作者:商西
专访
在2017国家网络安全周开幕式上,上海市信息安全行业协会会长、众人科技董事长谈剑峰获“网络安全优秀人才”称号。接受南方都市报专访时,谈剑峰给当下热门的人脸识别技术泼了一盆冷水,认为可能会给用户带来巨大的安全隐患。
南都:苹果手机最新推出了Face ID功能,人脸识别等生物认证技术也广泛应用在移动支付等领域,大家很关心,它的安全性怎样?
谈剑峰:苹果iPhone X,我给它安全评分是“大叉”!其实生物特征,指纹也好刷脸也好,都是唯一特征,我们老百姓为什么觉得生物识别技术安全?就是觉得脸长在自己身上,是唯一的,但这反而是最不安全的。我们脑子里的密码丢失后,可以再设置一个新的,但有大量生物特征信息的服务器一旦受到攻击,数据库被拿走,对不起,你不可能再有第二张脸。很多厂商和媒体都避开这个点,说我的识别率多高,所以用户可以放心———放心什么呀,你识别率越高我的安全问题越大。
我认为生物认证是互联网身份认证应用中最不安全的一种技术。现在银行把生物特征作为辅助认证,相对好一点,因为金融机构的风险防范和安全等级相对高,但在互联网进行广泛应用是不是合适,这个老百姓自有判断。
南都:有些公司说数据储存在本地,不会上传到服务器,这样能保证安全吗?
谈剑峰:现在很多标准组织或厂商说手机终端只做认证,识别后从手机往服务器端传输时,是用传统的加密方式传输的,不传输生物特征。问题是哪个厂商、哪个A?pp会把这么好的大数据放在本地?我个人认为,不可能。为什么我们今天没有个人隐私,因为大数据时代下,每一个A?pp都在搜集我们的数据。你作为厂商会不采集吗?我这个问号就打给你。
南都:在你看来,生物识别技术有其发展的必要吗?
谈剑峰:生物识别技术和生物识别认证应用是两回事,技术当然越准确越好,应用在公安的抓捕、公共场所信息的抓取,这些工作需要识别率高。但是我们不能一味追求便捷、方便,因为同时也带来很大的安全隐患。
南都:那手机用户怎么设置密码最安全?
谈剑峰:在手机上,回归最传统的六位数、八位数的Pin码(个人识别码),这反而是相对安全的。生物特征可以替代Pin码,但有时候由于手指出汗等缘故导致手机无法识别,还是需要使用Pin码,那干什么要把生物特征上传,给自己埋下不安全的隐患呢?