IPhone X人臉識別技術是否安全？

　　人臉識別是最常見的生物識別訪問控制技術之一。與其它生物識別系統(tǒng)不同，人臉所提供的信息能有廣泛的應用，例如人臉信息可以顯示性別、種族、年齡甚至情緒狀況。人臉識別技術大行其道的主要原因是大家已經(jīng)習以為常。社交媒體大力鼓勵用戶在線上分享其臉部照片，使得用戶對使用人臉識別技術倍感自如。

　　由于人臉識別技術的收集的信息能被廣泛應用，確保其系統(tǒng)能穩(wěn)定有效及安全地識別用戶身份顯得尤為重要。然而通過人臉識別技術達到安全訪問控制極具挑戰(zhàn)性，因為惡意攻擊可以有多個切入點，例如釣魚攻擊、惡意圖像攻擊、運行時篡改，甚至圖像盜竊。

　　人臉識別技術因為iPhone X的面市而再度引起熱烈討論，美國新思科技安全顧問Nikola Cucakovic分析了有關iPhone X 的臉部身份識別系統(tǒng)的各種安全考量。

　　iPhoneX 的臉部身份識別功能是如何操作的?

　　從近期媒體報道可以看出iPhone X人臉識別有如下功能：

　　1. 用戶每次面對手機，通過“泛光感應元件”，即使在黑暗中iPhone X也能識別人臉;

　　2. 紅外攝像頭會捕獲紅外圖像;

　　3. 點陣投影器能投射3萬多個無形紅外光點在人臉上;

　　4. 捕獲的紅外圖像和光點圖形會在神經(jīng)網(wǎng)絡構建成一個用戶臉部的數(shù)學模型，這個神經(jīng)網(wǎng)絡采用蘋果全新的A11 仿生芯片，專門用作處理Face ID;

　　5. 然后手機就會檢測這個數(shù)學模型是否與設備內(nèi)存儲的用戶臉部信息相符;

　　6. 如果兩者相符，用戶的身份便得到確認，手機就會解鎖。

　　在這個驗證過程中，手機也會進行檢測，研究用戶是否在注視著手機。

　　iPhone X 的鑒別用戶功能安全嗎?它能有效抗擊黑客嗎?

　　沒有任何一種身份鑒別系統(tǒng)是無懈可擊的。在iPhone X 發(fā)布會上，蘋果公司全球市場營銷高級副總裁Phil Schiller 表示，一臺iPhone X 隨意被他人用人臉識別意外解鎖的幾率是一百萬分之一。

　　然而，蘋果在一次直播活動中也指出了雙胞胎或者長相相似的用戶之間也可以互相解鎖。因此，用戶在把手機交托他人保管時要倍加小心，以防“雙胞胎兄弟姐妹”別有用心。

　　Face ID 的身份識別安全度已經(jīng)比蘋果以前的指紋身份識別技術Touch ID 大為提高，后者被隨機他人指紋意外地成功解鎖的幾率是五萬分之一。

　　然而，獨一無二只是生物識別技術的其中一個考量。手機被盜然后又被意外成功解破的幾率，不論是五萬分之一或一百萬分之一都是微乎其微的。Nikola Cucakovic 認為用戶更應該關注的是黑客是否可以輕易攻破這項技術。

　　過往有黑客使用非常先進及成本高昂的技術解破了Touch ID，但一般偷竊手機的小偷不太可能具備這種資源。盜取用戶的指紋然后進行破解其手機的Touch ID需要大量時間和資源，因此這也不太可能發(fā)生。然而，取得用戶的臉部相片比指紋卻容易些，因為在社交媒體及技術發(fā)達的推動下，取得別人的照片可謂輕而易舉。

　　蘋果必需確保就算黑客取得用戶的照片，他也不能截距該用戶的手機。現(xiàn)今很多人臉識別技術被一些簡單，甚至是很基本的手段就被攻破了。例如黑客可以使用打印的照片、數(shù)碼照片、動畫處理的數(shù)碼照片及3D 模型等。

　　蘋果努力確保上述欺騙攻擊不能解破Face ID，該公司表示就算使用仿真度極高的用戶臉部3D 面具也不能成功，然而我們要真正使用iPhone X 一段時間后才能見真章。

　　令Face ID 短暫時間停止運作

　　用戶關注的另一種情況是：“如果我是被威逼看著手機把它解鎖，那怎么辦”?這情況是有可能發(fā)生的，例如劫匪或執(zhí)法人員對用戶作出上述命令。用戶只需同時按動手機前后的按鍵，F(xiàn)ace ID 就會停止運作，直至下次輸入密碼才會重新啟動。通過這個設置，就算用戶被勒令看著手機，它也不會解鎖。

　　對Face ID 的支持

　　在iPhone X 發(fā)布會上公布的另一項有趣信息是所有支持Touch ID 的應用都支持Face ID，這意味著iPhone X使用同樣的應用編程接口(API)，同時它使用現(xiàn)有的生物識別方案。指紋身份識別一般采用“本地認證”，這能同時支持Touch ID 及Face ID。在增添功能及提供支持的角度而言，這是有利的。希望緊貼人臉識別技術潮流的企業(yè)及應用開發(fā)商不用大費周章，就可支持Face ID。

　　然而，部分企業(yè)在批準其員工設備使用Touch ID 功能前(或者是用于其外部的App Store 應用)，已經(jīng)對Touch ID 進行了非常深入的分析及風險評估。此等企業(yè)卻沒有對臉部身份識別技術進行風險評估及批準其員工使用?，F(xiàn)在iPhone X 剛上市就使得所有支持Touch ID 的應用都會兼容Face ID，這意味著就算企業(yè)沒有批準員工在公司手機使用Face ID，他們也可以自由使用。有鑒于此，企業(yè)需要在iPhone X 上市前，便已經(jīng)分析及評估Face ID，以便及時修訂其有關公司政策。

　　本地認證框架容許開發(fā)商識別一臺設備支持Touch ID 或Face ID。因此，如果需要的話，通過編程方式停止Touch ID/Face ID或者兩種應用的本地認證。