無憂支付網首頁
囊括國內所有第三方支付公司信息
為客戶提供最優質的支付接口服務
24小時服務電話
182 2176 9212
站內搜索
您當前的位置:主頁 > 支付知識 >

刷臉支付安全問題深入解讀

添加時間:2019-09-25 14:43

  一、“刷臉”支付的源起、定義及主要優勢

  (一)“刷臉”支付的源起

  人臉識別技術是一種基于人的臉部特征信息進行身份識別的生物識別技術。它是用攝像機或攝像頭采集含有人臉的圖像或視頻流,并自動在圖像中檢測和跟蹤人臉,進而對檢測到的人臉進行臉部認證的一系列相關技術。該項技術是基于神經網絡,讓計算機學習人的大腦,并通過“深度學習算法”的大量訓練,讓它變得極為“聰明”,能夠“認人”.人臉識別技術能夠做到準確性高于人眼,主要原因在于計算機可以關注更多的關鍵細節,并通過算法剔除一些干擾因素。香港中文大學教授湯曉鷗曾發表論文稱計算機算法識別人臉的準確率已經達到99.15%,而肉眼識別的準確率大約在97.52%.

  隨著金融行業進入“互聯網+”時代,安全問題成為制約體驗與運用的重要壁壘。科學研究發現每個人攜帶有獨特的生物標識性,(如指紋),目前世界頂尖的科技企業近年都著力研究生物識別,比如蘋果推出指紋識別touchID,三星也已開始試水人臉解鎖,支付寶此前也推出過指紋支付,但受制于硬件成本及普及面不夠,許多技術要真正普及尚待時日。在當前手機自拍遍天下的時代,“刷臉”便成為最直觀、最便利也是最具親和力和參與感的身份認證方式

  “刷臉”支付在百度百科中被定義為一款基于臉部識別系統的支付平臺,它于2013年7月由芬蘭創業公司Uniqul全球首次推出。該系統不需要錢包、信用卡或手機,支付時只需要面對POS機屏幕上的攝像頭,系統會自動將消費者面部信息與個人賬戶相關聯,整個交易過程十分便捷。實際上,“刷臉”支付是將臉部特征與個人賬戶綁定,即把個人臉部特征取代密碼,實現快捷安全支付。Uniqul公司“刷臉”系統推出的一個月后,全球最大網上支付公司貝寶(PayPal)開始在英國推廣“人臉識別”支付系統。

  (二)“刷臉”支付在國內的推行

  在國內,江蘇銀行直銷銀行在現有多重認證體系的基礎上率先推出人臉識別技術,成為國內首家在客戶身份驗證體系中使用人臉識別技術的直銷銀行,解決的是“你是誰”的問題。支付寶率先嘗試“刷臉支付”,在購物后的支付認證階段通過掃臉取代傳統密碼,解決的是“你是不是你”的問題。不久前,阿里巴巴集團董事局主席馬云在德國漢諾威電子展的開幕儀式上展示了一場“刷臉秀”,演示了螞蟻金服的SmiletoPay掃臉技術,為嘉賓從淘寶網上購買了1948年漢諾威紀念郵票。這項嶄新的支付認證技術由螞蟻金服與Face++Financial合作研發,在購物后的支付認證階段通過掃臉取代傳統密碼。

  支付寶人臉識別系統的技術原理是人臉特征模板識別。它采用在該領域廣泛應用的區域特征分析算法,將計算機圖像處理技術與生物統計學原理融合于一體,利用計算機圖像處理技術從視頻中提取人像特征點,通過生物統計學的原理進行分析建立數學模型并得到人臉特征模板。同時,利用已建成的人臉特征模板與被測者的人的面像進行特征分析,根據分析的結果給出一個相似值,通過這個值即可確定是否為同一人。換言之,支付寶人臉識別技術基于深度神經網絡技術(CNN),通過人臉檢測、關鍵點定位、特征提取和特征比對等技術手段,從圖像或視頻中發現、定位人臉并進行識別。

  支付寶人臉識別操作流程是:支付寶系統提前采集每一位用戶的人臉特征,用戶在淘寶上選擇產品后進入支付認證階段,確認支付后出現掃臉的頁面,此時用戶不需要銀行卡,只需面對手機屏幕或電腦上的攝像頭,對著自己的正臉進行拍照,人臉照片由用戶上傳到支付寶系統,經過系統分析認證后“綁定”自己的支付賬戶,同時從人臉所關聯的支付寶賬戶上完成扣款。在此后的網購中,每次支付只要在下單購買后,讓支付系統掃描用戶臉部并確認身份,即可完成支付。

  (三)“刷臉”支付的主要優勢

  1.便利用戶生活。“刷臉”支付給未來生活支付方式帶來了全新變革,根據阿里巴巴應用此技術的前景,可以預見有了“刷臉”支付系統之后人們無需攜帶現金和銀行卡,更不需要記憶各種密碼或賬號。用戶只需要用手機前置攝像頭拍攝照片上傳到多核處理系統上完成注冊,系統抽取人臉特征,進行處理之后注冊成功。當在線下購物時,用戶只要走到收銀機前就可在1秒內實現人臉識別完成支付。

  2.提升金融服務效率。目前,客戶開立銀行賬戶必須到柜臺親自辦理,不利于提高銀行辦理業務效率。使用遠程刷臉開戶,銀行直接把“柜臺”搬到了互聯網金融的入口,銀行不僅能通過互聯網直接獲得增量客戶,貸款、理財業務等也都有望轉向線上,降低營業成本。此外,用戶可以通過“刷臉”支付,辦理金融業務和日常消費,優化客戶體驗。

  3.與其他生物識別支付應用相比更容易推廣。掌紋、指紋、虹膜等這些生物識別支付應用手段對人的配合度和設備的要求都比較高,同時也增加了商家的推廣應用成本。相比較而言,人臉特征的優勢較明顯,它不需要特殊硬件,手機的前置攝像頭就能夠滿足要求。此外,國家有非常完善的身份證底庫,人臉識別不需要用戶自行提交照片。因此,幾乎所有的用戶都可以是零成本參與,人臉識別相比其他生物識別技術更加容易“接地氣”,更加容易大規模推廣。

刷臉支付

  二、“刷臉”支付面臨的安全挑戰

  按照人臉特征有很強的唯一性的說法,人臉支付確實很安全,但一些外部因素會讓人臉支付面臨風險。

  (一)人臉特征容易被復制

  破解密碼的最常用手段是復制,通過竊取數字密碼以及套取指紋來解密的手段已經相當普遍。因為密碼是記錄在人的大腦或其他介質上面,竊取難度比較高,而暴露在外面的人臉則更容易被復制。通過拍照完全可以獲得一個人的臉部特征并進行復制,利用整容技術或者用照片識別等欺詐的方法可以騙過人臉支付系統。目前,一些人臉支付識別系統還是基于靜態頭像識別,不支持動態識別。

  (二)人臉特征具有不穩定性

  與數字密碼或指紋驗證不同的是,人的臉部特征具有不穩定性。和掌紋、指紋、虹膜不同,隨著年齡的變化,面部外觀也會發生變化,青少年的變化會更加明顯,這也會影響人臉識別的準確率。如果人們面對POS機屏幕、手機屏幕和電腦上的攝像頭俯仰或者左右側面比較厲害,或者在攝像頭面前表露出豐富的表情,都會影響人臉識別的準確率。2.化妝會導致臉部特征發生變化,機器會無法識別;即便不化妝,帶上墨鏡或者帶上其他飾品,也會影響人臉識別的準確率。3.過敏、受傷、整容都會導致人臉特征有很大變化,這無疑是人臉識別技術的一個潛在風險。

  (三)“刷臉”支付的身份驗證問題

  “刷臉”支付在使用前需要對每個用戶的臉部特征信息進行采集,只要用手機攝像頭拍攝照片,系統可以將采集到的信息和數據庫內人臉信息進行比對,如特征重合則被確定為相同。因此,“刷臉”支付需要解決的身份驗證問題包括:“刷臉注冊”這種注冊和身份識別方式是否能被各國所承認,在我國是否和實名制掛鉤?在支付環節,系統如何能保障自己可以有效識別客戶身份的真實、完整和合規,同時證明開戶是客戶的真實意愿表達?

  (四)“刷臉”支付的個人信息安全問題

  在科技發達的今天,信息泄露已經成為人們特別關心的話題,別人似乎很輕易地就可以查到消費者的各種信息。刷臉支付需要解決的個人信息安全問題包括:1.像人臉特征這樣的人體密碼一旦交給了別人保管,如何確保信息的安全系數?2.人的面部特征和掌紋、指紋、虹膜一樣是個人身份識別的重要方面,獲取用戶面部特征是否涉及隱私,是否會有相關法律法規進行監督管理?3.基于面部掃描系統的支付在普遍應用之后會不會帶來基于位置服務造成的隱私、個人行蹤泄露?如果臉部特征信息泄露被人利用,造成的后果將不堪設想。

  (五)“刷臉”支付的資金安全問題

  人臉識別不需要用戶自行提交照片,根據相關規定,有資質的機構在需要進行人臉識別時,可以向全國公民身份證號碼查詢服務中心提出申請,將采集的照片與該部門的權威照片庫進行比對。但是目前在人民銀行、公安部的聯網核查系統中,存儲的居民身份照片多是辦理身份證時留檔,照片更新速度慢,基于原始照片進行人臉自動識別的誤差大,影響識別的準確度。如果被人利用,則會威脅到用戶的資金安全。

  三、解決“刷臉”支付安全問題的建議

  (一)完善生物識別技術

  與支付寶戰略合作的人臉識別服務商Face++的聯合創始人兼CEO印奇在接受《第一財經日報》記者采訪時表示,該公司技術目前的識別率在99.6%以上,能準確區分照片和真人,但任何單一的生物識別技術都有其局限性,多種識別手段互補將是未來安全認證環節的主流。包括人臉識別在內的各種生物識別技術目前仍不能完全保證不出現失誤,一種生物識別手段必須結合其他識別手段同時使用,才能夠保障用戶的信息安全。因此,人臉識別技術需要進一步改進和規范,除了不斷降低自身的誤識率外,還應建立與更多支付工具的聯系,為消費者提供更便捷更安全的使用體驗。

  (二)保證操作者技術統一,專業化

  “刷臉”支付使用的前提條件是需要輸入一張“標準臉”,通過專業儀器捕捉人們臉部特征并轉化為特有的數據信息,最后在“刷臉”時由機器比對這些數據,以此可判斷機器前的人究竟是不是賬戶的主人。但是由于“刷臉”系統的數據采集與拍照時的光線、角度密切相關,如果操作者技術不統一,其識別率會下降,因此要推廣“刷臉”支付,首先需要保證操作者技術統一并且專業。

  (三)驗證用戶身份,保障信息安全

  刷臉注冊時,有資質的機構首先要能證明自己用于遠程注冊的方法、設備和技術手段可以真實、完整、合規地識別用戶身份,并且需要得到有關專業機構的認可,才能正式開展這項業務。取得用戶信息后,要通過系統自動核對、電話回訪、快遞資料等方式與公安部的居民信息及以前客戶在金融系統中留存的信息進行交叉驗證。同時還需要通過一些交互方式驗證注冊行為是不是用戶的真實意愿,并與用戶簽訂保密協議,保證不泄露用戶信息,保障用戶的信息安全。

  (四)立法規范,盡快出臺監管規則

  采集人臉信息應當有相關的審批程序,需要立法規范,而且在監管時也需要依法執法。“刷臉”支付作為一種新興的支付方式,涉及到諸多法律問題,從支付安全到個人信息,這一切都需要制定一套嚴謹的規則來保障用戶的信息安全和資金安全。同時在金融領域的應用上,還需要取得監管部門的認證,并由金融機構去整合資源推出市場能接受的產品和業務模式。

  (五)試點先行,逐步推廣

  對于“刷臉”支付的應用與推廣,建議先采取試點的形式。可以選擇互聯網水平較高的民營銀行進行試點,等技術成熟再進行推廣;先試點小額范圍內的支付,等安全性得到保障后,再逐步放開支付金額的限制。同時,在“刷臉”支付發展上建議給予政策支持,但也應關注潛在風險點,并制定相應的監管政策。

3d杀号定胆澳客网