双胞胎瞬间破解“刷脸”认证：人脸识别遭质疑

德国汉诺威IT展上，马云展示了一个名为“Smile to Pay”的技术，选择商品并进入确认支付页面后，扫码变成“扫脸”，对着屏幕露出微笑，支付便成功了。很酷，很方便。

另一个是，赵薇老公、中国籍新加坡裔富商黄有龙的房产被人委托出售，原来，黄有龙的司机冒充其到公证处，通过人脸识别技术办理了委托公证证明。

生物识别支付技术已经出现，“刷脸”时代即将来临，但我们的“钱袋子”会更安全吗？

1月7日，南都鉴定君来到在全国社保生存认证应用技术方面较为领先的广东德生科技股份有限公司，希望通过人机对战的形式验证一下，人脸识别在实际应用中到底安不安全。

千万养老金被冒领与麻烦的现场“生存认证”

随着我国人口老龄化压力逐步加大，被称作“养命钱”的养老金使用和发放越来越受到关注。但由于缺乏统一的信息共享平台即现代化的监管手段，身份证造假的现象屡禁不止，加上信息更新滞后，全国各地都不断涌现出一些社保被冒领和盗刷的现象。

2015年7月29日，广东省人民政府的一份审计报告指出，经过对比省公安厅户籍管理信息系统数据发现，截至2015年2月底，全省共有241名离退休人员死亡后仍继续领取基本养老金超过3个月，涉及金额1079.4万元。

养老保险金为何这么容易被冒领？关键的“生存认证”环节有难度。一般情况下，地方人社部门每年联手公安局进行一到两次的生存认证，目前无法做到每个月都去验证老人的状态，因此在两次生存认证之间就会出现数据的出入。有些老人已经去世，但系统的记录还显示在世的状态，于是养老金仍照常发放。

而另一方面，即便是每年一次的现场“生存认证”也让不少老人犯难。“闺女到广州安家后，就接我过来住，现在基本都住在广州。”老家在湖南的陈女士今年已经68岁了，她表示，因为户口并没有落到广州来，自己为了领取退休金，每年都必须回老家进行一次“生存认证”，“每次回去又是火车又是汽车的周转，现在年纪大了，真觉得跑一次挺累的。”

在这种情况下，依靠互联网就能轻松完成的“人脸识别”的生物认证系统以其巨大的优势吸引了不少人的目光。为规范城乡居民基本养老保险待遇核发工作，防止冒领骗保，2015年广东省在全省选取了14个镇试点“人脸识别”认证技术。通过人脸识别后，居民以后每年的资格认证只需要找个有网络视频的场所，甚至通过手机，直接“刷脸”就可以完成。

本次城乡居民养老保险待遇领取资格人脸识别认证试点，通过与省人社厅信息中心社会保障卡库对接，充分利用社会保障卡照片信息，作为人脸识别的初始模版。资格认证可以通过多种方式实现：待遇领取人可到村（居）委会或社会保障所等固定地点进行实时认证；也可以由村协管员携手提电脑下到村里对待遇领取人进行拍照采集，待连接上网络后，与预存的初始模版进行比较;或是通过手机APP或互联网进行远程认证。人脸识别认证只需1-3秒就能完成，大幅提高资格认证效率。在通过验证的同时，可根据新采集人像信息对初始模版进行修正更新。

现场测试：社保“刷脸”机刷脸技术怎么样~

1月7日上午，南都鉴定君在广东德生科技股份有限公司进行了三组实验，检测社保生存认证一体化机、身份验证一代机、身份验证二代机等的人脸识别系统能否顺利分辨出正确的人脸。

鉴定君了解，广东目前启用的一体化的社保生存验证机，并非只有“人脸识别”一种生物认证技术，而是包含了指人脸识别、指静脉认证、声纹认证等多重生物认证系统。

现场的一台一体化社保生存验证机，体积很小，携带方便，摄像头内置。打开时，人脸需要处在机器正上方进行拍摄。整个机器面积最大的是一块液晶触屏，工作人员通过手指就可操作页面，十分简单易学。由于鉴定君使用的是样机，不含数据库，所以只能人工建档。人工输入相关个人身份信息后，现场工作人员使用手机拍照，将建档人的信息输入到社保生存认证一体机中。

测试1

社保卡时间超过十年两位老人均通过生存验证

鉴定君找来的第一组测试样本是两个老人：一位是1955年出生的卫姨，一位是1954年出生的黄伯。两位老人都有广州市社保卡，社保卡上的照片为2004年照的，距今已经有十年以上的时间。

鉴定君肉眼比对后发现，照片与两位老人目前的面容略有不同。现场工作人员通过人工向社保生存认证一体化机，输入两位老人的有关信息。然后两位老人逐一来到机器前，进行人脸识别。

工作人员首先插入卫阿姨的社保卡，系统立刻呈现出卫姨的相关个人信息。工作人员接着摁下拍照按钮，显示器上就出现一个大相框。接着，工作人员摁下拍照比对的按钮，此时，系统大概出现一个5秒钟左右的等待期。“这个时间是系统在做一个持续拍照过程，”实验人员解释，系统并非只是拍一张照片，而是在这段时间连续捕捉了卫姨连贯着的数十张照片，“通过这些连贯的照片，系统可以判断出面前的是否是活体。”等待五秒钟后，系统马上跳出“验证成功”的界面，显示卫姨与社保卡上显示的是同一个人。

黄伯也是使用十年前的照片，经过同样的流程后，一样也顺利“刷脸”通过生存认证。

工作人员表示，在一般的人脸识别生存验证中，大部分人可以通过人脸识别技术轻松办理业务，足不出户退休金就可打到事先登记的账户上了。

测试2

和19年前照片比对中年男子被系统“拦截”

德生科技技术中心的展示室里，除了社保系统人脸识别生存验证实体机，还摆有几款不同的人脸识别系统。其中，第一代实名验证机为分体式，摄像头部分为坐式电脑屏幕，人脸只需在屏幕前走过，就能迅速被摄像头捕捉到。屏幕上会出现一个绿色的视频框，电脑对框内对象迅速进行比对分析。在屏幕的左侧另有一个刷卡机，测试者只需要将自己的身份证在上面一刷，马上就能在屏幕上看到相关的相似数据。在第二代实名验证机中，不仅可以通过人脸识别判定，针对第三代身份证还可以通过指纹比对进行判定，通过人脸+指纹的双重判定更加严谨。另外，机器上还增加补光灯，降低了光线环境对人脸识别的影响，大大增加了产品实名验证的安全性和可靠性。

市民王先生提供的19年前的照片显示，当时他体重仅106斤。目前，体重150余斤的王先生，也从19年前瘦削的尖脸变成了大圆脸。王先生先用现场一台身份验证机进行验证，使用5年前的身份证（注：和目前的形象差别不大），和19年前的照片进行比对。身份验证机将19年前的照片，直接通过验证摄像头翻拍。结果，二者相似度为0.67，人脸识别机成功认出19年前的王先生。

对于社保系统生存认证一体机，由于无法通过人工手段输入王先生19年前的照片，现场工作人员只能通过手机翻拍照片的方式，将照片输入到社保生存验证机中。王先生本人站在生存验证机前，进行验证。经过实体拍照，机器最终显示的结果是“验证不成功”，相似率只有0.37。这意味着，如果王先生19年前将信息录入社保系统，19年后可能无法通过人脸识别进行验证。为什么会有这种情况？“有时候现场拍摄照片质量达不到要求，比如说光线、坐姿、距离、刘海等因素，或者是身份证使用时间过长，证件头像和本人样貌变化较大，都有可能产生这种验证不成功的情况。”实验人员表示，在社保认证的实际操作环节中，还是要求每一年，或两年进行一次建模数据库更新的，“把最新的人脸登记入库，这样失误的比例会大大降低。”

测试3

未成年同卵双胞胎比对刷脸 不行还得靠指纹识别

人脸识别系统默认相似度六成以上即为验证成功，那长相相似的双胞胎岂不是可以互相“借脸”刷，这样会不会也存在着冒领的可能？鉴定君特意找来一对同卵双胞胎兄弟，来挑战社保系统“刷脸”机的安全性。这对双胞胎年仅4岁，长的十分帅气可爱。双胞胎兄弟一到现场，立刻吸引所有人的目光。现场先来了一轮肉眼版的测试，连续三人上阵辨别谁是哥哥谁是弟弟，有两人猜出了结果，但全部都是靠“蒙”。“还是需要看两个人的性格才能分辨，哥哥外向点，弟弟内向点，靠人脸基本没办法。”现场包括鉴定君在内所有参与辨识的都很期待，社保生存认证系统能否成功辨识这一对双胞胎兄弟。

因为两位小朋友都没有办理身份证，无法直接通过机器进行的刷卡认脸。现场工作人员只能是通过手机拍照上传的方式，进行人脸识别。实验人员先将哥哥进行手机拍照，上传到资料库。再将弟弟叫出来，让他冒充“哥哥”的身份去“刷脸”。结果，系统显示“验证成功”。“双胞胎确实是当下人脸识别系统的难题之一，人脸识别系统也没有100%的成功率。”现场技术人员李展峰解释说，双胞胎人脸部存在相似性，不同个体之间的区别不大，所有的人脸的结构都相似，甚至人脸器官的结构外形都很相似，对于利用人脸区分人类个体是不利的。“特别是年龄越小的双胞胎，差异度越小，如果成人后，人脸区别差异还会加大点。”

那双胞胎会成为社保领取的漏洞吗？实验人员现场又登记了哥哥的指静脉，随后再用弟弟的指静脉进行验证时，机器立刻发出报警，表示验证失败。不难看出，“刷脸”并非万无一失，只有多种生物技术加以利用才是真正可靠的。李展锋认为，“这款社保领取系统里面还有指静脉和声纹认证，这些辅助手段完全可以区分出双胞胎。”

退休人员第一次建档需要录入哪些信息？

“第一次建档时，退休人员需本人持二代身份证或社保卡，到当地的社保经办机构，进行人脸建模。同时，系统也会记录本人的指静脉、声纹等相关信息。”现场参与试验的工作人员介绍。“通过人脸识别后，以后每年的资格认证就可以在附近的社会保险机构、家庭、其他有网络视频的社会服务场所或使用手机完成自主认证。”

实际上，部分试点地区已经开始鼓励有条件的参保人，利用手机APP或网页认证。特别是异地居住的待遇领取人，可以通过手机或互联网进行远程认证，不再需要亲身到现场认证。

社保生存认证一体化机不光只有人脸识别，为何人脸识别却成了主打？“那是因为人脸识别最快捷、高效，而且辨识度高。”试验工作人员解释说，人脸识别将人的脸部划分为2000多个小快，然后抽取每个特征点，组合成特征集群。然后，系统分别对人体通过面部定位、双眼定位、检查影像质量、影像校正(縮小、糾正角度)、前期处理、抽取特征点、合成特征集群、和存盘记录比对。人脸识别通过互联网就能完成，不需要人与机器直接接触，退休人员只需要找一台有摄像头的电脑就可以完成。“为了判断是否是活体，生存认证一体化机的摄像头不仅仅是捕捉一张，而是短时间内捕捉了二十几张照片，足以判断出对方是不是具备活体特征。”