央視315直播攻擊人臉識別 金山毒霸建議慎用

人臉識別，是網路身份認證的新工具，但這些工具安全嗎？金山毒霸安全研究人員建議謹慎對待。曾有網路安全專家指出，一旦人臉識別大規模應用，那些喜歡在社交媒體上曬自拍的人就有大麻煩了。

果然，央視315晚會向人們展示了針對人臉識別的攻擊演示。直播中，可以輕易使用3D建模工具為一張人臉照片加上眨眼、動嘴、轉頭等動作。用這些動作來欺騙那些不夠成熟的人臉識別認證系統，竟然還騙過去了。

人臉識別認證系統目前已有較廣泛的應用，比如某些購物APP、支付工具已支持人臉識別認證。眾多網站的實名制身份認證系統，會要求用戶提供自拍正面人像照片、或手持身份證的照片，還會提示要求眨眨眼、動動嘴，或者根據屏幕提示念出幾個詞語。而這些動態的輔助人像識別，也可以使用軟體來模擬正常操作。

315晚會的實驗向人們揭示了這種危險：攻擊者可以通過網路獲得他人的照片或其他個人信息，利用3D建模軟體或其他圖像編輯工具，刻意偽裝來欺騙在線身份認證系統，達到冒用他人身份的目的。

而公民手持身份證的照片流失到黑色產業鏈的有多少呢？可以說非常多，百度隨便一搜就能發現一大把已泄露的此類照片。

難題如何解決？

金山毒霸安全專家建議如下：

首先，網民應儘可能防止自己的證件照、手持身份證的照片，以及重要證件的照片不留失。當你使用完這些照片后，應從手機端刪除。如果是列印輸出的文件，請在圖片上加備註「僅用於XXX網站服務，最長有效期至X年X月X日」

其次，建議將人臉識別僅作輔助認證措施，現階段，仍然建議使用用戶名、密碼+手機驗證碼或動態密碼，也就是雙重驗證措施。比如微博微信都支持手機APP掃碼登錄，掃碼登錄，就是一種雙重驗證措施。手機銀行app的登錄，還會要求輸入動態口令。

對於採用人像識別認證的網路服務相關單位或企業，建議升級人像識別認證系統，避免被簡單手段欺騙。