认证上。“不能用于认证”这句话,我感觉好像在另外一个领域也常说。对,那就是风控领域。app端的人机识别技术也有如下特点,需要体验起来便捷,依赖算法的保密强度,又因为没法保证能完全保护好秘密,所以不可用于认证。所以我觉得指纹和刷脸,他们的伪造成本大,交互模拟成本高,用于风控上的人机识别还是很不错的,以后风控的输入参数,除了IP,设备、UID……还可以多了一个“人”,这才叫人机识别

Comments
Write a Comment