當心！揮手照片可能泄露指紋信息

你流傳到網上的照片、視頻，若被拿來做人臉識別，極有可能被解鎖﹔揮手的照片，也有可能泄露指紋信息……在12月6日—8日召開的第15屆信息安全與密碼學國際會議上，有專家接受記者採訪時表示，面部身份驗証、指紋等生物識別手段，容易受到面部偽造等手段的攻擊，建議將生物識別認証與其他輔助認証手段相結合，保護用戶信息安全，而容易被大家忽視的人臉失真信息，也可以反其道而行之進行身份識別。

每天，大量的個人圖片和視頻都會出現在網上，這給一些黑客提供了可乘之機。“身份驗証系統已經廣泛應用於真實世界的各種應用程序中，然而，面部身份驗証通常容易受到攻擊，我們的照片、視頻或3D虛擬人臉模型，會被黑客拿來欺騙面部身份驗証系統。”新加坡管理大學（SMU）安盛網絡安全講座教授鄧慧杰說，他曾做過試驗，“發布在網上的個人照片，能成功解鎖70%的用戶面部識別”。

在鄧慧杰看來，有些人臉識別系統並不安全，例如，雖說認証時會要求用戶點頭、眨眼，“但黑客可以借助視頻解鎖人的面部的三維信息，或者把照片上的眼睛、嘴巴摳掉，用軟件去模擬動態特征來解鎖”。

近日發布的《人臉識別落地場景觀察報告（2019年）》顯示，許多場景的人臉識別設備沒有提供隱私政策或用戶協議，公眾無法在知情同意的前提下使用。例如在一些設置了人臉識別攝像頭的商場內，消費者甚至不知道自己會被拍攝。

一邊是道高一尺魔高一丈的解鎖技術，一邊卻是難以察覺的“丟臉”困境，如何保護用戶信息安全？鄧慧杰介紹，目前，有研究開始建構人臉更為健全的生物信息，例如用紅外、熱源檢測人臉的血脈信息，查看是否有真實的血液流動。

最近，鄧慧杰在一個學術會議上發表一種新技術，他在人臉上採集了66個點位的信息，將手機置於距離人臉20厘米的位置后，開始拉遠到40厘米，移動的過程中，拍攝下人臉從失真到逼真的畫面。“我們一般拍照時，很少會拍自己失真的畫面，因為畫面是失真扭曲的，但這可以作為身份驗証的信息，66個點位之間的影像距離，會隨著手機的拉遠，逐漸發生變化，這些失真的信息對每個人也是獨一無二的，目前難以被攻克。”鄧慧杰說，將這些人臉信息採集下來后，他們還會將信息輸入機器學習的模型，讓機器去計算、驗証。

同時，他建議，不能把生物識別作為唯一的認証辦法，“一定要有其他的輔助認証手段，例如口令短信、檢測身份的智能硬件、保密問題等”。