【文/观察者网专栏作者：挠米成】

随着iPhoneX中FaceID（人脸识别解锁）功能的推出，人脸识别就开始火起来。如今，科技公司更是告诉我们“刷脸”将成为生活的日常：开设银行账户、办理酒店入住、小区门禁，手机解锁、移动支付、肯德基点餐，人脸识别将无所不在、无所不能。

先不要激动，畅想还没多久，24日发生的一幕似乎要浇上一盆冷水，在GeekPwn2017国际安全极客大赛上，90后女黑客“tyy”利用设备漏洞，仅用时两分半就骗过了人脸识别系统，打开了门禁。

90后女黑客“tyy”现场演示

当美好的未来和残酷的现实交织在一起，我们也不得不再次思考那个问题：当机器通过看脸就认出你是谁，真的安全吗？

人脸验证，真的更安全吗？

至少专家是不看好的。“目前所有互联网认证技术中，生物识别认证是最不安全的，”上海市信息安全行业协会会长谈剑峰在媒体上公开表示。“有人认为，生物特征在自己身上具有唯一性，因此，生物识别认证技术应该是安全的。但很多人没有想到，这种唯一性也意味着，生物认证信息一旦“丢失”就不可再生”， 谈剑峰说。

从技术层面看，不管是人脸、指纹、声音还是虹膜，这些人类的生物特征都不适合作为远程身份验证的安全密钥，因为它们太容易被仿造了。无论你拥有的是志玲姐姐的脸还是凤姐的脸，虽然在你自己看来这是独一无二的物理特征，不可能被仿造被复制，但是对于计算机而言，这些特征就是一串0和1组成的数字，或者说，是一串密码。而且，普通密码不安全了不喜欢了，还可以重新改；但是生物特征信息被盗用后，不可能从物理上修改人的特征来修正密码，因此无法再次使用。

而在众多生物识别技术中，人脸识别又是技术风险最大的。虹膜、指纹等生物识别技术都具有良好的稳定性，可以在很长时间内保持稳定，也不易受外部干扰影响。而人的脸部特征则不然，有的人喜欢化妆、有的人爱佩戴饰品，这些都会使得脸部特征发生改变，除此之外，整容、受伤、过敏、年龄增长等因素都会对脸部的识别产生影响，成为潜在的技术风险。

人的脸部特征容易复制也是问题之一。目前，复制指纹早已不是什么新鲜事。在某电商平台输入“指纹膜+打卡”就可以轻松找到若干卖家兜售可以在家DIY指纹套的材料，掌柜推荐的“豪华进口四人用”版本只要五十多元，可以供四个人制作用于欺骗指纹打卡机的指纹套。

而复制脸部特征同样很有可能，这一点007等间谍大片中已经给我们演示了无数遍。相对于密码、指纹等保密手段，人的脸部天天暴露在公众之中，获取起来更为容易。

除了电影，也有实操。去年8月，来自北卡罗来纳大学的一个研究团队从Facebook上收集到了一些人的照片，利用电脑合成和渲染后生成了平面化的3D模型显示在手机上。随后他们利用这个模型进行测试，发现有高达4/5的被测安全系统在55%到85%的被测时间内，都可以被轻松骗过。更重要的是，他们在Facebook上能收集到的照片非常有限，质量也没有保证，有些还只是45度角的侧脸。

虽然时过境迁，以iPhoneX的FaceID等为代表的识别技术已经宣布可以迈过“静态识别”这一步，能防止照片及其他一些简单复制手段的欺骗，但那些同样技术精良的犯罪团伙，如果在未来推出像间谍大片中那样逼真的人脸3D头套时，脸部识别能否继续保证安全？还要打个问号。

尼古拉斯·凯奇的电影《变脸》更是把脸都换了 你说能不能骗过人脸识别？

商用级的人脸识别可以被电脑合成的3D模型轻易骗过，个人信息数据库更是各种犯罪分子攻击的主要目标。由于“刷脸支付”主要通过手机拍照后进行数据传输。在传输过程中，也有可能受到黑客、病毒等攻击，人脸信息在系统后台服务器解析过程中，解析结果同样可以被篡改盗。在本文的开头，“tyy”就是利用设备漏洞，直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，打开门禁。

更要命的是，如果“刷脸支付”被各家企业广泛使用，那么各企业参差不齐的技术实力，使得人脸信息泄漏的风险直线上升。“我比较担心的是，假设我们的面部特征以及指纹、虹膜等生物特征信息被广泛应用，比如用于银行支付等，而在这之前我们的生物特征数据已被各个银行、手机厂商甚至不知名的APP厂商充分采集到，这个时候我认为才是风险最大的时候，”大成天下CTO黄鑫在9月份举办的2017第二届SSC安全峰会上说。

黄鑫认为，风险主要来自于人们对自己生物特征数据的不够重视，可能会让别有用心的人随便拖个库（从数据库中导出数据），就能把这些数据拿到手。“弱口令有问题还可以更改，指纹、虹膜这样的生物特征数据就不是这么简单了。在技术还不是非常成熟、运用前景还不是很准确的情况下，我和家人不会把自己的生物特征数据录给不放心的厂商。”

作为网络安全技术强国的以色列就发生过这种事情。2011年10月，以色列劳动与社会福利部就曾有900万人（以色列到2016年的人口只有855万，这些数据中包括已故公民的数据）的个人信息被一个软件承包商窃取。失窃的信息包括姓名、住址、出生日期、证件号和亲属关系等，并被放在一款名叫Agron2006的软件上，销售给需要不同信息的相关方。