移动金融和移动支付，直接让“刷脸”这个行为，成为了我们日常验证身份的一个高频动作。不论是实名验证、大额支付，还是其他敏感操作，我们都要对着摄像头，看着屏幕里的自己，进行眨眼、张嘴、摇头等动作，并且有时候屏幕还会发出蓝、紫等不同颜色的光线。那么，为什么支付系统，都要我们做这一系列的动作呢？

事实上，人脸识别已经成为我们生活中，最广泛的验证方式，但如何兼顾人脸识别的效率和安全，更有效地守护我们的“脸”，一直以来都是金融及相关行业必须要面对，且必须拿出高分答卷的必答题。

今年8月份，犯罪嫌疑人利用网络工具，收集整理44万条公民信息，然后通过特定软件破解人脸识别，然后帮助未成年人绕过防沉迷系统，向游戏代练出售可以“代过人脸”手机的新闻登上热搜。

无独有偶，去年6月，犯罪嫌疑人通过“钓鱼”的方式，让某银行储户在不知情的情况下，下载了假冒的诈骗软件和视频会议软件，被套取了银行卡、密码和人脸信息，然后被连刷6次脸，盗取金额近43万元。

可以看到，虽然说破解人脸，不论出发点是怎样，都不失为一个快速入狱的“好办法”，但令人深思的是，为什么人脸识别容易被破解呢？我们还能不能保护自己的“脸”？

答案是肯定的，只不过我们要保护自己的脸，就必须要金融及相关行业的安全技术，做到与时俱进。不然，实现“快速入狱”的犯罪分子，就会越来越多。

开头我们提到了，我们在进行人脸识别时，需要对着屏幕里的自己，进行眨眼、张嘴、摇头等动作，以及屏幕会发出不同颜色的光线，实际上就是活体检测。这个检测的目的，就是为了防止犯罪分子，利用静态照片，或者利用静态照片合成的视频，来骗过人脸识别系统。因此，如果没有这些步骤，那可能一张照片、一段合成的视频，就能破解人脸识别系统。

那么，我们在进行这些操作时，系统后面都是怎么运行的？

……

揭、秘、时、间——

国家金融科技测评中心（银行卡检测中心）里有个生物识别实验室，就针对人脸识别做了大量的攻击测试工作。这其中，就包括我们最开始说的活体检测，活体检测包含了两项测试，具体是“呈现攻击测试”和“注入攻击测试”。

其中，“呈现攻击测试”可以让人脸识别系统区分静态纸质图像、电子图像，以及动态电子图像、合成CG视频，纸质面积、三位面具/头模，有效识别器官替换区域等内容。通过该测试可以验证其算法具备基本杜绝使用照片、合成视频和“换头术”破解人脸识别系统的可能性。

而“注入攻击测试”是指对摄像头、网络环境、操作系统、通信报文系统进行识别，这个测试主要是针对一些更高端的破解方法，比如杜绝黑客通过截取、篡改人脸识别数据，绕过或破解人脸识别系统的可能性。

所以，我们在进行一些敏感操作时，人脸识别系统总会要求我们做一些动作，目的就是为了防止系统被照片、视频、模型等方式破解，来保护我们的财产安全。此外，“注入攻击测试”虽然我们看不到也感受不到，但它也在背后悄无声息地工作着。

TIPS：

国家金融科技测评中心（银行卡检测中心）作为金融行业权威检测机构，在已开展人脸识别线下支付有关产品的安全测试的基础上，进一步结合《数据安全法》、《个人信息保护法》、《个人金融信息保护技术规范》等法律法规、行业规范以及金融应用场景特点，制订了专门的测评方案，为产业各方提供金融场景人脸识别技术应用安全与合规专项测评服务。