1,
最近IPhone X的發佈又引發了一輪段子手狂歡, 主要焦點都集中在了Face ID的人臉解鎖上, 由於IPhonex的人臉識別不僅可以解鎖手機, 還能夠進行Apple Pay支付,
而除了蘋果公司之外, 國內的百度阿裡也都紛紛看上了人臉識別, 例如百度與首都機場合作開啟人臉驗證, 支付寶開啟了人臉登陸, 最近還有何KFC合作人臉付款, 與速遞易合作人臉去快遞等等。
這一系列的動作也引發了各界擔憂, 那麼人臉是否安全, 這裡值得說清楚。
2,
先談談人臉識別的不安全問題。
人臉等於一個完全暴露在空氣中的密碼, 儘管各科技公司強調自身技術識別能力有著極強的精准性, 但畢竟道高一尺魔高一丈, 駭客想要獲得他人人臉並非難事。
例如如明星、領導人們的視頻內容隨處可見, 想要獲取輕而易舉, 因此這麼看來明星、領導人的資產應該是最不安全的。
但事實真的是這樣嗎?
這裡必須搞清楚的是, 人臉識別的應用交互場景到底是什麼。
3,
談人臉識別之前, 我需要先談一下密碼安全問題。
在移動時代之前, 各種PC遊戲諸如《夢幻西遊》、《傳奇》經常會發生被盜號現象, 極為猖獗, 而又由於當時主力用戶都是學生, 既沒有手機, 又把註冊帳號時的安全問題忘了個精光, 因此很難追回帳號。
彼時遊戲商家們推出了實體的動態口權杖, 口令每過1-3分鐘變一次, 用戶可以將口權杖綁定遊戲帳號, 當用戶登錄遊戲, 或者修改密碼時, 不僅需要輸入密碼, 還需要輸入口權杖的動態口令, 這樣也就極大程度的保證了用戶安全。
盜號者想要盜號, 除了得知密碼之外, 還必須從使用者手中偷走實體口權杖,
移動時代人手一部手機的時代來臨時, 遊戲帳號、QQ帳號等等被盜號的現象大面積下降, 這其中一個最大的原因是因為智慧手機, 成為了所有帳號的口權杖, 任何操作都需要發送短信進行驗證, 而手機這一設備一直都在使用者手中。
對於盜號者, 在移動時代想要盜號, 除了需要獲知密碼, 還需要獲知使用者的動態短信驗證碼。
移動時代在讓帳號的安全性整體上升, 根本原因在於場景的變化。
4,
移動互聯網至少建立了雙重驗證機制, 一重是密碼認證, 一重是對使用者手否擁有設備認證。
而目前所有公司都在圍繞雙重驗證機制做文章。
一個已經成功登陸過帳號的iphone設備, 其實已經能夠非常準確的證明,
讓使用者次次輸入密碼以及驗證碼反而是一件不安全的事情, 如果使用者的“密碼、驗證碼”被駭客通過網路監聽截獲, 那麼就有機會竊取用戶資金。
加入指紋識別、人臉識別機制之後, 則可以讓使用者免於輸入密碼和驗證碼, 即使被駭客截獲, 也不至於被利用於盜號。 因為蘋果從來沒有僅憑指紋識別、人臉識別就可以登陸系統的許可權。
對於駭客來說, 其如果需要在任何一台蘋果設備上登陸一個新帳號, 其需要的是“帳號+密碼+驗證碼”, 一般駭客難以獲得。
所以, 表面上看, 仿佛用戶直接通過iphonex的人臉識別就能夠轉帳, 但實際上依然是雙重驗證,
5,
再說支付寶的人臉識別登陸, 不要被迷惑了。
支付寶從來沒有對任何第一次登陸某個設備的帳號開啟過“帳號+人臉”就可以登陸的許可權。
支付寶的“刷臉登陸”功能, 針對的是已經在某設備成功登陸過一次的情況, 即當使用者退出, 第二次登陸時才擁有刷臉登陸的許可權。
這其實和iphone的邏輯是相同的, 對於想要盜號的駭客來說, 其獲取用戶的人臉、指紋是沒有用的, 其要在其他設備上登陸他人的支付寶, 依然需要“帳號+密碼+綁定手機的短信驗證”三重機制才可以。
而“指紋識別”、“人臉識別”其實等同於支付寶的“支付密碼”, 唯有當駭客成功突破登陸密碼之後, 支付寶密碼才有效用。
另外,支付寶的KFC刷臉、去快遞也不應該被迷惑,認為這是一重認證,這本質上也是雙重認證,首先需要從使用者手機端發出允許指令,刷臉在一定時間內才有效用。駭客即使拿到了用戶人臉,想要偷快遞,依然需要盜取使用者的“帳號+密碼+綁定手機的短信驗證”三樣東西,或者是直接偷取用戶手機,在支付寶中發送請求才可以。
6,
所以,雙重驗證機制下,如果真有駭客想要進行盜竊,其就算拿到了人臉、指紋也無用武之地,其依然需要獲得“帳號+密碼+綁定手機的短信驗證”的三重截取,難度極高。
另外,即使有普通小偷偷取了用戶手機,但是由於小偷不知道用戶是誰,因此人臉識別解鎖相比數字解鎖來說還更加安全。
客觀來看,安全性反而是被提高的。
7,
順便再說一下銀行人臉識別轉款問題,此前有媒體說招行刷臉就可以轉帳,實際上沒有說清楚。
實際上,招行不刷臉也可以轉帳,但是先需要對APP進行登錄,之後再輸入支付密碼,再輸入短信驗證碼,而最後唯有當金額大到一定程度時,其才需要使用者進行人臉識別,也就是說,人臉識別是一種加強驗證,而不是說僅僅依靠人臉識別就可以轉帳,各路媒體都有些過分誇大了。
8,
所以,不會真的有機構會蠢到,僅僅通過“帳號+人臉”就可以實現資金轉移,表面上iPhone X確實是刷臉支付,但實際上卻是雙重安全認證機制,對於想要盜號的駭客,密碼、短信驗證依然缺一不可。
因此,不需要對人臉識別產生恐懼心理,並且還應當清楚人臉識別會是大勢所趨。
原因就在於節省時間。
人臉識別並沒有違法雙重認證的邏輯,但是卻可以免去輸入數字解鎖碼、指紋驗證,前二者的時間比後者時間更長,這是針對手機的用戶體驗。
但是我認為更重要的是在於未來,廣泛的應用場景,在商場、無人超市、旅遊景點、機場等諸多地點,通過手機端的APP發送請求或者完成第一道安檢之後,在封閉式的短時間核查場景下,考慮行業實際情況,再加一道人臉識別請求,免去原來的人工檢票、人工核查,會極大程度的提高社會運作效率。
而這些,B端商家一定會考慮清楚,很難有漏洞的機會。
支付寶密碼才有效用。另外,支付寶的KFC刷臉、去快遞也不應該被迷惑,認為這是一重認證,這本質上也是雙重認證,首先需要從使用者手機端發出允許指令,刷臉在一定時間內才有效用。駭客即使拿到了用戶人臉,想要偷快遞,依然需要盜取使用者的“帳號+密碼+綁定手機的短信驗證”三樣東西,或者是直接偷取用戶手機,在支付寶中發送請求才可以。
6,
所以,雙重驗證機制下,如果真有駭客想要進行盜竊,其就算拿到了人臉、指紋也無用武之地,其依然需要獲得“帳號+密碼+綁定手機的短信驗證”的三重截取,難度極高。
另外,即使有普通小偷偷取了用戶手機,但是由於小偷不知道用戶是誰,因此人臉識別解鎖相比數字解鎖來說還更加安全。
客觀來看,安全性反而是被提高的。
7,
順便再說一下銀行人臉識別轉款問題,此前有媒體說招行刷臉就可以轉帳,實際上沒有說清楚。
實際上,招行不刷臉也可以轉帳,但是先需要對APP進行登錄,之後再輸入支付密碼,再輸入短信驗證碼,而最後唯有當金額大到一定程度時,其才需要使用者進行人臉識別,也就是說,人臉識別是一種加強驗證,而不是說僅僅依靠人臉識別就可以轉帳,各路媒體都有些過分誇大了。
8,
所以,不會真的有機構會蠢到,僅僅通過“帳號+人臉”就可以實現資金轉移,表面上iPhone X確實是刷臉支付,但實際上卻是雙重安全認證機制,對於想要盜號的駭客,密碼、短信驗證依然缺一不可。
因此,不需要對人臉識別產生恐懼心理,並且還應當清楚人臉識別會是大勢所趨。
原因就在於節省時間。
人臉識別並沒有違法雙重認證的邏輯,但是卻可以免去輸入數字解鎖碼、指紋驗證,前二者的時間比後者時間更長,這是針對手機的用戶體驗。
但是我認為更重要的是在於未來,廣泛的應用場景,在商場、無人超市、旅遊景點、機場等諸多地點,通過手機端的APP發送請求或者完成第一道安檢之後,在封閉式的短時間核查場景下,考慮行業實際情況,再加一道人臉識別請求,免去原來的人工檢票、人工核查,會極大程度的提高社會運作效率。
而這些,B端商家一定會考慮清楚,很難有漏洞的機會。