刷脸时代来了,苹果和阿里的人脸识别技术谁更能保证你钱包的安全?

本月初,支付宝在杭州肯德基KPRO餐厅上线刷脸支付,实现全球范围内的首次商用。近日,又宣布将其人脸识别技术向物流行业开放,并试图实现“刷脸寄件”。苹果也在发布iPhone X时力推其面部识别技术,并指出将运用于ApplePay和第三方应用。刷脸支付势不可挡,那么苹果和阿里的“刷脸支付”谁更安全呢?

阿里:可不只是技术保障

阿里支付宝于2015年9.0版本添加人脸识别技术,最初与Face++(旷视)合作,并以此为基础研发了检测活体安全性等技术,并与眼纹结合,还加入智能风控系统等多因子安全验证体系。

支付宝基于人脸识别的身份验证流程如下:通过APP采集用户人脸信息;活体检测算法检测并判断(防止照片、视频等攻击);将通过活体检测后的人脸与官方人脸数据库或之前的人脸信息比对,并判断。

涉及金融问题,无论是阿里自身还是用户实际需求都有着不低门槛:

1、高安全性:人脸活体检测技术(防止照片伪造攻击和视频攻击)
2、高准确率:极低误识率下(<0.001%)的高识别通过率
3、高可用性:海量并发人脸比对服务(QPS>1000)
4、高实时性:人脸比对结果实时返回(响应时间<100ms)

2013年,阿里小微金融服务集团安全副总裁江朝阳透露,国内支付行业的整体资损率大约为万分之一,而支付宝的资损率为十万分之一。“与同行乃至银行相比,无论是从资损率还是便捷性,我们更有信心。”2017年3·15晚会爆出人脸识别的安全隐患后,支付宝沿用这一数据,表示“我们是全球把人脸识别引入金融级应用场景的第一家公司,上线人脸识别这么久以来,我们的资损率一直保持在远低于十万分之一,优于行业平均水平。”

但这一数据已经过时。2017年7月份召开网络安全生态峰会上,蚂蚁金服CEO井贤栋便表示“以蚂蚁金服为例,它的智能风控大脑,可以7*24小时对每一笔交易进行风险识别,识别速度只需人眨眼时间的1/10,支付宝的资损率已长期小于百万分之一,而运用‘人脸+眼纹’等生物识别技术后用户身份识别率则达到99.99%,超过人眼的97%。”从十万分之一到百万分之一,以及高于人眼的识别率,技术带来的金融安全性有着明显提升。

 

阿里最初采用来自旷视的技术。旷视的人脸识别技术采用人脸关键点技术。关键点包括人脸轮廓、眼睛、眉毛、嘴唇以及鼻子轮廓,旷视提供的关键点最多可达106点,再通过算法对关键点进行处理,抽取人脸特征。

越精细的面部,往往需要提供越多的关键点。但关键点的检测,往往受限于光照、人脸肤色、头发遮盖以及附属物(眼镜)遮盖等因素。此外,也可能被利用照片和视频进行攻击。支付宝在此基础上的人脸活体检测技术,便是为了判断摄像头前是否为真人。

井贤栋口中的“眼纹识别”,准确性更高。人脸识别是以牺牲准确性来实现易用性的,眼纹识别则满足准确性和唯一性的需求。蚂蚁金服此前收购的EyeVerify便拥有眼纹识别独家专利,能通过扫描眼静脉纹路进行身份识别,并生成数字密匙,复杂程度足以匹敌50个字符长度的传统密码。由于眼球血管形状独一无二,人脸识别难以区分的双胞胎也可识别。不同于经常暴露的面部信息,眼球血管信息更为隐秘,也更适合作为加密手段。

但是戴隐形眼镜/框架眼镜,会影响识别率。在没有光线的夜晚,也不能使用眼纹识别。鉴于眼纹识别录取信息时会提示左右观看,以便获取完整的“眼白”部分血管分布情况,但在支付宝“刷脸支付”过程中,暂无相关操作,阿里的“眼纹识别”可能是一项正在落地的技术。

支付宝百万分之一的资损率,因“刷脸”造成的比例可能会更低。一旦出现问题,对消费者就意味着损失,但支付宝表示“如果因为人脸登录出现状况导致账号资金损失,我们会进行全额赔偿。这是我们上线人脸识别第一天时就许下的承诺。现在,依旧有效,而且,一直有效。”

此外,“支付宝只对在当前手机上用密码登录成功过的用户才开放人脸登录,并不会出现只通过人脸信息验证就在陌生手机上登录成功的情况”,并且“当系统判定存在风险,或涉及大额交易时,风控系统会根据具体情况,要求进行人脸识别,来进行额外的身份校验”,支付宝的人脸识别只是多了一层风控。而“刷脸支付”在肯德基的商用,同样不单是技术层面的保障,也有着阿里系统制度的保障。

苹果:人无我有,人有我精

苹果总是能让人耳目一新,此前是iPhone5s的指纹解锁,这次是iPhone X的面部识别。iPhone X取消了Touch ID的设置,采用Face ID作为生物辨识技术,并兼容此前的Touch ID保护功能。但发布会现场克雷格·费德里吉使用iPhone X演示Face ID解锁时,却突发意外解锁失败。

尽管苹果给出解答,声称经过此前多人设置,演示前iPhone X已重启,但却忘记输入密码启用Face ID。但部分人仍旧对苹果面部识别技术产生疑问。苹果表示将把刷脸支付应用于ApplePay和第三方应用,更是惹得段子手以此为乐。那么iPhone X刷脸支付的面部识别技术真的易用安全吗?

iPhone X丑陋的刘海部分是实现面部识别技术的关键,苹果称之为TrueDepth camera system(原深感摄像头系统)。用户仅需注视iPhone,即便在黑暗环境中泛光感应原件也能探测到人脸。点阵投影器会投射超过3万个隐形的红外点,绘制出面谱,红外镜头会读取点阵图案并捕捉红外图像,结合神经网络创造脸部的数字模型。

采集到物体深度信息,拼合成面部的3D图像数字模型,再与之前存储数据比对,完成人脸识别。苹果的技术能够弱化面部关键点技术受限于光照强度、角度等问题,适应恶劣光照、大的表情变化、姿态变化等情境。泛光感应元件,以及能够处理人脸识别及学习人脸的A11仿生芯片的使用,更使得iPhone X无论白天黑夜还是戴眼镜、戴帽子,长胡子、换发型都不会对识别效果产生影响。

为了完成解锁,用户需要注视手机。面对手机闭眼,或者被第三方偷偷对准面部,均无法解锁。但盲人或视力受损者,无法直视解锁。苹果软件工程副总裁Craig Federighi表示,“在这种情况下,人脸可以识别(即使戴上墨镜),但它看不见你的眼睛,你可以关掉‘注意力检测’功能。”但安全系数会降低。

他指出,“面部识别要求它能看到你的眼睛、鼻子和嘴巴”,“对于那些戴着面具上班或戴面纱的人来说,面部识别系统并不是一个可行的选择。”大多数太阳镜均可以识别,不同镜片对红外线有不同程度过滤,大多数镜片都能让足够的红外线穿透,即使肉眼不可见红外线,红外线依旧可以识别人眼。但“有些镜片的涂层可以阻挡红外线,在这些情况下,客户可以使用密码或取消密码。”

Face ID更为重要的属刷脸支付:仅需按下侧边栏两次,注视解锁便可付款。但付款安全吗?长相一致的双胞胎怎么办?遇到打劫怎么办?苹果在全球采集了数十亿张图片,这些数据并非来自网络,而是包含深度新的面部数据,有着无数细节用以训练面部识别系统。并且,全球范围以及不同种族数据训练结果,也提升了验证高识别率。苹果不仅不会被照片欺骗,也不会被好莱坞专业面具制造商欺骗。

他人解锁成功率仅为百万分之一,例外中包括有着密切遗传关系的双胞胎。面对这种情形,是否可采用人脸识别和数字解锁的双重认证?Federighi表示内部曾探讨过。但结果可以想见。面对凶残歹徒又该如何处理?长按iPhone X手机的侧边按钮,可实现手机关机,重启需要输入密码。如果48小时未使用Face ID或者连续5次面部识别失败,都会自动返回至密码,这也是苹果演示失败的原因:iPhone X试图识别将手机放置在讲台上的人。

或许目前并不需要担心苹果刷脸支付的安全问题,这只不过是一个设想的情境,使用支付宝的人也可能面临相同处境。值得一提的是,苹果表示相关数据会留在设备内,并不会上传至服务器,用户隐私无疑得到了更好的保障。

零镜观点

相较于支付宝的面部识别技术,苹果具有深度信息的数字模型不可相提并论。借助于苹果iPhone X的硬件,苹果的面部识别技术有着更强的易用性,也更为安全。苹果将其作为支付的关键步骤,而阿里支付宝的刷脸识别仅仅是风控系统的一环。阿里首次商用的刷脸支付,也有着技术和制度进行双重保障。Face ID百万分之一的他人解锁成功率,使得他人解锁近乎不可能实现,但一旦破解,对用户就意味着巨大损失。苹果和阿里的刷脸支付,你会选择哪一个呢?选择的苹果的我被同事一盆冷水浇了个透:首先,你得拥有iPhone X!