2017年央視“3·15晚會”上一個“變臉”身份證破解的演示，讓許多人都出了一身冷汗!人臉識別技術即將大潰敗?與人臉識別關系緊密的金融在線支付認證、人工智能等行業領域將遭受強颶風摧殘?

其實在安全技術人員的眼里，破解人臉身份認證的方法還有很多。

[[185732]]

破解人臉識別四連擊

第一擊：技術“肢解”人臉識別

現在許多APP開發者自身并沒有精力、經驗去研發人臉識別，所以都是通過第三方API接口或SDK組件來獲得人臉識別這項身份認證功能。這意味著，一旦APP應用自身安全防護強度不夠，攻擊者就可以通過反編譯APP應用程序，修改其程序儲存值的方式繞過人臉識別。或者分析APP數據結構，通過修改入參字典的方式篡改活體檢測完成后的圖片，實現對人臉識別的破解。

第二擊：安全缺陷繞過人臉識別

安全研究人員發現，部分APP在使用人臉識別技術時，沒有對圖像數據進行簽名，或者沒有給數據報文加入時間戳，導致某些關鍵識別數據可被截獲、篡改。而有些APP為了提高人臉識別成功率所設置的“匹配閾值”也容易被破解調低，導致人臉識別功能失效。

第三擊：變臉攻擊欺騙人臉識別

今年“3·15晚會”上演示的是通過Photospeak軟件進行“變臉”術，來破解人臉識別中的活體檢測關。那么從理論上推斷，一段足夠清晰的人物正面視頻也可以把“寫在臉上的密碼”錄制下來，對人臉識別進行欺騙。

第四擊：臉部模型冒充通過人臉識別

對于安全鑒別度低的人臉識別，安全研究人員甚至可以通過3D建模，構建人臉模型的方式實行破解。

封堵安全缺陷 拆解“變臉炸彈”

通過深入分析破解人臉識別的各種技術與方法后能夠發現，正是由于各類安全缺陷的存在，使得人臉識別遭遇了“信任危機”。那么要想拆解這枚“變臉炸彈”，就需要從封堵安全缺陷著手開始。

拆彈第1步：為APP搭建防爆墻

自身防護能力薄弱的APP，很容易讓人臉識別成為馬奇諾防線。所以需要增強APP自身安全強度，通過dex加殼、內存防護、so庫文件加密、資源文件加密等多種APP安全加固技術協同實施保護，達到增強APP靜態安全、動態安全、交易驗證安全、數據安全以及發布完整性的目標，抵御反編譯、惡意篡改、二次打包等入侵攻擊行為。

同時也要對SDK實施安全加固保護，例如進行Jar包源代碼動態加密、本地數據文件動態加密、so代碼段加密、so數據段加密、so函數表加密、SDK完整性校驗、SDK防調試保護等。

通過對APP實施多重加固安全保護，消除各類安全缺陷，能夠防止“堡壘被從內部攻破”問題的出現。

拆彈第2步：多因子認證打造身份認證立體防御體系

在許多安全性高的應用場景里，人臉識別其實僅僅是其身份認證中的一個環節。除了傳統的賬號、密碼、認證碼等身份認證外，還會引入指紋識別、語音識別、虹膜識別等更多身份認證環節。以這種多層次、交叉識別多因子認證的方式，整體增強身份認證的強度，極大的降低了身份認證被攻破的可能性。

拆彈第3步：用戶畫像提升人工智能認知安全

如今異常火爆的人工智能領域里，人臉識別是人工智能系統認知外界、獲取外部信息的一個重要基礎渠道。“變臉炸彈”的出現，將把人工智能炸的暈頭轉向，甚至使其錯招頻出。

那么除了要增強人工智能相關模塊的代碼安全性外，還可以借助用戶畫像技術，通過分析用戶的日常行為特征，輔以威脅情報信息，幫助人工智能構建、明確“你就是你——Only You”，提升人工智能的認知安全能力。

孤立的安全不可取

“3·15晚會”上“變臉炸彈”破解人臉識別的演示，更多是要告誡廣大消費者們，隨著人們連接進入網絡的手段方式愈加豐富，犯罪分子的可攻擊面也變得“豐富”起來。僅靠密碼、手機短信認證、人臉識別等單一的安全防護手段，已經無法實現對自身安全的有效保護。同時也再一次提醒相關廠商，需要建立起足夠廣度與深度的多維度、多因子身份認證安全系統防線，孤立安全防護的時代已經謝幕!