專訪

在2017國家網絡安全周開幕式上，上海市信息安全行業協會會長、眾人科技董事長談劍峰獲“網絡安全優秀人才”稱號。接受南方都市報專訪時，談劍峰給當下熱門的人臉識別技術潑了一盆冷水，認為可能會給用戶帶來巨大的安全隱患。

南都：蘋果手機最新推出了Face?ID功能，人臉識別等生物認證技術也廣泛應用在移動支付等領域，大家很關心，它的安全性怎樣？

談劍峰：蘋果iPhoneX，我給它安全評分是“大叉”！其實生物特征，指紋也好刷臉也好，都是唯一特征，我們老百姓為什么覺得生物識別技術安全？就是覺得臉長在自己身上，是唯一的，但這反而是最不安全的。我們腦子里的密碼丟失后，可以再設置一個新的，但有大量生物特征信息的服務器一旦受到攻擊，數據庫被拿走，對不起，你不可能再有第二張臉。很多廠商和媒體都避開這個點，說我的識別率多高，所以用戶可以放心———放心什么呀，你識別率越高我的安全問題越大。

我認為生物認證是互聯網身份認證應用中最不安全的一種技術。現在銀行把生物特征作為輔助認證，相對好一點，因為金融機構的風險防范和安全等級相對高，但在互聯網進行廣泛應用是不是合適，這個老百姓自有判斷。

南都：有些公司說數據儲存在本地，不會上傳到服務器，這樣能保證安全嗎？

談劍峰：現在很多標準組織或廠商說手機終端只做認證，識別后從手機往服務器端傳輸時，是用傳統的加密方式傳輸的，不傳輸生物特征。問題是哪個廠商、哪個A?pp會把這么好的大數據放在本地？我個人認為，不可能。為什么我們今天沒有個人隱私，因為大數據時代下，每一個A?pp都在搜集我們的數據。你作為廠商會不采集嗎？我這個問號就打給你。

南都：在你看來，生物識別技術有其發展的必要嗎？

談劍峰：生物識別技術和生物識別認證應用是兩回事，技術當然越準確越好，應用在公安的抓捕、公共場所信息的抓取，這些工作需要識別率高。但是我們不能一味追求便捷、方便，因為同時也帶來很大的安全隱患。

南都：那手機用戶怎么設置密碼最安全？

談劍峰：在手機上，回歸最傳統的六位數、八位數的Pin碼(個人識別碼)，這反而是相對安全的。生物特征可以替代Pin碼，但有時候由于手指出汗等緣故導致手機無法識別，還是需要使用Pin碼，那干什么要把生物特征上傳，給自己埋下不安全的隱患呢？