技术漏洞、数据安全、业务安全 刷脸支付推广还要填多少坑?
陈拾九移动支付网2019/11/6 9:37:05

刷脸支付成为了今年支付行业的香饽饽,支付宝和微信支付接连推出自己的刷脸机具,银联也推出了自己的“刷脸付”,三者眼瞅着又要开始一场刷脸支付大战,产业链上下游企业摇旗呐喊,各路推广、服务商准备撸起袖子大干一场。

大家都在期待刷脸支付可以达到当年二维码支付的火热程度,但是市场的反应无疑是让人失望的。在人民网的采访中,大部分消费者表示:“直接刷脸钱就被付出去了,脸就是行走的密码,担心不安全”、“不喜欢这种支付方式,担心信息泄露”。约40名选择自助结账的消费者仅2人使用了刷脸支付。

无疑,消费者对于安全的担忧成为了阻拦刷脸支付推广的最大难题,各大主流媒体都指出了刷脸支付的安全性存在问题,并绝大部分问题都集中在“人脸信息泄露难以防范”这一点上,这样的报道本身并没有错误,但是很容易让人误解“刷脸支付”业务只有数据安全难以保证这一个问题。

事实上,刷脸支付应用目前还存在很多问题。

数据安全是刷脸应用共有的问题

人脸识别技术存在众多落地应用,刷脸支付只是其中之一。刷脸开门、刷脸打卡、刷脸取纸等应用在全国各地四处开花,无一不掀起热潮和追捧。在这些应用中,人脸识别技术作为核心完成了身份认证环节。

无疑,想要完成身份认证必须采集人脸生物特征信息,通常相关应用运营商会选择建立数据库保存采集到的人脸特征信息。因此这些应用都要面对同一个问题:数据库中的人脸特征信息安全吗?

今年2月深网视界的数据库漏洞事件震惊了整个互联网,超过250万条数据可以被提取,包括人脸信息、身份证信息等等敏感数据。这一事件让所有人都认识到,人脸特征信息数据库和其他数据库一样有漏洞,有可能被有心人利用。

更为重要的是,刷脸应用的数据安全问题存在一定的关联性。假使一个人可以使用同样的钥匙打开两个不一样的柜子,如果一个柜子的锁被破解,那么另一个柜子会是安全的吗?刷脸取纸、刷脸开门应用发生数据泄露,泄露出来的数据不会对刷脸支付安全造成影响吗?

每个人只有一张脸,因此人脸特征信息具有唯一性,可以解决目前密码易失窃、易复制、易滥用的问题。但是正是由于生物特征的唯一性,所以其一旦泄露后果十分严重,密码丢了可以再换,脸如何再换呢?

今年9月上旬,有媒体报道,在网络商城中有商家公开售卖“人脸数据”,数量达17万条。在商家发布的商品信息中可以看到,这些“人脸数据”涵盖2000人的肖像,每个人约有50到100张照片。此外,每张照片搭配有一份数据文件,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子、嘴、眉毛等的轮廓信息。网络商城运营方在认定涉事商家违规后,将涉事商品下架处理。

这些“人脸数据”来自于哪里、是谁采集、如何采集至今一无所知。

人脸识别技术本身并不完美

通过人脸识别技术完成用户身份认证,并对用户绑定的账户进行扣款,这是目前支付宝和微信支付刷脸支付业务的核心流程。很明显,人脸识别技术在整个流程中位于核心地位,如果人脸识别技术出现问题,业务必然会出现问题。

那么破解人脸识别技术困难吗?答案是:没有那么困难。几天前,一群小学生破解了丰巢刷脸取件的事情在网上引起了普遍关注。简简单单一张照片就骗过了丰巢的人脸识别,打开了快递柜。不明所以的人都在问:“人脸识别技术靠谱吗?”

丰巢采用的人脸识别不靠谱。丰巢采用的是2D人脸识别,对于图片和3D模型的攻击抵抗性非常差。不过先进2D+人脸识别技术和更加先进的3D人脸识别技术可以很好的解决类似问题。那么更加先进3D人脸识别技术就没问题吗?

在一般消费者心目中,苹果公司的3D结构光人脸识别技术无疑是目前多种人脸识别中最安全的。但事实上,苹果的3D结构光人脸识别在推出后相继爆出双胞胎误识别、同事误识别、闺蜜误识别、情侣误识别等等安全事件。虽然以上都属于小几率出现的偶然事件,但是必须认识到:人脸识别技术是一项存在误差的技术,无法做到100%准确。

在今年的黑帽大会上,苹果的3D结构光人脸识别更是被爆出谁都可以利用的大Bug。腾讯的研究人员发现了绕过的方法,道具仅仅是一副眼镜和黑白两色胶带。给受害人带上这副眼镜,就可以绕过活体检测功能,打开受害人的手机。

不仅仅是苹果,谷歌刚刚发布的全新旗舰新机Pixel 4被爆出类似漏洞,用户即使闭着眼睛也可以使用人脸识别来解锁Pixel 4。也就是说,攻击者无需得到手机主人的许可即可轻松地解锁设备。

当然,苹果和谷歌的技术漏洞并不能直接对刷脸支付业务造成任何不利影响。但是足以说明,人脸识别技术的成熟度还不够高,这项技术的本身还存在瑕疵,需要继续改进。

刷脸支付的问题不全在人脸识别技术

上文说过,人脸识别技术是存在问题的。不过这些问题不足以威胁刷脸支付的业务安全,因为目前的刷脸支付机具都采用了不落后于苹果的3D人脸识别技术,并且处于公共开放的场景中,很难出现可以利用漏洞的机会。

真正的安全威胁大多数来自于刷脸支付业务的其他环节当中,比如信息交换、账户扣款等等,其中账户扣款环节的问题较为直接,争议也比较大。前文提到过支付宝和微信支付目前的刷脸支付的基本流程,在用户完成身份认证过后,就会在绑定账户中完成扣款。

也就是说,在目前的刷脸支付业务流程中,人脸信息既是账户又是密码,如果发生了误操作,极容易发生扣款扣错账户的错误。如果有心人加以利用,不难想象会出现盗刷事件。

这也就是我们常说的“刷脸支付不能体现支付意愿”的安全问题。面对这个问题,支付宝和微信支付改进了刷脸支付业务流程,在进行人脸识别过后出现了“确认支付”的选项按钮,以此来体现消费者支付意愿。

这是一个非常好的办法,既满足了体现支付意愿的需求,又没有对刷脸支付的使用体验产生特别大的影响。不过,央行科技司司长李伟曾表示:相关部门经过前期深入调查研究,结合行业实践探索情况,目前来看,“人脸识别+支付口令”是兼顾安全与便捷的实现方式。

近日,银联推出了自己的“刷脸付”产品,采用了“人脸识别+支付口令”的模式,在完成人脸识别过后需要输入支付口令完成支付,彻底满足了多因素验证要求,极大的加强了刷脸支付的安全性。但是对刷脸支付体验的影响有多大,目前还犹未可知。

很明显,支付宝和微信支付的改进和银联采用的模式存在比较大的差异。但无论是支付宝、微信支付的改进还是银联的“刷脸付”都说明了刷脸支付业务在相关方面存在安全问题。

此外刷脸支付还需要警惕移机盗刷、信息篡改等等安全问题。

未来是充满希望的

人脸识别技术存在漏洞、刷脸应用存在数据安全问题、刷脸支付存在业务安全问题,这些问题并不能阻挡人脸识别技术在支付领域的应用。从体验上来说,人脸识别技术是目前对用户最友好的技术,可以惠及二维码支付、网络支付无法顾及到的弱势群体。

从安全性上来说,人脸识别技术在支付领域的应用可以确定用户本人身份,结合多因素验证可以大幅提高支付安全性。这是一项优势无比明显的技术,只不过目前它的劣势一样明显。

刷脸支付的未来充满希望,不过需要看清眼下的情况,才可以更好的前进。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消