用 iPhoneX 的 FaceID 刷脸解锁真的靠谱吗

在上周的苹果秋季新品发布会中，苹果推出了全新的脸部识别技术FaceID。这是否标志着"刷脸"时代的到来呢？面部识别技术真的安全吗？

在最新的苹果发布会中，苹果隆重推出全新一代iPhone手机，十周年纪念版iPhone X，以及iPhone 8、iPhone 8 Plus。当中还推出了全新的脸部识别技术FaceID。也就是通过面部识别来解锁手机。你所要做的就是看看你的手机，然后它就会识别你并进行解锁。

直到在写本文时，除了苹果以外，还没有人对FaceID的安全性进行测试。本文主要探讨了面部识别，以及其他形式生物识别的安全性。

从历史上看，生物识别一直都不安全。

相机可以被欺骗。
声音可以被录制。
指纹可以被盗取。

而且在包括美国在内的许多国家，警方可以合法地要求你用指纹来解锁手机。因此他们绝对可以把你的手机指向你的脸，在违背你的意志下进行解锁。

如果你重视数据的安全性，比如电子邮件，社交媒体帐户，家庭的照片，手机记录的定位信息等等，那么我建议你不要使用生物识别。

相反，请使用密码来解锁手机。

改变你的面孔比改变你的密码要难得多

在2007年的电影《谍影重重3》中的一个场景中，马特·达蒙饰演的角色轻松的打开了需要双重生物识别的保险箱。

即使在这部10年前的好莱坞电影当中，就反映出了生物识别中一些固有问题。

你曾发布过多少照片？你有没有想过这些图像可以拼接在一起，进行3D建模，再加上红外线灯和点投影系统，这甚至可能解锁你的FaceID呢？

以下是完整的FaceID演示视频：

出现能够攻克苹果FaceID和三星新的面部解锁等其他系统的技术，只是时间问题。

为什么我对此充满信心呢？首先让我们来谈谈虹膜扫描仪。

人类的虹膜上有数百万个细胞，每个人的虹膜都是独一无二的。看起来这非常适合进行生物识别，对吧？

就在今年五月份，有安全研究人员就成功的攻破了三星Galaxy 8手机的虹膜解锁系统。整个过程只需要打印机和隐形眼镜。

让我们退后一步，看到人类的终极生物识别：DNA。

每个人的DNA只是一长串的数据。人类基因组具有30亿个碱基对。一个人的整个基因组存储下来数据大小不到1G，差不多是一集《权力的游戏》的大小 。

目前对基因组进行测序很便宜。而且将越来越便宜，甚至比计算成本的下降速度还要快。

如果你的DNA序列被泄漏出来，这将是很难改变的。

同时改变你的声音，指纹或者你的脸部结构也是很难的。

因此不要依靠生物识别。有一个更好的选择，但你不会喜欢的，因为它很不方便。但它很有用。

数字密码：难以猜测，易于更改

在使用iPhone的过程中，当尝试用密码解锁手机时，你只有10次机会。

假设你的密码是一个4位数字密码，那么存在10⁴种可能的组合。这意味着试图解锁手机的人，只有千分之一的机会能够成功解锁。

虽然这听起来安全性似乎不如苹果所说的，存在与你长相相似到能够解锁你手机的人的几率仅为只有百万分之一。但是数字密码会让试图解锁你手机的人无从下手。如果数字是完全随机的，那么安全性会比FaceID更高。

而且当面部识别失败时，手机会退回通过密码解锁。因此不论是否使用FaceID，你在设定数字密码时更需要用心。

以下是20个最常见的4位数字密码。避免使用这些密码，能够提高安全性。

数据来源：The Datagenetics Blog

如果你真的想要一个随机数字，可以将以下内容粘贴到你浏览器的JavaScript控制台中（点击 查看>开发者> JavaScript控制台）：

console.log(Math.floor(1000 + Math.random() * 9000));

大多数手机，包括iPhone均支持多位密码。每增加一个数字就能够提高你手机的安全级别。但考虑到每天需要输入多次，4位数可能是更适合的选择。

同时要明确的是，美国的法院无权强迫你提供手机密码。密码仅存在于你的头脑中。这个密码就相当于你的财产，除非自愿放弃，否则不会用强制的手段获取你的数据。

比起从密码获得的安全和安心，每次花两秒钟输入密码是非常值得的。

生物识别的发展前景

比起访问数据的全部开放或全部否定，设备制造商应采取分层方法，需要不同级别的身份验证才能访问不同的应用程序和数据。

例如，在iOS系统默认情况下，你可以在未解锁手机的情况下读取收到的信息。每当尝试在App Store购买应用时，iOS默认情况下都需要输入密码才能确认购买。

像FaceID可以用来解锁你的“读取”权限，比如使用阅读资讯等不太敏感的应用程序时。但是当你需要“写入”权限，比如发消息或发送推文时，则需要输入密码。

这将大大解决“我每天需要解锁手机80次”的问题，这可能是iPhone用户中的89％人在使用TouchID的主要原因。这种改进可以推出到所有的iPhone，包括人们已经在使用的。这样做会使每个人都更加安全。

在安全性的连续性中存在一个甜蜜点(sweet spot)。但是仅仅通过面部识别解锁你的整个手机，获取所有数据 ，社交媒体帐户以及银行账户的权限。在实现这一点之前，我们还有很长的路要走。

目前我的建议是继续使用密码，并确保是强密码。

关于FaceID面部识别，最大的赢家其实是...Arya Stark : )