回应
隐私信息的采集与使用依然是敏感领域,但专家认为
“消费者暂时不用过于担心”
对于如何保护用户的隐私及相关信息,支付机构的做法各有特点。
●支付宝方面向记者表示,在技术上,支付宝遵循“最小够用”原则将采集的人脸信息进行加密存储,并为每一人脸信息单独创建密钥进行安全管理,提高安全强度。目前,支付宝在蜻蜓等刷脸支付设备上配备了最新3D结构光摄像头,也会通过软硬件结合的方法进行检测,来判断采集到的人脸是否照片、视频或者软件模拟生成的,能有效避免各种人脸伪造带来的身份冒用情况。
●腾讯方面则表示将严格遵守金融监管要求,在信息采集上坚持“用户授权、最小够用”原则,在人脸特征采集时提前告知信息使用的目的和方式,明确获得用户授权同意,避免采集与需求无关的特征,做到“专采专用”。支付交易上采用专用支付口令等进行交易验证,不将人脸特征作为唯一的交易验证因子。
●银联广东方面也同时向记者表示,目前,银联在人脸特征采集明确获得客户授权,严控数据使用范围,采用支付标记化、多方安全计算、分散存储等技术,严防信息泄漏、篡改与滥用。在资金安全方面,充分尊重客户的主观意愿,通过专用支付口令进行主动确权,建立安全保障机制,保障客户的知情权、财产安全权等合法权益。
盘和林表示:“消费者暂时不用对刷脸支付的安全问题过于担心。”目前来说,各家支持人脸支付的公司在对于用户的人脸采集上不仅需要得到用户百分百的同意,还使用了人脸信息与个人身份信息分开储存并进一步提高访问权限的做法,以此来确保用户信息的绝对安全;另外,在进行刷脸支付时,目前采用的均是活体检测功能,比如在人脸检测之时凭借眨眼、转头等行为确认使用人脸支付的是用户本人,杜绝了不法分子使用假体冒充用户并以此牟利的机会。加上近年来监管机构对于金融科技的愈发重视,对于刷脸支付等新型支付方式的监管也会越来越严格。
链接
三星手机被指隔硅胶壳录指纹后“瞎认主”
指纹识别还靠谱吗?
近日,有国外用户发现,三星S10、S10+、Note10等手机的屏幕指纹识别存在安全漏洞。一对英国夫妇隔着全包的手机硅胶壳录入指纹后,发现任何人的指纹都能够识别解锁手机,甚至登录银行APP!随后,微信、支付宝、中国银行APP等网上支付平台发布公告,宣布暂时关闭相关型号手机的指纹支付或登录功能。三星电子发布的官方声明里解释称,这不是机器缺陷,而是软件问题,可以通过软件更新进行完善。目前,三星宣布已修复相关机型的指纹识别漏洞,但外界对三星的指纹识别安全性仍持怀疑态度。
■新快报记者 陈学东 实习生 刘泳彤
技术迭代 破解还是很容易?
据介绍,一开始,手机指纹识别技术用的是电容式指纹识别方式,只能通过在手机侧面、背面实现,随着全面屏潮流的兴起,这种方式逐渐被弃用。取而代之的,是大部分国内手机厂商使用的光学式指纹识别,以及此次成为新闻主角的三星的超声波屏下指纹技术。
相比起只能够扫描手指皮肤表面的光学式指纹识别,超声波指纹识别可以捕捉到用户皮肤凹凸纹理的3D轮廓,能捕捉到皮肤表面的细节。理论上来说,超声波指纹识别更安全、更具穿透力。但就三星这次的事件来看,超声波指纹识别技术仍需优化。
据网友测试,除了硅胶套,借助3D打印的树脂指纹模具或者是一张普通的纸巾,也能以同样的方式轻松破解华为、小米等其他品牌的屏下指纹。
近日,在上海召开的GeekPwn 2019国际安全极客大赛上,腾讯安全玄武实验室披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。研究员陈昱仅花了1000元左右添置破解工具,利用一卷黑色胶布和一台3D雕刻机,便成功攻破了三台手机以及两部指纹打卡器,更令人产生对当下的指纹识别技术“不靠谱”的怀疑。
不过,也有业内人士认为,虽然指纹识别技术似乎存在致命的安全漏洞,但此类指纹识别的安全漏洞有较为苛刻的触发机制,破解技术也需要一定的条件。
生物识别技术仍是未来趋势
有业内人士透露,由于法律实际上不允许手机厂商采集存储指纹的原始信息,因此手机只能采集用户指纹的特征点,检测精度其实相对并不高。相比之下,人脸识别技术则能采集用户更多、更丰富的特征点,辅以3D识别更是使其在安全性上更有优势。从安全性上来说,Face ID(人脸)的安全级别是Touch ID(指纹)的几十倍。
但无论是指纹识别,还是人脸识别,都仍无可避免地发现安全漏洞的存在。比如谷歌的Pixel 4也被指出,在用户闭着眼睛时也能通过人脸识别解锁。可以说,即使生物识别技术再成熟,也不能保证识别技术的绝对安全,生物识别安全问题仍需要在攻防对抗中不断升级。
纵使生物识别技术安全隐患频现,它仍然是当下安全性较高的、值得信赖的识别方法。除了成熟的指纹识别和人脸识别,声纹和虹膜识别技术也在完善当中,在未来也有可能被广泛应用。
更高安全等级的生物识别技术在移动终端的应用势必会成为未来的发展趋势。行内专家建议,可以采取多模态融合的识别方式,通过不断升级识别技术,达到更安全的效果。
