小令观点 | 不希望我的身份被别人冒用，该怎么办呢？

2022-12-01
北京
本文字数：3263 字
阅读完需：约 11 分钟

家住双峰县沙塘乡的王大爷最近碰到了一件怪事，自己的手机号被人注册了微信、抖音，而自己却不知情。直到公安民警找他了解情况，王大爷这才知道自己的手机号被人“卖”了。

据王大爷回忆，他到中国联通专营店的经营者王某某处交话费时，王某某用过他的手机两三次，每次都要用二三十分钟，有时候还要他配合拍照。

经查实，果然是王某某搞的鬼，偷偷帮王大爷注册了抖音，注册后通过微信群卖给他人获利。有兴趣的读者可以参考这篇报道《手机号被人注册微信抖音原来是通讯店“内鬼”搞鬼》。

这样的荒谬事居然并不少见。

搜索“身份被冒用”就会发现，有很多类似的事情曾经发生，就连支付宝这样的国民级金融 APP 也无法避免。在这篇报道《咋回事？阜阳一男子没注册过支付宝，钱却从支付宝被转走》中披露，于某从没有注册过支付宝，但钱却从支付宝被人转走 9800 元，警察查实后得知，原来是装修工刘某以安装宽带为由，获取了于某的身份证和银行卡照片后注册了支付宝，钱就是这样通过支付宝转走的。

这就让人不寒而栗了，会不由自主地去想：那我的身份信息会不会也被泄露，被冒用注册了一些未知平台的账号呢？如果这个账号做了一些违规犯法的事，会不会牵连到我呢？

有种瞬间的冲动，让我想要去下载各种 APP，看看自己是否在不知情的情况下被冒名注册了。

但显然这是不实际的：应用市场起码有几十万个 APP，要去挨个下载查看是一项根本不可能完成的任务。而且，这是个动态的、敌人永远在暗处的不对等战场，黑产们如果真掌握着我的身份信息，那什么时候去使用、在哪个网站或 APP 使用，都是我根本无法控制的。

冷静下来的我尝试先搞清楚，身份信息有没有可能会是我自己泄露出去呢？从日常工作、生活的方方面面来回想，会有以下可能：

电脑或手机中了木马病毒；在公共场所连接了黑客设置的 WIFI ，或者自家的路由器被黑客破解；不小心访问过钓鱼网站，输入过手机号或其他重要的个人信息。

— 按照小令一贯以来的谨慎，这些应该不太可能。但是以后得保持更加小心了。

办理相关业务后，信息被银行、快递公司、保险公司、房产公司、中介公司的工作人员给泄露出卖了。

— 的确大有可能，几乎每去这些地方办理一次业务，之后一周都会被频繁骚扰。但却又无可奈何。最要命的是，办理这些业务往往都是要出具身份证并留下照片的，属于高度敏感的信息。

各种借调查之名，宣称只要填写联系方式、个人情况等就能获取奖品的问卷。

— 现在想来，这些小便宜可千万不能沾。但头疼的是，有很多是朋友转发来请求帮忙的，很难拒绝。

一些随意丢弃的物流单据、火车票、机票、纸质对账单等等。

— 以后这些废弃的凭证，一定要先确保撕毁，然后才能当垃圾处理。看来必要的时候需要在办公室和家里都配置一个碎纸机了。

仅从自己的日常行为中，就能发现有很多信息泄露的可趁之机。但远远比这更麻烦的，在于各种常用的网站和 APP，他们会很好地将我提供的个人信息妥善保管么？从时不时发生的爆炸性新闻来看，这是个令人绝望的问题。

也就是说，无论我多么小心，可能都无法阻止自己的个人信息最终被泄露。而且，还未必能够知晓是从哪里泄露出去的，泄露了哪些信息。

既然这条路走不通，那反过来思考呢？是否会有哪些网站和 APP 服务，可以不仅仅依靠这些所谓的“个人信息”，而是必须获得我本人的“亲自授权”才能注册使用呢？如果这样的话，那我也不用担心被冒用了。

当然了，不得不接受的事实是，能够这样做的网站和 APP 服务肯定很少。但只要有，我还是会在同类服务中尽量使用他们的，因为可以确保我不会在哪天，突然被一个从来不认识的人冒用。

好了，接下来咱们可以专心探讨，怎么才能代表“我的亲自授权”呢？

01 一个显而易见的可行方式，是人脸识别技术。

在注册的时候通过手机摄像头实时采集人脸照片，与身份信息一起发给公安等国家级数据库进行算法比对，逻辑上就能确保注册者一定是身份信息的合法主人。

这是个听起来就很合理的方式，因此现实中也被金融 APP 等对安全性很重视的服务们广泛采纳。

但可惜的是，随着黑客们熟悉了这种技术，其中的一些缺点也逐渐被攻破乃至放大了。

首先，该技术最成熟的方式是在 APP 上，但大量的运营方仍然保留着 PC 网站、手机浏览器等载体，没有及时更新那里的保护机制，因此也就会被黑客们绕开，形同虚设；
其次，在于运营方对采集来人脸照片的管理，出于贪心心理总想着存储在自家系统里，结果不仅不合规，而且事实上又进一步形成了新的数据泄露源。
最后，也是最可怕的，人脸识别技术本身并不那么可靠。“给我一张照片，我就能 fake 一段他/她的视频”之类的宣传，在黑客论坛里早已是公开的商品。从实际测试来看，比较厉害的“深度伪造”和“对抗样本”技术，是当前的绝大多数人脸识别算法都难以抵御的。

所以，用人脸识别技术来防止身份冒用，总体来说虽然仍旧可行，但已不能仅仅依靠它，并且需要不断升级 AI 防护算法才能跟得上时代。此外，更要着重治理自身内部的流程漏洞和图片存储管理问题，避免引发更大的灾难。

02 另一个更有效的方式，则是发挥身份证件天然的芯片安全性。

这也是最近两年才成熟的技术，将传统的、只能在柜面专用设备上识读证件芯片的能力，搬到手机 APP 上就能完成。

无论是我们国家发行的二代居民身份证，还是全球通用的电子护照、我国的港澳台来往通行证，证件内部都内嵌了一枚超高安全强度的芯片，每一枚都是独一无二、对应到本人的，无法复制伪造。

因此，如果注册的时候要求读取证件芯片，将芯片与注册者进行绑定关联，那冒用者们就算拿到我泄露出去的个人信息，也不可能完成注册，因为他几乎不可能拿到我的实体证件。

当然这个方式也并不完美。

首先，必须要身边带着证件才能完成注册，肯定会有用户不耐烦不愿意的。但怎么说呢，对于受过伤害的用户，或者不愿意承受“被冒用”风险的用户，还是可以理解接受的，毕竟注册流程也就仅仅一次而已，并不高频，安全更加重要。
其次，证件如果丢失了，也还是会引发冒用风险。但毕竟，这个可能性要小多了。而且，我们可以将对证件芯片的识别，与人脸识别技术放在一起使用才能完成注册。这样的话，安全性就是两者之长，黑客作恶的概率就太小太小了。

因此，身份证件芯片识别技术+人脸识别反欺诈技术，将是最实用、也是最安全的身份注册方式。两者的结合，可以有效杜绝黑客仅凭个人信息就能冒用他人的可能性，真正确保注册用户的知情同意。这既是对用户负责，也是对运营方自身的合规性长远负责。

令牌云正是秉持着这样的理解，向国内知名的银行、证券、互联网头部平台们提供着我们的身份注册安全方案。相比传统的注册手段，我们既提供完整的产品，在保障安全的同时还能让用户的流程体验更加流畅便捷，可以提升总体的注册成功率；也可以灵活拆解成一个个模块，帮助平台们增加对身份证件芯片的识别能力，以及大幅提升人脸识别的安全防护效果，把那些通过 AI 算法生成的“假人脸”鉴别出来。

在令牌云的帮助下，我们的平台客户们就可以自豪地告诉小令乃至更多的用户们，无需再担心自己的身份被其他人冒用注册了。

比注册更高频的，是登录、交易、修改个人联系信息等等，也同样存在这样的冒用风险。这时候就不能仅仅依靠身份证件的芯片识别，或者高强度的人脸识别技术了，否则安全性虽然高，但流程体验会让正常的用户颇受打扰。令牌云也已经为此准备了臻于至善的解决方案，咱们后续再议。

关于令牌云

令牌云是一家新锐的数字身份科技公司，专注于让身份更可信、隐私更安全、连接更便捷。

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术，帮助企业客户实时鉴别当前用户是否为账号持有本人，让产品流程既顺畅又安全，提升业务成功转化率。

令牌云已在金融、互联网领域率先取得突破，获得多家知名企业的商用认可，正在面向更多行业提供灵活高效的解决方案。