人脸识别已经问题严重所有人财产都面临威胁

　　早在4年前，本人就写了生物特征之别的巨大问题，文章发表于网络、网络安全会议和我的著作《网络霸权》里面，当时是各大公司大力推广，里面还有巨大的商业利益，对其风险视而不见，但现在这个问题真的出现了。所有人的财物安全都受到了威胁!

　　

　　人脸识别被仿真，出现了巨大的风险，犯罪分子可以利用人脸识别，转移你的财富了!已有报道：《人脸识别被破解，登录微信就能转账，诈骗团伙将照片做成能眨眼的小动图》

　　这样的手段，获得你的人像进行加工，远远比取得你的密码要容易很多!生物特征识别的安全性，比密码差很多的事实，应当让公众知道!而且生物特征信息是无法挂失重置的，与密码完全不同，生物特征信息这个使用了以后，最终救济手段没有了，问题会比密码泄露更严重!

　　现在各处还在使用生物特征识别替代密码，生物特征识别泛化，造成巨大的风险隐患，尤其是我们政府部门也在大量使用生物特征识别，大量隐私信息上网，以后失控是更可怕的。

　　

生物识别技术用于网络的问题

 

　　现在各种生物识别技术被炒的很热，但生物识别技术的真的那么美吗?很多人是喜欢指纹识别、虹膜识别、面孔识别等等，认为这样的识别非常准确、安全，但事实上却是与你的美好感觉背道而驰的，我当年作为系统工程师，参与过某股份制银行的指纹识别项目的，对此的问题，是有直接的了解的，真的要是生物识别技术泛滥了，你的感觉可能完全是不一样的。

　　生物识别技术首先的问题就是存在一个系统性悖论，这与数字密码是不同的，数字密码是可以100%吻合的，而生物识别则不能100%的吻合，因为随着你的生长老化会有变化，各种采集设备也有误差，比如你的指纹就可能采集不完整等等，这些误差和正常生理变化的差异必须在系统内排除的，因此系统里面不是数字密码的100%，就是要有一个误识率和拒识率，误识率就是把不是的认为是，也就是把相像的人误认了，拒识率就是把是的认为不是，把该认的人因为机器误差和生理变化当作不认识了。但我们要知道的就是误识率和拒识率这两个参数是相悖的，是很难同步提高的，在误识率极小化的时候，可能就会拒识率极大，也就是为了不认错人，则熟人少量改变就可能被不认了;反之亦然，怕错过熟人可能把生人误认。这个系统性的悖论总体是一个小概率，我们如果是一个人而言可能很小，但系统大了就成了大数定律了，肯定是不成的;我们用指纹来确定犯罪没有问题，因为百万分之一的重复可能在刑侦上几乎可以忽略，但我们用于银行账户则问题很大，因为中国10亿多人，百万分之一的概率意味着每一个都要有1000个重复的，这怎么玩?其实即使是在刑侦上，也出现过因为特征值不够多而鉴定出错的情况。这就是当年银行搞指纹系统出现的问题，你的手机是一对一针对你的，网络的密码可是一对多，罪犯拿他找到的人的指纹网络计算机上搜索枚举，很多人就要被攻破了。这与数字密码完全不同的，百万分之一的数字密码只不过6位，为何现在网络密码都让你强度好一点多设几位?你设9位密码就是10亿分之一了，如果密码还可以字母和数字的话，6位密码就是10亿分之一以上了。

　　生物识别技术还有一个巨大的问题就是仿真。各种生物识别技术都说仿真不了，你手指被砍下来与长在你手上不一样等等……，但生命体本身难以仿真重构，但、生物特征信息是可以仿真重构的，尤其是变成网络体系里面的电子信息信号就更容易了，我们这里且不说制作指模、脸模的技术进步很快，已经与人体健康状态自然差别可比，更关键的是这个仿真不单单是仿真你生物体，其实很多时候是仿真你的电子信号!识别了你身体特征的电子信号是可以网络仿真的，因为这些生物识别信息需要在网络上传播的，只要你传播，就可被截取和仿真，生物特征的规律是自然规律大家都知道的。一些人就是可以以各种手段采集到你的生物特征数据，你的生物特征是公开的，采集器所形成的电子信号规则也是公开的这个电子信号很容易得到。而且黑客可以潜伏木马在你的电脑里面，截获你的生物识别信号存储起来，以后网络上仿真冒用你的身份，只要再度出具这些身份识别信号就可以了，不用你的生物体存在的。而数字密码则不会，数字密码不在系统内传输的，每一次的验证，是双方共同对一个相同的随机数进行运算，比对运算的结果的，每一次传输的验证数据都不一样，你没有密码对这个数据根本无法解读，下次也无法仿真，截获这个结果毫无意义。

　　生物识别技术更大的一个问题在于不可撤销!如果是数字密码，我们发现有已经泄密的风险，我们更换一个就是了，对安全要求高的保密体系，密码就是定期更换的，但你的生物特征能够更换吗?一旦你的这些特征泄密，你根本更换不了的!就算整容，一些根本性要素性的生物特征也改不了了!而如果大规模应用，网站的服务器被黑客非法进入的时有发生，到时候你的生物特征数据信息泄密，对泄了密的信息，你还无法更改更换，你必须与黑客共享，而且你今后的各种应用一直要与黑客共享，你情何以堪?更进一步的是一把这个信息给了某个网站某个应用，人家大数据一把可以进入你其他所有的应用，进入和了解你其他网站的账户，这多么可怕?再进一步的是如果我们都成为了透明人，个人的密码再被别人掌握仿真等不能撤销，这可怕的程度还要爆炸的。

　　综上所述，生物特征识别技术用于网络有巨大的不安全性不确定性，必须足够的慎重。各种生物特征识别，只能用于国家安全保障的特别场合的特殊应用之上，或者是自己手机指纹识别、单位考勤打卡这样的私有专用设备的简单应用之上，在网络上大规模的使用，被人网络上大规模的收集国民相关数据，都是有巨大问题的，而掌握这些技术的公司，受其利益屁股的影响，对此大家一定要认清楚，这背后没有大家想的那样美丽。

　　

可穿戴之冷暖

 

　　可穿戴设备在这几年的投资领域是非常火爆，但最近这些设备的投资热度大幅度下降了。背后就是可穿戴设备的潜规则被打破了。

　　Jawbone成立16年多，它号称为智能手环鼻祖级公司，曾经是可穿戴之王。2015年初，凭借8亿多美元的总融资额估值30亿美元，大概是200亿人民币。1年后的今天，刚刚融完1.65亿美元Jawbone，总融资额已超过10亿美元，估值却缩水到15亿美元，相当于2011年时的水平。融资、缩水的同时，还有4%的裁员，和加入Jawbone只有8个月的公司董事长Sameer Samat的离职。更惨的消息是，据美国财富网站引述消息人士称， Jawbone计划对外转让无线音箱业务，并且可能会退出运动手环领域。Up系列手环已经全面停产，现有库存全部出售给了第三方经销商。一个估值高达200亿人民币公司，为何在一年时间就上演大溃败?这里公司内部的经营问题很多，但与外部环境的变化关系也是很大的。

　　一个小设备是支持不了这样大的估值的，可穿戴设备的火爆背后，潜规则是这个设备带有的生物特征识别和各种个人信息的定位、收集等等，现在西方对这样的行为可能涉及隐私是越来越警惕的，潜规则能够走多久多远，变得非常不确定了。这个担忧，对投资界而言，是非常敏锐的捕捉到了，在全球只有中国对此认识是不足的，西方的各种势力，都在中国认识清楚前大肆收集中国人的信息，对此我们的安全意识必须提高。

　　

人脸语音透明之可怕

 

　　人的生物特征与人的身份结合了以后，尤其是这些特征再完全透明，对我们将是万劫不复的可怕，你是不能改变你的生物学特征的，尤其是对你无法掩盖的生物学特征更是如此，比如人脸就是，毕竟我们不是戴面纱的族群，即使是戴面纱也可以记录虹膜，眼睛总要露出来。

　　建人脸库的脸从哪来?我们的面部信息会被算法公司刷去做商用吗?这样的担忧在人脸识别技术最发达的美国最先引发。今年6月，美国消费者权益组织退出了长达一年的面部识别技术监管研讨会，原因就在于就“你的脸被刷走要不要你同意?”这一点上与技术方争执不休。而这个人脸库一旦建立起来，对我们是可怕的，美国可是网络匿名的国家，我们如果透明了再结合上这个人脸，会怎样?

　　据美国《大西洋月刊》报道，在实际操作中，对于在面部识别之前是否需要征求对方的同意，科技公司目前分成了两派。Facebook表示，如果用户不愿被纳入该公司的面部信息数据库，那么需要主动提出。这意味着，这些信息默认将会被纳入数据库。另一方面，微软则表示，在进行面部识别之前，会征求用户的同意。某人脸识别专家向记者分析称，三维库的来源一方面也是从机构买，另一方面，也不排除像人们猜测的那样，从诸如高校之类的客户那里获得授权使用的可能。上述业内人士认为，随着人们对隐私意识的提升，无论如何，人脸识别授权这个看似“很超前”的讨论环节，都将成为人脸识别算法商们无法回避的话题。科技公司在这里本身已经是人脸识别的技术拥有者，是得利的利益集团尚且如此，那真实情况将更加堪忧。而在中国，网络是实名制的，网站是知道你的实名信息的，这比美国将更加可怕。

　　我们现在对隐私还有一定的选择权，比如你的位置信息，你可以选择是否外面的软件可以获取，是那个软件获取，一旦你的人脸信息与你的身份结合起来，那么各种的摄像头就不为你所控制了，到处是可以摄像然后识别的。别说公共摄像是国家安置的，其实你会走入很多私人空间的，比如各种店铺就有防盗的摄像头，所摄像的图像可以上网的，有人要是收集，给他点钱就可以了。你的行踪你根本不知道会被谁知道。

　　很多高档场所的门童和接待有潜规则的灰色收入，就是盯着有人来了，有名人来与谁作伴来着，把这些信息可以卖给狗仔队、黑社会等，现在网络透明以后，不需要他们的眼线也不仅仅只盯住名人了，所有人都可能被盯住和记录，变成被诈骗和隐私外泄、商业渔利的目标，这是多么可怕的事情?!

　　我们可以再进一步的想一下，我们的视频音频仿真技术飞速进步，可能不远的将来，我们就能够实现真人的视频音频仿真，也就是说可以完全仿真出一个视频音频的你，让你的亲人听不出来看不出来，这个时候是多么的可怕?诈骗者仿真出来一个你家人的求救视频，说你家人被绑架在他手上，同时定位了你的位置，让你不挂断电话立即付款否则家人挨刀，你能怎么办?还可以仿真出你干坏事的录像来污蔑你，可以仿真出你的亲戚的不雅视频敲诈你，可以仿真出你的商业伙伴来欺骗你。以后你接到亲朋好友的电话，你都不能够确定那人个就是你的朋友还是骗子等仿真出来的视频音频电子虚拟的，就如现在你已经不经过专业的技术分辨，不能看出来是不是PS的图片了，这将多么可怕!这些仿真的内容与他们的身份信息对应，整个社会失去了通信公信力，社会会怎样?

　　而更可怕的是以后做人工指纹的指模，还有人脸的面膜等技术也越来越成熟，成功的指模已经可以打开你的手机指纹密码了，在2016中国网络安全(上海)论坛上，公安部的有关部门做了现场的演示。这样的结果就是你依靠指纹保护的系统全面崩溃，更进一步的是如果很方便可以通过黑客、黑市搞到我们公民的指纹等信息，可以指模制作黑市化，就如我们现在手机卡很容易被复制一样，这结果的可怕是未来我们所有的刑侦系统将要瘫痪，我们采集的指纹证据要全面的不可信了，因为犯罪分子完全可以采集相关人的指模来作案，伪造出他人指纹来栽赃，而且在人脸数字信息外泄后，模拟出来的面膜假面，在你的摄像头面前，也会让你整个系统的监控失效。这是透明之下，假面和指模具体的对应于某个人，对应于罪犯需要对应的人，这才是问题的可怕，任何人都有可能被陷害，任何人的安全感全无!现代刑侦的各种生物识别都要限于困境。如果刑侦系统瘫痪，国家的社会秩序就要大乱，国家政权就要有巨大危机。

　　所以我们的人脸识别技术与身份识别的结合，是不能滥用的，是不能随便给各种商业网站的，这个透明下来的危害，是无法弥补的。潘多拉魔盒一旦打开，后果将无法控制。

　　

案例：赵薇老公被人脸仿真卖掉豪宅

 

　　赵薇老公遭司机假冒卖掉豪宅

　　2015-10-20 12:21 新浪娱乐

　　新浪娱乐讯 据中国法治报道，赵薇老公黄有龙被告上法庭，原因是有人买了他的房子，却迟迟无法入住，因而提告，要求黄有龙腾退房屋。

　　看上去是黄有龙无理，可这房子却不是黄有龙卖掉的，而是他的司机卖掉的。

　　司机为何能卖掉黄有龙的房产呢?究其原因，竟然是该司机冒充黄有龙到公证处，通过人脸识别技术办理了委托公证证明，委托另一人将房屋卖给了武某。

　　事情败露，该房屋自然无法腾退交付，黄有龙也就被武某告上了法庭，要求交付房屋。

　　到底什么是公证处的人脸识别技术?中国法治客户端记者也是帮大家查了查，目前已有部分公证处引进了人脸识别技术，人脸识别系统采用最新人脸识别方法，结合最新第二代身份证阅读器应用技术，通过摄像头捕获到的人像或是指定的人像与数据库中已登记的某一对象作比对核实，确定其是否为同一人。

　　而有某品牌人脸识别系统的广告称，识别率高于98.3%。

　　看上去，要骗过人脸识别系统不是容易的事，但这位司机为何能冒充黄有龙通过人脸识别呢?难道他俩长得一模一样?还是其中另有乾坤。

　　该案将于10月22日在北京市朝阳区人民法院开庭。(来源：中国法治作者 菩提)

　　

背景阅读：人脸识别已经被攻破

 

　　在我们不知不觉间，人脸识别等生物识别和图像识别技术的规模化商业应用已初见端倪，行业巨头纷纷入驻人脸识别领域。

　　由于金融与数据有着天然联系，人脸识别大规模应用也将产生大量“人脸数据”。目前腾讯微众银行可以人脸开户，马云支付宝也开刷脸支付，人脸识别和金融系统的技术联姻对金融生态影响深远，例如金融远程自助身份认证系统，通过智能终端办理相关业务进行预设的人脸数据身份鉴权验证，可替代线下网点或后台人工验证身份，极大地提升远程业务办理的安全性、时效性，使银行服务更加精细化、专业化，且也简化人工认证的程序，不但降低人眼识别失误率，同时也可以大幅度节约人力成本，让审核运作管理更加有效和便捷。

　　但是美国斯坦福大学的研究团队近期研发出一款人脸跟踪软件Face2Face，它可以通过摄像头捕捉用户的动作和面部表情，然后使用Face2Face软件驱动视频中的目标人物做出一模一样的动作和表情，效果极其逼真。

　　到底谁真谁假?难以辨认!这款软件的根本原理是使用一种密集光度一致性方法(dense photometric consistency measure)来实时跟踪源和目标视频中的面部表情。研究人员们称，由于源素材与被拍摄者之间快速而有效的变形传递，从而使复制面部表情成为可能。由于嘴形与其所说的内容高度匹配，因此可以产生非常准确、可信的契合。

　　此前有公司为防止网上身份冒用，采用人脸识别的方式进行网上身份识别，但是随着科技发展，仿真头套、全息投影、人脸跟踪等高科技攻击手段不断出现，未来随着高科技的普及，人脸识别的攻击成本将不断降低，在线上不可控的环境中，不法分子将很容易伪造人脸视频通过身份认证。并且由于生物特征的不可撤销性，一旦生物特征信息泄露，基于生物特征的身份识别系统将彻底崩溃，因此大规模的网上身份识别绝不能依靠人脸识别!

　　

　　看看上图人脸的高效仿真。

　　相关内容链接：http://mp.weixin.qq.com/s?__biz=MjM5ODMxNzY0MA==&mid=2650918977&idx=2&sn=ee5cbc5a6fbe47c40e48b7c5b1b47e77&scene=1&srcid=0613tTMqAjNawUf4WgnYnSNI#wechat_redirect

　　

生物识别是最后救济手段

 

　　生物识别现在网络泛滥，问题极大，刚刚又有《公安部试点身份证“刷脸”住酒店不需要证件》http://news.sina.com.cn/c/2016-09-23/doc-ifxwevww1434170.shtml(自新浪新闻)——身份信息加入生物特征识别问题很大，因为生物特征是不可撤销的，而且很容易仿真，这个要是假冒起来更可怕，而且网络变得更透明，美国可是匿名制，这个信息不对称未来会让中国付出巨大代价的。

　　本人在2000年以前就参与了华夏银行的指纹卡项目，对生物特征作为识别手段的问题有深刻认识，在这里很多人是似是而非的，比如有人说可能整容什么的，但其实人脸的模糊识别，外科整形还真的不容易逃避，反而是你整容后可以通过这个技术验证是否是真的整容还是换人了。整容只不过是对某个某几个特征值的改变，其他的不改。你变老都是可以识别的，特征值是很厉害的。真正的问题是信息泄露以后，可以针对性的做出来塑胶脸模套脸上的，抢劫犯也可以带上，恐怖分子更容易了，这才可怕。

　　人脸识别信息是绝对不能上网和泛滥的，首先的关键因为这个信息不可撤销。即使是我们的网络强大现在足够安全，但新技术日新月异发展极快，谁能够说几十年后不会被破解?一但被破解或者泄密，不是数字密码和号码那样可以重新置换的，不是数字密码那样可以升级位数变得复杂而对抗的。

　　而问题更关键的是这个是我们最后的救济手段!这才是核心!很多人说我们可以多种验证嘛!可以密码和生物特征同时使用嘛!这样多重验证，我们不就是安全了吗?而问题恰恰不是那样简单，生物特征是我们最后的一道防线，是我们最后的救济，一定要掌握在我们特别部门的手里，这才是问题的关键。

　　为何说最后一道救济，那就是你真的密码丢失，身份证丢失，别人盗用你的，给你造成巨大损失，或者别人假冒你的身份犯罪，你怎样办?现在不就是到公安部门处理吗!公安部门有你的身份信息和生物识别信息，是人工比对的。如果这些信息外流，或者放到网络之上，各种网络处理都使用了正确的你的信息，而且现在的技术还可以仿真出你进行操作的视频，那么你怎么办?这个仿真视频的技术已经开发成熟了，比如：美国斯坦福大学的研究团队近期研发出一款人脸跟踪软件Face2Face，它可以通过摄像头捕捉用户的动作和面部表情，然后使用Face2Face软件驱动视频中的目标人物做出一模一样的动作和表情，效果极其逼真。这个如何处理?

　　现在的网络霸权，网络资本极为发达，都希望政府的各种权力到网络上，我们的这些生物特征信息一但到了网络上，被网络资本所掌握，背后就是他们拥有l和政权一样社会公共管理能力，在你网络上出现问题的时候，我们政府是没有最后救济手段的，有些事情看得很美，但也就是只能看不能做的。为何美国总是网络匿名，禁止网站收集公民的线下社会福利号码、驾照号码等，为何实名制的欧盟数字化国家管理典范爱沙尼亚，采取的就是虚拟身份制而不是把公民生物特征信息上网和作为数字化社会的识别标志，这里面的问题其实早有结论，但就是有人装糊涂罢了。

　　为了我们的隐私安全，这些生物特征信息不上网的斗争是很残酷的!我们是手机上是不是你使用你的指纹作为开机的密码?你知道与否这个密码他们后台给谁共享和存储了吗?我们的手机是实名制的，背后不就是我们全社会的公民指纹被网站掌握控制了吗?好在我只用国产手机，没有使用与美国情报机构共享信息的苹果，但中国有多少人的指纹在这个苹果掌握呢?这些事真的是细思恐极啊!

　　因此我们需要提高认识，提高网络安全的理解，生物信息是我们公民的隐私和国家公共安全最后的救济手段，这个权柄我们的有关部门绝对不能放弃，要不断立法加强才是。

　　最后在这里转载引用自陈彪先生（上海防灾安全策略研究中心常务副理事长（理事长是原公安大学校长公安部老领导柳晓川将军）、上海市信息安全管理协会副会长、中国网络空间安全（上海）论坛组委会执行主任。）的评论：

　　【商业手段替代国家顶层设计，必须谨慎】身份证管理上的混乱，已经是公开的事实。身份证治理，从何下手？是在上位入手还是下位入手，这是一个国家事权上的智慧问题，绝对不是技术问题，更不是一家研究所事业部可以擅自主张的。根据国家身份证法律规定，身份证是现实社会唯一的法定身份文件。这具有排他性也即安全性。公安部采取身份证后台比对的技术，就是保障安全也保证便利。任何便利的商业手段，都不能允许以冲击摇撼国家身份证管理制度。这次公安部第一研究所事业部，以使用市场上最新尝试而且也很不成熟应用的刷脸技术，改变身份证管理的基石，这既没有法律依据，也没有实验数据。公开宣布这一消息，直接摇撼国家身份证法律法规的严肃性，事涉国家安全大局。这是公安部第一研究所下属事业部的实验技术，不是公安部的决定，更没有通过全国人大的法定程序。混乱再用混乱治，屋漏更遭连夜雨。说到底，还是利益驱使！媒体炒作吸睛，公安自毁长城，很笑话！我作为中国网络空间安全（上海）论坛组委会执行主任的身份，发出上述呼吁的，希望国家重视顶层设计，要有智慧，不要为产业利益驱使！