Home 物联·技术 图像识别 支付宝的刷脸登陆很可能被这几个应用分分钟破解
支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

0
3

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝刷脸登陆

今年年初,马云在德国汉诺威展上展出刷脸支付后,外界一直期待人脸识别技术在支付宝上应用。就在昨天,经过一段时间的灰度测试后的刷脸技术在支付宝公开应用,蚂蚁金服柒车间生物识别技术团队负责人陈继东表示,生物识别取代传统密码验证是一个行业趋势,将逐步在支付宝实名认证、重置密码、捆绑手机、风险支付校验等功能中应用,现在扩大到了登录这个主流场景。

刷脸登录的实现需要根据引导拍摄脸部,只需保证光线充足,完成两个指定动作,拍摄图像成功即可开通刷脸登录。指定动作包括眨眼、转头。

不同于指纹等个人生物特征信息,脸部生物特征数据具有很强的开放性,随着社交网络的发达,包含脸部信息的照片、视频广泛的存在于个人的社交网络中,或者不经意间通过监控、摄像等方式获取到,与指纹等接触式获取相比,安全性大大降低。纵然验证过程需要眨眼、转头等动作。

支付宝的刷脸登陆很可能被这几个应用分分钟破解

脸部特征数据究竟有多么容易伪造呢?

来自美国斯坦福大学的研究小组就在从事这样一项研究

斯坦福大学的变脸研究

这项在今年的SIGGRAPH大会上发表的研究,可以实现一个视频中演员的面部表情信息实时的渲染在另一个视频中的演员脸部,从而实现对目标演员的面部表情的随意控制。这也就意味着通过这种方式,如果获取到对方的脸部数据(照片或视频),你就可以假扮任何人!

这项技术最大的挑战是提取源头像的运动参数与目标头像进行对比,并将源头像的运动数据提取出来,流畅的合成在目标头像的视频流中,此外,还需要仔细考虑灯光和阴影的设计,以达到符合真实世界的环境。从下面的几张演示动画中即可看出合成后的头像动作逼真度已难辨真假。虽然这项尚处于demo中的研究成果还未正式商业化,但是从技术角度已经预示头像这一非接触式生物体征数据的安全性是多么的脆弱。

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

不过对于这项技术,对目标头像的获取需要通过RGB-D等深度摄像头,且有效识别距离一般不超过1m。所以在获取门槛上稍稍有些难度。但随着Project Tango等拥有3D Camera的移动设备普及,这项门槛将越来越低。

其实在2D摄像头普及的今天,这项“变脸”技术已经有了很好的应用。

Facerig

这款在Steam平台上架的Facerig通过一种游戏化的方式让“变脸”应用到了极致,玩家只需要对着摄像头就可以在游戏中映射出不同形象,游戏里的脸也会随着玩家的表情变化作出对应的鬼脸。

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

支付宝的刷脸登陆很可能被这几个应用分分钟破解

结论

在脸部识别技术如此发达的今天,支付宝的刷脸支付仅仅90%的正确度恐怕很难满足金融领域的认证需求,当然如果采用虹膜、指纹、手指静脉等接触式验证才更为妥当。正如支付宝官方所说,在安全性尚未完全保证的前提下只应用于登陆等非支付关键环节或者采用短信、密码等交叉验证方式。

plantpark 不会跑步的码农不是好编辑