01
最近流行二條姓馬的蟲子,馬雲家的叫蜻蜓,馬化騰家的叫青蛙。
二家都有很多人給他們推銷。還有自稱的代理商,到處找地推。更有一群人靠加盟費設局割韭菜。“刷臉支付,下一個阿里巴巴即將誕生”——這是某個廣告商要找我們發的廣告。
無論是青蛙吃掉蜻蜓,還是蜻蜓咬死青蛙,似乎都跟我們關係不大。你若不去加盟什麼代理推銷,也不至於陷進去當韭菜。
但是,刷臉支付是世界上最不靠譜的支付方式。它必定失敗,迅速被淘汰、遺忘。
你的臉就是一個支付密碼。這個密碼,你每天寫在腦袋上,被無數的攝像頭記錄。你覺得這個密碼有多安全?在網上,你可以用各種濾鏡把自己變得面目全非,但是在現實生活中,你戴上一個頭套都可能觸犯法律(比如香港製訂的新法律)。
最近,幾個小學生試著用照片代替人臉,破解了豐巢的刷臉取件。
如果他們在小區門口裝一個攝像頭,把進出小區的人都拍下來,挨個試,應該可以把全小區所有刷臉取件的快遞都從豐巢拿出來。
那又何必用豐巢呢,直接在小區門口扔地上大家隨便拿好了。所幸的是,現在國泰民安,物質豐盛,快遞真的沒人偷,小區門口的快遞真的放在門衛室或雜貨店隨便拿。
對於幾個小學生拿照片破解人臉識別的事兒,豐巢趕緊出來宣告說,他們目前還只是一個beta版本,已經在第一時間下線。據說等正式版本上線後就不會這樣被照片騙了。
但是,我敢肯定,他們以後的任何版本,都是可以被輕易破解的。
你要讓照片眨眨眼?OK,人家用iPad加動畫眨眨眼,這軟體是現成的。你要使用者轉頭,看看3D檢視?沒問題,iPad上可以讓人頭轉一圈給你看。
這種單個攝像頭加上靜態二維影象又沒有其他附屬技術的刷臉開箱技術,如果無人破解,真的是因為偷快遞並無暴利可圖,何況可能還有一大堆監控攝像頭對著你。
02
豐巢被破解後,大家會馬上想到支付寶和微信的刷臉支付。如果刷臉支付也這麼容易被破解,不僅小學生可以拿爹媽的照片到處刷卡,別人也可以拿馬雲的照片到阿里巴巴取錢。
有專家出來解釋說:豐巢的人臉識別系統之所以容易破解,是因為它採用簡單的2D識別。而支付寶刷臉採用先進的3D識別,純平面的2D圖片或者軟體生成的動態圖片,是無法騙過支付寶的,必須是真正的三維立體的人臉才可以。
親,你知道有一種東西叫3D列印技術麼?在知乎,就有這樣一個問答:
當事人使用的是這樣的一個列印頭像:
頭像做到這程度,就可以騙過支付寶。有人說這樣做並不容易,因為頭像列印精度要達到毫米級,成本很貴。其實成本一點都不貴,列印這樣一個頭像的成本大約是幾百塊到上千塊,而已。
十幾年前這就是成熟技術。從事模具業的機械工程師採用光學掃描模型,一圈攝像頭對著一個旋轉平臺,模型在平臺上轉一圈,拍攝幾十張照片,就可以直接生成三維資料,用solidwork或Pro/e之類的軟體,用數控機床直接加工出來就可以。
你覺得取得一個人的臉部精確三維資料很難麼?中國有幾億個攝像頭,每天你上街都要面對幾十個幾百個攝像頭。如果你一天經過一百個攝像頭,每個攝像頭拍攝你十秒,每秒25幀,那麼你一天就有25000張圖片儲存在資料中心,只要調出來,就足以列印非常精確的3D頭像。
住旅館、坐高鐵,甚至上網咖,都需要刷臉,你的所有資料都會和頭像連在一起。所以,若是某個資料庫被黑客進入,就可以竊取所有人都資料:三維頭像,身份證號碼,電話號碼,住址……總之,有關部門得到的資料,若是被黑客盜取,這些資料是可以轉手賣給很多人,正如當年住宿登記資料大洩露一樣。一旦你的資料被洩露,別人列印你的頭像、知道你的身份證號碼、淘寶賬戶,又有何難。
比列印人頭更簡單的,就是隻列印一張面具。
很多年以前,美國發生一起銀行搶劫案,案犯戴著面具搶劫,警方調出現場監控視訊,發現搶劫犯竟然是美國前總統卡特和里根!在3D列印技術日益廉價的今天,做一大堆3D面具應該不難吧。
03
正是現在刷臉支付的各種不安全,所以還需要手機輔助。但是,既然還需要手機,何必又去刷臉呢,刷二維碼似乎更方便,體驗也更好。
要完全脫離手機,就得有人監督付錢是否有人手持3D列印的頭像或披著列印面具付錢。正如某些垃圾桶前需要有人監督是否分類了。
刷臉支付的一個好處是:萬一忘了帶手機,還可以照樣付款。但是,現代人對智慧手機的依賴遠遠超過付款,日常工作、社交、找路、打車、叫外賣、叫貨拉拉、寄快遞、註冊會員……離開手機就極其不便,所以忘記帶手機的概率的極小的,而此刻還有心情去購物刷臉,這種概率更小。有時候你在餐廳需要掃描優惠券,或者用手機掃描二維碼點菜,也是離不開手機。所謂“沒有手機也能支付”的實際應用場景,大致上接近於零。
刷臉支付效率如何?新華社報道說:記者採訪收銀員,收銀員說和二維碼掃碼收款相比,刷臉收款裝置故障率高。該收銀員還表示,高峰期,刷臉支付慢、效率低。“有刷臉支付的時間,三筆掃碼支付都完成了。”
刷臉支付,無論青蛙和蜻蜓如何自吹他們的安全性,總是難以讓人相信。即使是政府主管官員,也並不看好。
上海市資訊保安行業協會會長談劍峰說:
“生物特徵識別技術應用在網際網路領域,並以此作為交易支付的認證,風險是有的。”
刷臉支付的基本原理是將終端伺服器採集到的資訊與雲端資訊進行比對,看資訊是否一致。如果雲端生物資料庫發生資訊洩露,則不僅會給賬戶安全帶來風險,也會造成具有唯一性的個人生物資訊外洩。
為了改進刷臉支付的安全問題,有人提出更多的辦法,比如刷臉和虹膜、指紋、聲音結合在一起。
這種結合,自然可以增加安全性。但是,刷臉就會變得更加複雜。你得先刷一次臉,然後按一下指紋,然後眼睛對著鏡頭往裡看以便掃描虹膜,然後對著話筒念一句話。
有這時間,你刷二維碼都刷了幾十次了。若是用交通卡刷卡買東西,就更快,一秒鐘就可以,比刷臉之類的人工智慧技術不知快多少倍。
但是,即使這些生物引數都需要驗證,也還是不安全的。你用過的東西都有你的指紋,比如星巴克咖啡。你的聲音是可以錄音或根據你的頻譜合成出來的。
有一些推聲紋的文章這樣介紹:
這是完全胡說八道的信口開河。
現代的錄音技術,可以輕易做到24位,實際上只需要19位或20位,因為最後幾位都是噪音。任何錄音裝置做不到信噪比無窮大。除了手機相機之類的極其低端的10位甚至8位的錄音裝置,大凡過得去的錄音機,即使是廉價的Tascam DR100mkiii 之類的手持裝置,或者zoom f4之類的錄音機,接個好音箱放出來,普通聲紋裝置是根本無法鑑別出來的。至於真人的呼吸聲頻段,屬於高頻段,除非是被嚴重壓縮過的錄音,否則呼吸聲音是一定存在的。
而且現在的技術,可以根據聲紋合成某個人的聲音,把呼吸氣流之類的照樣原封不動放進去。
你的聲音為何不安全?因為你天天說話,別人只要有你說話的錄音,就擁有你的聲紋資料,正如別人擁有你的視訊和照片,就可以列印你的3D頭像。
04
在傳統的技術下,一個小偷要擁有一萬戶人家的鑰匙,幾乎是不可能的。
一個人要猜出別人腦子裡的銀行密碼,幾乎是不可能的。
一個小偷要拿到一萬人腰包裡的現金,極難。
但是,在網際網路時代,在大資料時代,一旦某個環節失控,幾百萬人的資料可能被盜,這些資料連在一起,就非常方便轉走你賬上的錢。
而這種意外,隨身可能發生。尤其是攝像頭無處不在的時代,人臉識別更是毫無安全。
如果你懷疑鑰匙被偷配,可以換一把鎖芯。如果你懷疑銀行卡密碼洩露,可以換一個密碼。
但是,如果你懷疑別人用你的臉刷臉支付,你如何給自己換一張臉?你是用刀子在自己臉上劃幾刀,還是做個整容手術?
如果你懷疑自己的聲音被人盜用,你如何給自己換一種聲音?你要做個手術把自己聲帶切掉一段麼?
雖然某些國家某些城市已經立法禁止人臉識別技術,但是在某些國家,正在飛速增加攝像頭。
刷臉支付,首先,它不是剛需,因為並沒有多少人會忘記帶現金和手機又非要馬上付錢。
其次,它是極其不安全都一種支付方式。哪怕與其他生物鑑別方式結合,在大資料時代依然存在不安全。
第三,刷臉速度慢,效率極低。尤其是擁堵時段。
所以,刷臉支付是毫無前途的一種支付方式。它只適合小筆款項,只適合極少的場合,只適合對自己的安全和隱私不在乎的人。
再過二十年,甚至只需要十年,回過頭來看今天轟轟烈烈的刷臉支付,可能會覺得這是很可笑的一種行為藝術。