银行人脸识别如何安全
手动输入繁琐密码和抬头面向摄像头刷下人脸,你更倾向于哪一项?
近日,持续刷屏的“银行人脸识别系统被攻破”的消息备受关注,让不少消费者都慌了神。
除了涉案金额之大、操作手法翻新外,更让消费者紧张的是,大家频繁使用的人脸识别,到底还安不安全?为何不是本人操作还能活检成功?人脸识别究竟还有哪些隐藏风险?后续又该如何防范?
谁的责任
根据消息,某大行一位储户陷入诈骗分子圈套,导致银行卡和密码等信息被获取、手机短信被拦截,此后又登录了对方的视频会议软件,在屏幕共享的方式下被对方“盗脸”,最终,该储户被诈骗分子转走了42.9万元。
这一事件存在多个争议。一是犯罪分子的IP地址为中国台湾,受害者本人并未离京,其中远在台湾的犯罪分子转账使用了短信+人脸识别的方式,且6次通过人脸识别,但银行却一次都没识别出来为假人脸,其中是何原因?银行是否有过失?
另外该案件也牵出了一家为银行提供人脸识别服务的科技公司北京眼神科技有限公司(以下简称“眼神科技”),该公司业务覆盖银行内部风控、授权管理、智慧网点、网络金融等,服务了包括6家国有银行在内的近150家银行机构,客户覆盖率高达80%。虽然类似风险事件为偶发性案例,但也让不少消费者担心,背后科技公司产品技术是否过关?与其合作的其他银行人脸识别系统是否安全?
针对此次事件与后续应对方案,北京商报记者向相关银行与眼神科技求证采访,后者表示不便回应。
不过,有银行工作人员向北京商报记者提醒,要避免类似风险事件,自身不要登录第三方风险网站,也不要随意点击不明链接,切记不能将密码外露给他人,保护好个人信息。
另外,一位与多家银行合作刷脸认证的科技公司人员告诉北京商报记者,从技术的角度来看,没有完全安全的系统,人脸识别系统被攻破,也说明了道高一尺魔高一丈。
在他看来,对于本次事件涉及的科技公司,最直接的责任就是提供的产品有一个简单而致命的问题,就是在产品交付的时候没有提前发现,而银行负责验收的部门也没有发现。另外也有储户自身问题,就是警觉性不高,防诈意识不强。
此事也反映了目前银行在技术安全存在方面的多个痛点。前述科技公司人员坦言,目前大多银行没有属于自己的核心技术公司,大多以外包服务的形式获得支持,但这一过程中,一旦出现技术问题,银行与第三方公司的责任如何厘清?另外,由于并不是银行自身进行人脸识别,第三方公司在设计这种人脸识别系统时,是否又会存在考虑不全等问题?多个问题仍待商榷。
北京市中闻律师事务所律师李亚同样指出,这个事件说明人脸识别技术应用在金融领域尚存在一定的风险。“从科技公司的角度来说,如果并非单纯的技术原因导致人脸识别系统出现问题,则不用承担责任;但银行作为使用该技术手段的一方,其安全体系设计有漏洞,对于造成的储户损失,我认为是不能免责的,不能将责任完全推给储户自身。”李亚称。
南开大学金融学院博士、金融科技专业人士李姿璇则认为,此事件中,生物识别技术公司会以签署战略合作协议的形式为银行提供技术支持,如果出现识别系统被攻破的问题,银行或应直接对储户负责,科技公司则依协议对银行负责。
风险在哪
虽然这些案例几乎都被定性为电信诈骗,但从大众反映来看,更关切的是背后的人脸识别风险。
如今,数字经济时代的到来使人们存取和支付的方式由线下转到了线上,相应地,不法分子盗取财产的方式也从偷窃抢劫转为了诈骗和程序破解。
前述与多家银行合作刷脸认证的科技公司人员告诉北京商报记者,人脸识别和线上交易大大提高了效率,但也肯定存在一定风险,这种效率的提高对银行和用户来说都有所受益。但对于隐藏风险,银行是否应提前告知客户?
对此,7月19日,北京商报记者亲测了多家银行的人脸识别操作,开启该功能一般都需要勾选人脸授权或在安全中心开启面容ID认证,为保证安全,在开启面容ID转账、支付等功能时,银行也会通过支付密码、手机验证码等多个方式辅助验证,验证通过后,后续用户在登录App、进行支付时,部分银行一般会优先采用人脸识别的方式。
另外,北京商报记者在银行人脸信息验证授权协议中也发现,鲜有机构披露背后的技术服务公司,不过协议中对相关风险有提到,“由于技术水平限制及可能存在的各种恶意手段,银行在使用人脸信息识别功能时,有可能因可控范围外的因素而出现问题,例如计算机黑客袭击、系统故障、电脑病毒、恶意程序攻击等而导致用户无法正常使用人脸信息验证服务或造成其他损失的,银行不承担责任”。
李姿璇告诉北京商报记者,人脸识别存在的风险主要可以分为权限风险和技术风险。权限风险是指商家或个人通过非法采集掌握了相关数据,要规避这一风险必须在法制层面进行加强,而技术风险则是指通过对抗技术攻破了识别系统。
对此她补充道,“任何技术的进步都伴随着其对抗破解技术的发展,我们不能因风险的存在就否定生物识别技术的便捷性。虽然技术风险很难避免,但科技公司或许可以利用对抗技术的延迟性,通过加快技术改进的速度来有效缓解”。
如何防范
此次风险事件,也暴露了金融机构和技术公司的人脸识别技术水平有待提升。
浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林介绍,当前各家生物识别技术公司都是以技术支持、技术外包的方式和银行展开合作,生物识别技术公司提供技术,银行提供平台接口。
这样的合作模式下,后续针对此类风险事件又该如何防范?
在盘和林看来,一方面,部分人脸识别企业的人脸识别技术还需要进一步完善,需要通过机器学习来增强人脸识别的识别率。另一方面,金融机构也要对特殊情况做出细致的安全考虑和预防,不能单独依赖人脸识别,还可以配合其他生物识别技术,例如声纹识别、指纹识别等。
李姿璇认为,银行有责任实时监控风险,保障储户资金安全;银行储户也要有风险防范意识,一方面保护自己的识别信息和密码不泄露,另一方面可以将存款放置在不同银行的不同账户,分散风险。
李亚则指出,建议技术服务方不断完善技术措施和水平。在相关技术水平未达到时,银行作为使用方,有责任采纳更成熟的技术,或提供更多的检验或确认身份的方案来确保交易的安全。对于用户,需要谨慎对待个人敏感信息,不在任何非官方和非正规渠道输入或保存个人敏感信息。
“人脸识别实际上可以归为支付介质中生物识别方式的一种,优点在于加速了科技的应用,提升了便利程度,也是支付介质未来的发展方向,但同时也会衍生个人隐私保护、应用安全以及数据安全等问题。”博通咨询金融业资深分析师王蓬博认为,在遵守现有法律法规基础上,后续对于人脸识别应用要更加慎重地考虑个人隐私保护,应用上也要尊重个人意愿,在支付验证时可增加验证维度和验证方式,在便利性和安全性上找到一个更好的平衡点。